Accès
Qui peut entrer, quand et avec quel droit ?
Impact décision : Badges, clés et codes doivent être suivis lors des arrivées et départs.
La sécurité en entreprise ne se résume ni à une alarme, ni à un antivirus, ni à quelques caméras. Pour une PME, le risque vient souvent des zones grises : une porte technique mal fermée, un badge non récupéré, un Wi-Fi invité mélangé au réseau métier, une sauvegarde jamais testée ou un document unique oublié depuis deux ans.
La bonne méthode consiste à protéger les personnes, les locaux, les accès et les données avec des mesures simples, vérifiables et tenues dans le temps. Une petite structure n'a pas besoin d'une usine à gaz. Elle a besoin d'un plan clair, d'un responsable identifié et de routines qui tiennent même quand l'activité accélère.
Une PME doit d'abord lister ce qui arrêterait l'exploitation : incendie, vol de matériel, panne serveur, ransomware, perte d'accès cloud, absence d'une personne clé, coupure longue, dégât des eaux ou intrusion dans les locaux. Cette liste permet de sortir des achats réflexes et de travailler sur les risques critiques.
Le bon diagnostic tient sur une page : qui peut entrer, quels équipements sont essentiels, où sont les données, comment restaurer, qui décide en urgence, qui appelle le prestataire et où se trouvent les clés. Si ces réponses sont floues, l'entreprise n'est pas prête, même si elle possède déjà une alarme ou une caméra.
Ne séparez pas trop vite physique et numérique. Une caméra connectée mal configurée, une box dans un local non verrouillé, un NAS accessible depuis un Wi-Fi invité ou un badge conservé par un ancien salarié créent le même problème : une faille exploitable.
Le document unique d'évaluation des risques professionnels n'est pas un simple classeur administratif. Il oblige l'entreprise à identifier les risques pour les salariés et à prévoir des actions de prévention. Chute, manutention, agression, incendie, travail isolé, risques psychosociaux, équipement défectueux : le champ dépasse largement le cambriolage.
Une PME peut rester pragmatique. L'objectif n'est pas de produire un document illisible, mais de faire apparaître les situations dangereuses, les personnes exposées, les mesures existantes et les actions à lancer. Une alarme intrusion ne protège pas un salarié isolé qui ferme la boutique tard. Une caméra ne remplace pas une procédure d'ouverture ni une consigne d'appel.
Révisez le DUERP après changement important : nouveaux locaux, travaux, réorganisation, activité de nuit, nouvel équipement, incident, embauche ou évolution des flux clients. La sécurité devient plus solide quand elle suit réellement la vie de l'entreprise.
Chaque pilier doit avoir un responsable, une règle et une preuve de contrôle.
Qui peut entrer, quand et avec quel droit ?
Impact décision : Badges, clés et codes doivent être suivis lors des arrivées et départs.
Les comptes sensibles sont-ils protégés par MFA ?
Impact décision : Un mot de passe volé ne doit pas ouvrir toute l’entreprise.
La restauration a-t-elle été testée ?
Impact décision : Une sauvegarde non testée reste une promesse.
Les salariés connaissent-ils les réflexes ?
Impact décision : La règle la plus simple échoue si personne ne la comprend.
Le contrôle d'accès doit rester proportionné. Une petite agence, un atelier, une boutique et un cabinet médical n'ont pas les mêmes besoins. Commencez par inventorier clés, badges, alarmes, codes, locaux sensibles, stockage de matériel, coffres, archives et zones ouvertes au public.
La mesure la plus rentable est souvent la plus oubliée : récupérer les accès lors d'un départ. Badge, clé, compte email, compte cloud, code alarme, accès caméra, accès logiciel métier, accès prestataire. Chaque départ doit déclencher une procédure de retrait. Sans elle, les droits s'accumulent et personne ne sait qui peut encore entrer.
Les caméras et alarmes doivent aussi être gérées. Mot de passe changé, mises à jour suivies, droits limités, stockage conforme, zones filmées justifiées. Installer du matériel connecté sans gouvernance revient à ajouter de nouvelles portes à surveiller.
Une caméra, une alarme ou un contrôle d'accès connecté peut réellement aider une PME : dissuasion, alerte hors horaires, preuve d'effraction, suivi des accès, fermeture mieux contrôlée. Mais ces équipements deviennent problématiques s'ils sont installés avec le mot de passe par défaut, exposés sur Internet ou administrés par une seule personne sans relais.
Avant l'installation, définissez les zones à protéger, les horaires, les personnes autorisées à consulter, la durée de conservation et le responsable de maintenance. Évitez de filmer plus que nécessaire et documentez le choix. La technologie doit servir un besoin précis, pas compenser une absence de procédure.
Après l'installation, vérifiez les mises à jour, les comptes administrateurs, les notifications, les batteries, les tests d'alarme et les droits d'accès. Un système qui ne sonne plus, qui n'envoie plus d'alerte ou dont personne ne connaît le mot de passe devient un faux sentiment de sécurité.
Dans beaucoup de PME, le réseau est devenu un mélange : postes salariés, imprimante, alarme, caméra, caisse, objets connectés, smartphones, invités, box opérateur. Cette simplicité apparente est fragile. Un équipement faible peut exposer tout le reste si le réseau n'est pas segmenté.
La base : un réseau invité séparé, un mot de passe Wi-Fi robuste, une administration de box protégée, des mises à jour, et aucun appareil métier accessible sans nécessité. Les objets connectés de sécurité doivent être documentés : marque, compte administrateur, application utilisée, mise à jour, emplacement et personne responsable.
Pour les accès cloud, activez l’authentification multifactorielle sur les comptes sensibles : messagerie, comptabilité, stockage, banque, CRM, boutique en ligne, administration du site. C'est l'une des mesures les plus efficaces contre les compromissions courantes.
Les prestataires sont indispensables : installateur alarme, mainteneur informatique, expert-comptable, agence web, éditeur logiciel, télésurveillance, nettoyage ou livraison. Le risque apparaît quand leurs accès restent ouverts sans limite. Un compte créé pour une intervention ponctuelle peut devenir un accès permanent oublié.
Chaque prestataire doit avoir un périmètre, une durée et un contact responsable. Les accès administrateurs doivent être rares, tracés et retirés après intervention. Les clés physiques suivent la même logique : qui les détient, pour quel local, avec quelle date de retour ? Une PME peut gérer cela dans un tableau simple, à condition de le tenir.
Pour les locaux sensibles, prévoyez aussi une procédure visiteur : accueil, badge temporaire, accompagnement, interdiction des zones techniques et consigne photo si nécessaire. Ce n'est pas de la méfiance excessive ; c'est une hygiène d’accès normale dès que l'entreprise manipule du matériel, des données ou des stocks.
Sur les 30 premiers jours, cartographiez. Listez locaux, personnes, accès, prestataires, comptes, sauvegardes, équipements connectés, risques salariés et documents obligatoires. Corrigez immédiatement ce qui ne demande presque pas de budget : mots de passe faibles, comptes dormants, Wi-Fi invité absent, badges non récupérés, sauvegarde jamais vérifiée.
Entre 30 et 60 jours, standardisez. Créez une procédure arrivée/départ, nommez un référent sécurité, formalisez les sauvegardes, vérifiez l'alarme, nettoyez les droits cloud, isolez les équipements invités et organisez une sensibilisation courte. Le but est d'installer des routines simples.
Entre 60 et 90 jours, testez. Simulation de restauration, test d'alarme, exercice de phishing interne si adapté, revue des accès, contrôle des équipements connectés, mise à jour du DUERP, plan d'appel en cas d'incident. Cette phase transforme la sécurité en pratique réelle, pas en document oublié.
Le jour d'un incident, personne ne lit un manuel de trente pages. Il faut une fiche courte : qui décide, qui coupe l'accès, qui appelle le prestataire, qui prévient les salariés, qui parle aux clients, où se trouvent les sauvegardes et quelles preuves conserver. Cette fiche doit être accessible hors du système informatique habituel.
Prévoyez trois scénarios : intrusion ou vol, attaque informatique, incident touchant les personnes ou les locaux. Pour chaque scénario, notez les premières actions. En cas de cyberattaque, par exemple, évitez d'éteindre ou de réinstaller sans avis si cela détruit des traces utiles. En cas d'intrusion, préservez les images, les accès et les preuves.
La réponse de crise est aussi une question humaine. Les salariés doivent savoir qu'ils peuvent signaler vite sans être accusés. Un clic sur un faux mail, une clé perdue ou une porte restée ouverte doit remonter immédiatement. La culture utile est le signalement rapide, pas la recherche du coupable.
Une PME peut survivre à un incident si elle sait reprendre. La continuité d'activité commence par des questions simples : combien d'heures peut-on travailler sans logiciel de caisse, sans email, sans serveur, sans local, sans dirigeant, sans stock ? Les réponses déterminent les priorités de sauvegarde et de secours.
Les données critiques doivent être sauvegardées selon une règle compréhensible, avec au moins une copie isolée d'un ransomware et un test de restauration. Le test est le vrai juge. Si personne n'a déjà restauré un fichier, une base ou un poste, la sauvegarde reste théorique.
La continuité concerne aussi les locaux. Double des clés, liste des fournisseurs, numéro de l'assureur, accès au bail, photos du matériel, inventaire, contrats de maintenance : ces éléments accélèrent la reprise après sinistre. Une sécurité efficace prépare déjà le retour à l’activité.
La formation sécurité n'a pas besoin de durer une journée. Dix minutes régulières valent souvent mieux qu'une longue session oubliée. Montrez un faux mail, expliquez le signalement, rappelez le verrouillage d'écran, la gestion des visiteurs, la fermeture des locaux et la réaction en cas d'incident.
Chaque salarié doit savoir qui prévenir, quoi ne pas faire et où trouver la consigne. En cas de ransomware, d'intrusion, de vol de PC ou d'agression, les premières minutes comptent. Une règle simple, répétée et visible protège mieux qu'un document trop complet que personne ne lit.
Le dirigeant doit aussi donner l'exemple. Si la direction contourne les règles, garde des mots de passe partagés ou laisse les accès ouverts “par confort”, l'équipe comprend vite que la sécurité est optionnelle.
Une PME n'a pas besoin de vingt indicateurs. Suivez quatre ou cinq points : nombre de comptes sensibles avec MFA, date du dernier test de restauration, accès sortants fermés, incidents ou quasi-incidents, revue DUERP, tests d'alarme. Ces indicateurs doivent être vus en réunion courte, pas enterrés dans un tableau.
La sécurité progresse par cycles. Chaque mois, corrigez un point. Chaque trimestre, testez une procédure. Chaque année, revoyez les risques. Ce rythme rend la sécurité supportable et évite l'effet grand chantier qui retombe après deux semaines.
Quand un incident survient, même mineur, notez-le. Porte laissée ouverte, compte compromis, clé perdue, sauvegarde en échec, caméra hors ligne : ces signaux révèlent les maillons faibles avant l'accident sérieux.
À reprendre en comité court ou avec le prestataire sécurité.
Une sécurité efficace se remarque peu au quotidien. Les portes se ferment, les badges sont récupérés, les sauvegardes se restaurent, les comptes sont protégés, les salariés savent qui appeler. Ce n'est pas spectaculaire, mais c'est ce qui permet à une PME de continuer à travailler après un incident.
Les outils connectés ont leur place, à condition d'être intégrés avec méthode. Caméra, alarme, contrôle d'accès, capteur, routeur ou sauvegarde cloud doivent avoir un propriétaire, une configuration suivie et une revue régulière. La vraie maturité consiste à garder une sécurité compréhensible, maintenable et utile aux personnes qui travaillent chaque jour dans l'entreprise.
Ces ressources cadrent les obligations et les bonnes pratiques. Elles ne remplacent pas un audit sécurité ou juridique adapté à votre activité.
Repères sur la démarche d’évaluation des risques et la prévention en entreprise.
ConsulterBonnes pratiques et assistance pour les TPE-PME face aux menaces cyber.
ConsulterPrincipes de protection des données personnelles et mesures de sécurité.
Consulter