Une checklist sécurité informatique PME est une liste structurée de points de contrôle qui permet d'évaluer rapidement le niveau de protection de votre système d'information. En 15 minutes, vous identifiez vos vulnérabilités critiques et savez exactement où concentrer vos efforts.
Cette checklist couvre 25 points répartis en 5 catégories : accès, sauvegardes, réseau, endpoints et organisation. Chaque point est accompagné d'une explication concrète pour comprendre pourquoi il est important et comment le mettre en place. Pour un diagnostic complet réalisé par un expert, consultez notre offre d'audit cybersécurité PME.
Téléchargez la checklist en PDF
Version imprimable avec cases à cocher. Évaluez votre sécurité point par point.
Télécharger gratuitementAccès et authentification
- 1
MFA activé sur tous les comptes critiques
Messagerie, VPN, accès admin, applications cloud. Le MFA bloque 99,9 % des attaques par credential stuffing.
- 2
Politique de mots de passe appliquée
12 caractères minimum, complexité, renouvellement tous les 90 jours. Gestionnaire de mots de passe déployé.
- 3
Comptes dormants supprimés
Anciens collaborateurs, prestataires, comptes de test. Chaque compte actif non utilisé est une porte d'entrée.
- 4
Droits administrateurs limités
Le principe du moindre privilège : seuls les comptes qui en ont besoin disposent de droits élevés.
- 5
SSO configuré si possible
Single Sign-On pour centraliser l'authentification et réduire la surface d'attaque liée aux mots de passe.
Sauvegardes et continuité
- 6
Sauvegarde quotidienne automatisée
Données critiques sauvegardées chaque nuit. Règle 3-2-1 : 3 copies, 2 supports, 1 hors site.
- 7
Test de restauration mensuel
Une sauvegarde non testée est une sauvegarde qui ne marche peut-être pas. Test de restauration documenté chaque mois.
- 8
Copie hors site ou cloud chiffré
Au moins une copie stockée hors de vos locaux pour résister à un sinistre physique (incendie, inondation).
- 9
PRA documenté et à jour
Plan de Reprise d'Activité écrit, avec les procédures de basculement, les contacts et les priorités de restauration.
- 10
RTO et RPO définis
Temps de reprise (RTO) et perte de données acceptable (RPO) définis pour chaque application critique.
Réseau et infrastructure
- 11
Pare-feu configuré et à jour
Règles de filtrage revues, firmware à jour, logs activés. Pas de règle 'any-any' en production.
- 12
Mises à jour automatiques activées
Patch management pour OS, applications et firmware. Les vulnérabilités non patchées sont la première cause d'intrusion.
- 13
Segmentation réseau en place
Séparer les réseaux (production, invités, IoT) pour limiter la propagation latérale en cas de compromission.
- 14
VPN pour les accès distants
Tout accès distant passe par un VPN chiffré. Pas de RDP exposé sur Internet.
- 15
Monitoring réseau actif
Supervision des flux, alertes en temps réel sur les anomalies. Détection des comportements suspects.
Postes et endpoints
- 16
EDR ou antivirus nouvelle génération
Endpoint Detection and Response sur tous les postes. L'antivirus traditionnel ne suffit plus face aux menaces actuelles.
- 17
Chiffrement des disques
BitLocker (Windows) ou FileVault (Mac) activé. Un PC volé avec un disque chiffré ne compromet pas vos données.
- 18
Verrouillage automatique
Écran verrouillé après 5 minutes d'inactivité. Politique GPO appliquée sur tous les postes du domaine.
- 19
Ports USB contrôlés
Politique de restriction USB pour bloquer les clés malveillantes (rubber ducky, bad USB).
- 20
Politique BYOD formalisée
Si vos collaborateurs utilisent leurs appareils personnels, les règles de sécurité doivent être écrites et acceptées.
Organisation et humain
- 21
PSSI documentée
Politique de Sécurité des Systèmes d'Information écrite, validée par la direction, communiquée à tous les collaborateurs.
- 22
Sensibilisation phishing trimestrielle
Campagnes de phishing simulé + sessions de formation. Le taux de clic doit baisser sous 5 % en 6 mois.
- 23
Procédure d'incident écrite
Qui contacter, quoi faire, quoi ne pas faire en cas de suspicion d'incident. Affichée et testée.
- 24
Registre RGPD à jour
Registre des traitements, analyse d'impact si données sensibles, DPO désigné si nécessaire.
- 25
Assurance cyber souscrite
Couverture des pertes d'exploitation, frais de notification, assistance juridique. Exigence croissante des partenaires.
Vous avez identifié des failles ? Un audit cybersécurité professionnel va plus loin : tests d'intrusion, analyse Active Directory, score de maturité cyber et plan de remédiation chiffré.
Questions fréquentes
À quelle fréquence faire un audit sécurité PME ?
Un audit complet est recommandé tous les 12 à 18 mois. Cette checklist peut être réalisée tous les trimestres en interne pour suivre votre progression entre deux audits professionnels.
Cette checklist remplace-t-elle un audit professionnel ?
Non. La checklist permet un auto-diagnostic rapide et identifie les points critiques. Un audit professionnel va plus loin : tests d'intrusion, analyse Active Directory, évaluation organisationnelle, rapport détaillé avec score de maturité.
Combien de temps faut-il pour compléter les 25 points ?
15 à 30 minutes pour l'évaluation initiale. La correction des points défaillants peut prendre de quelques heures (MFA, mots de passe) à plusieurs semaines (PRA, segmentation réseau).
Qui doit réaliser la checklist dans l'entreprise ?
Le responsable informatique ou le prestataire IT. En l'absence de compétence interne, un audit accompagné par un expert est préférable pour éviter les faux positifs et les oublis.
Besoin d'un accompagnement pour sécuriser votre PME ?
Planifiez un diagnostic gratuit de 30 minutes. On identifie ensemble vos priorités et on vous propose un plan d'action adapté.