L’Autorité de protection des données belge (APD) a considérablement renforcé son activité de contrôle ces dernières années. Les PME ne sont plus à l’abri : plusieurs enquêtes récentes ont concerné des entreprises de moins de 50 employés, avec des amendes pouvant atteindre plusieurs dizaines de milliers d’euros pour des manquements techniques considérés comme évitables.

La bonne nouvelle : la plupart des lacunes constatées lors des contrôles APD sont identifiables — et corrigeables — avant qu’un incident ne survienne. Un audit cybersécurité structuré est votre premier outil de défense.

Ce que l’APD vérifie réellement

Contrairement à une idée reçue, l’APD ne s’intéresse pas uniquement aux politiques de confidentialité et aux formulaires de consentement. Les contrôles techniques couvrent notamment :

La gestion des accès : qui peut accéder à quelles données, avec quels droits, et est-ce documenté ?
Le chiffrement : les données personnelles sont-elles chiffrées au repos et en transit ?
La traçabilité : disposez-vous de logs permettant de retracer qui a accédé à quoi et quand ?
La gestion des sous-traitants : avez-vous signé des DPA (Data Processing Agreements) avec tous vos prestataires qui traitent des données pour votre compte ?
La procédure de violation de données : êtes-vous capable de notifier l’APD dans les 72 heures suivant la détection d’un incident ?

Ces exigences sont tirées directement de l’article 32 du RGPD, qui impose des “mesures techniques et organisationnelles appropriées” — une formulation volontairement vague qui laisse une marge d’interprétation, mais qui s’appuie sur des standards reconnus comme ISO 27001 et CIS Controls.

Les cinq lacunes les plus fréquentes dans les PME belges

1. Gestion des mots de passe et de l’authentification

La majorité des PME que nous auditons utilisent encore des mots de passe partagés pour des accès critiques (serveurs, applications métier, comptes de messagerie d’administration). L’absence de MFA (authentification multifacteur) sur les accès distants est la lacune la plus couramment sanctionnée.

Correction prioritaire : déployer MFA sur Microsoft 365 / Azure AD, VPN, et tout accès RDP ou SSH exposé à Internet.

2. Absence de segmentation réseau

Vos serveurs de production, vos postes utilisateurs et vos équipements IoT (imprimantes, caméras, systèmes de contrôle d’accès) partagent-ils le même segment réseau ? Une imprimante compromise peut servir de point d’entrée vers vos serveurs de données. La segmentation VLAN est une mesure de base qui reste absente dans plus de 60 % des PME que nous évaluons.

3. Sauvegardes non testées

Avoir des sauvegardes est nécessaire mais insuffisant. L’APD et les assureurs cyber exigent des tests de restauration réguliers et documentés. Nous constatons régulièrement des sauvegardes qui échouent silencieusement depuis des semaines, découvertes uniquement lors d’un incident réel.

4. Inventaire des données personnelles inexistant

Vous ne pouvez pas protéger ce que vous ne savez pas que vous traitez. Le registre des traitements (article 30 RGPD) est obligatoire pour toute organisation de plus de 250 employés, mais fortement recommandé pour toutes les PME. Il doit couvrir : quelles données, pour quelle finalité, avec quelle durée de conservation, quels destinataires.

5. Absence de procédure de réponse aux incidents

En cas de ransomware ou de fuite de données, qui dans votre organisation est responsable de quoi ? Quels sont les contacts d’urgence ? Quelle est la procédure pour notifier l’APD ? Sans processus documenté, le temps de réaction est multiplié par trois et les erreurs de communication aggravent l’impact.

Comment structurer votre audit interne

Un audit cybersécurité PME se déroule en trois phases :

Phase 1 : Inventaire (1 à 2 jours)

Cartographie de tous les actifs informatiques (serveurs, postes, applications, services cloud), identification des données personnelles traitées, liste des sous-traitants avec accès aux données.

Phase 2 : Évaluation des risques (2 à 3 jours)

Pour chaque actif critique, évaluation de la probabilité et de l’impact d’une compromission. Utilisation d’une matrice risque simple (probabilité × impact) pour prioriser les actions correctives.

Phase 3 : Plan de remédiation priorisé

Liste des actions correctives classées par priorité (critique / élevé / moyen), avec estimation d’effort et de coût pour chaque mesure. Ce document devient votre feuille de route cybersécurité pour les 12 prochains mois.

Les mesures techniques minimum exigibles

Indépendamment du résultat de votre audit, certaines mesures doivent être en place dans toute PME traitant des données personnelles :

MFA activé sur tous les comptes Microsoft 365 et accès distants
Chiffrement des disques sur tous les postes de travail (BitLocker / FileVault)
Politique de sauvegarde 3-2-1 : 3 copies, sur 2 supports différents, dont 1 hors site
Mises à jour de sécurité appliquées dans les 30 jours suivant leur publication
Antivirus/EDR déployé et centralisé sur tous les endpoints
Logs de connexion conservés minimum 6 mois

Ces mesures ne garantissent pas une conformité RGPD complète, mais elles constituent le socle que tout auditeur ou assureur considérera comme la baseline attendue.

ITOPS.be : votre partenaire pour l’audit et la remédiation

Nous réalisons des audits cybersécurité RGPD pour des PME belges de 20 à 250 employés. Notre approche combine évaluation technique (scan de vulnérabilités, tests d’intrusion ciblés, analyse de configuration) et évaluation organisationnelle (politiques, procédures, formation des équipes).

À l’issue de l’audit, vous disposez d’un rapport clair avec des recommandations priorisées et chiffrées — pas un document de 200 pages incompréhensible, mais un plan d’action réaliste adapté à la taille et aux moyens de votre organisation.

Contactez-nous pour discuter de votre situation et obtenir un devis pour un audit adapté à votre secteur et à votre périmètre.