L'Autorité de protection des données belge (APD) a considérablement renforcé son activité de contrôle ces dernières années. Les PME ne sont plus à l'abri : plusieurs enquêtes récentes ont concerné des entreprises de moins de 50 employés, avec des amendes pouvant atteindre plusieurs dizaines de milliers d'euros pour des manquements techniques considérés comme évitables.
La bonne nouvelle : la plupart des lacunes constatées lors des contrôles APD sont identifiables, et corrigeables, avant qu'un incident ne survienne. Un audit cybersécurité structuré est votre premier outil de défense.
Pourquoi votre PME est une cible
Beaucoup de dirigeants pensent que les cyberattaques visent uniquement les grandes entreprises. La réalité belge est inverse : les PME sont attaquées précisément parce qu'elles sont perçues comme moins bien protégées. Selon les rapports de l'ENISA, l'agence européenne pour la cybersécurité, la majorité des incidents recensés touchent des organisations de petite et moyenne taille.
Les deux menaces dominantes pour une PME belge sont :
- Le ransomware (rançongiciel) : un logiciel chiffre vos fichiers et exige une rançon. L'arrêt d'activité dure typiquement de plusieurs jours à plusieurs semaines, et le coût total (perte d'exploitation, restauration, notification) dépasse largement la rançon elle-même.
- Le phishing (hameçonnage) : un e-mail frauduleux pousse un collaborateur à divulguer ses identifiants ou à ouvrir une pièce jointe piégée. C'est le vecteur d'entrée le plus fréquent, l'immense majorité des intrusions commencent par un simple clic.
Ces deux menaces exploitent autant la technique que l'humain. C'est pourquoi un audit sérieux ne se limite jamais aux pare-feu et aux antivirus.
Ce que l'APD vérifie réellement
Contrairement à une idée reçue, l'APD ne s'intéresse pas uniquement aux politiques de confidentialité et aux formulaires de consentement. Les contrôles techniques couvrent notamment :
- La gestion des accès : qui peut accéder à quelles données, avec quels droits, et est-ce documenté ?
- Le chiffrement : les données personnelles sont-elles chiffrées au repos et en transit ?
- La traçabilité : disposez-vous de logs permettant de retracer qui a accédé à quoi et quand ?
- La gestion des sous-traitants : avez-vous signé des DPA (Data Processing Agreements) avec tous vos prestataires qui traitent des données pour votre compte ?
- La procédure de violation de données : êtes-vous capable de notifier l'APD dans les 72 heures suivant la détection d'un incident ?
Plusieurs de ces points dépendent directement de la manière dont votre réseau est conçu : un cloisonnement propre, un Wi-Fi invité isolé et des règles de pare-feu documentées font une différence considérable lors d'un contrôle. Nous détaillons ces fondations dans notre article sur l'infrastructure réseau des PME.
Ces exigences sont tirées directement de l'article 32 du RGPD, qui impose des "mesures techniques et organisationnelles appropriées", une formulation volontairement vague qui laisse une marge d'interprétation, mais qui s'appuie sur des standards reconnus comme ISO 27001 et CIS Controls.
Les cinq lacunes les plus fréquentes dans les PME belges
1. Gestion des mots de passe et de l'authentification
La majorité des PME que nous auditons utilisent encore des mots de passe partagés pour des accès critiques (serveurs, applications métier, comptes de messagerie d'administration). L'absence de MFA (authentification multifacteur) sur les accès distants est la lacune la plus couramment sanctionnée.
Correction prioritaire : déployer MFA sur Microsoft 365 / Azure AD, VPN, et tout accès RDP ou SSH exposé à Internet.
2. Absence de segmentation réseau
Vos serveurs de production, vos postes utilisateurs et vos équipements IoT (imprimantes, caméras, systèmes de contrôle d'accès) partagent-ils le même segment réseau ? Une imprimante compromise peut servir de point d'entrée vers vos serveurs de données. La segmentation VLAN est une mesure de base qui reste absente chez une large part des PME que nous auditons.
3. Sauvegardes non testées
Avoir des sauvegardes est nécessaire mais insuffisant. L'APD et les assureurs cyber exigent des tests de restauration réguliers et documentés. Nous constatons régulièrement des sauvegardes qui échouent silencieusement depuis des semaines, découvertes uniquement lors d'un incident réel.
4. Inventaire des données personnelles inexistant
Vous ne pouvez pas protéger ce que vous ne savez pas que vous traitez. Le registre des traitements (article 30 RGPD) est obligatoire pour toute organisation de plus de 250 employés, mais fortement recommandé pour toutes les PME. Il doit couvrir : quelles données, pour quelle finalité, avec quelle durée de conservation, quels destinataires.
5. Absence de procédure de réponse aux incidents
En cas de ransomware ou de fuite de données, qui dans votre organisation est responsable de quoi ? Quels sont les contacts d'urgence ? Quelle est la procédure pour notifier l'APD ? Sans processus documenté, le temps de réaction s'allonge fortement et les erreurs de communication aggravent l'impact.
L'obligation de notification dans les 72 heures
C'est l'une des exigences du RGPD les plus mal comprises par les PME. L'article 33 impose que, en cas de violation de données à caractère personnel, le responsable du traitement notifie l'APD (Autorité de protection des données) dans les 72 heures après en avoir pris connaissance, sauf si la violation est peu susceptible d'engendrer un risque pour les personnes concernées.
Trois points pratiques en découlent :
- Le délai court à partir de la détection, pas de l'incident. D'où l'importance de logs et d'une supervision capables de détecter rapidement une compromission.
- La notification peut être progressive. Si vous ne disposez pas de toutes les informations dans les 72 heures, vous pouvez transmettre un premier rapport partiel, puis le compléter. Mais le silence n'est pas une option.
- Les personnes concernées doivent aussi être informées lorsque le risque pour leurs droits et libertés est élevé (vol d'identifiants, données de santé, données financières).
Concrètement, une PME doit disposer à l'avance d'un modèle de notification, d'une liste des contacts (direction, DPO éventuel, prestataire IT, avocat) et d'un canal de communication de secours indépendant des systèmes susceptibles d'être chiffrés. C'est exactement ce qu'un plan de réponse aux incidents documente.
Le test d'intrusion (pentest) : que couvre-t-il réellement ?
Un test d'intrusion simule une attaque réelle dans un cadre contrôlé, afin de découvrir les failles avant qu'un attaquant ne le fasse. Pour une PME, un pentest ciblé couvre généralement la surface externe (services exposés sur Internet : VPN, RDP, portails web, messagerie), la surface interne (ce qu'un attaquant, ou un poste compromis par phishing, peut atteindre une fois dans le réseau : mouvements latéraux, escalade de privilèges) et les applications web métier.
Le pentest se distingue du simple scan de vulnérabilités, qui se contente d'inventorier les failles connues : lui tente de les exploiter pour mesurer l'impact réel. Les deux sont complémentaires, le scan en continu, le pentest une à deux fois par an et après tout changement majeur.
Les fondamentaux : MFA, SSO et gestion des accès
La grande majorité des intrusions exploitent des identifiants volés ou faibles. Trois mesures réduisent ce risque de façon spectaculaire :
- MFA (authentification multifacteur) : même si un mot de passe est volé, l'attaquant est bloqué sans le second facteur. À déployer en priorité sur la messagerie, le VPN et les accès administrateur.
- SSO (authentification unique) : centraliser les connexions via un fournisseur d'identité (Microsoft Entra ID, par exemple) réduit le nombre de mots de passe, simplifie la révocation immédiate des accès d'un collaborateur qui part, et facilite l'audit.
- Principe du moindre privilège : chaque utilisateur ne doit disposer que des droits strictement nécessaires à sa fonction. Les comptes administrateur permanents sont à proscrire au profit d'accès temporaires et tracés.
Ces fondamentaux reposent sur une infrastructure réseau saine ; pour les maintenir dans le temps, un contrat de support et maintenance IT garantit que correctifs, sauvegardes et droits d'accès restent à jour mois après mois.
Le facteur humain : sensibiliser vos équipes
Aucune technologie ne compense un collaborateur mal informé. Puisque le phishing reste le premier vecteur d'attaque, la sensibilisation des équipes est l'un des investissements au meilleur rapport coût/efficacité : des sessions de formation courtes et régulières (plutôt qu'une formation annuelle oubliée le lendemain), des campagnes de phishing simulé pour mesurer le réflexe réel, et une procédure de signalement claire où un collaborateur qui pense avoir cliqué sur un lien suspect sait qui prévenir immédiatement, sans crainte d'être blâmé.
Comment structurer votre audit interne
Un audit cybersécurité PME se déroule en trois phases :
Phase 1 : Inventaire (1 à 2 jours)
Cartographie de tous les actifs informatiques (serveurs, postes, applications, services cloud), identification des données personnelles traitées, liste des sous-traitants avec accès aux données.
Phase 2 : Évaluation des risques (2 à 3 jours)
Pour chaque actif critique, évaluation de la probabilité et de l'impact d'une compromission. Utilisation d'une matrice risque simple (probabilité × impact) pour prioriser les actions correctives.
Phase 3 : Plan de remédiation priorisé
Liste des actions correctives classées par priorité (critique / élevé / moyen), avec estimation d'effort et de coût pour chaque mesure. Ce document devient votre feuille de route cybersécurité pour les 12 prochains mois.
Le bon critère de priorisation n'est pas « la faille la plus grave » mais le meilleur rapport risque × effort. On commence par les mesures à fort impact et faible coût, activer la MFA, corriger les services exposés, tester une restauration de sauvegarde, avant d'engager des chantiers plus lourds comme la refonte de la segmentation réseau. Cette logique évite de paralyser une PME avec un plan irréaliste.
Les mesures techniques minimum exigibles
Indépendamment du résultat de votre audit, certaines mesures doivent être en place dans toute PME traitant des données personnelles :
- MFA activé sur tous les comptes Microsoft 365 et accès distants
- Chiffrement des disques sur tous les postes de travail (BitLocker / FileVault)
- Politique de sauvegarde 3-2-1 : 3 copies, sur 2 supports différents, dont 1 hors site
- Mises à jour de sécurité appliquées dans les 30 jours suivant leur publication
- Antivirus/EDR déployé et centralisé sur tous les endpoints
- Logs de connexion conservés minimum 6 mois
Ces mesures ne garantissent pas une conformité RGPD complète, mais elles constituent le socle que tout auditeur ou assureur considérera comme la baseline attendue.
ITOPS.be : votre partenaire pour l'audit et la remédiation
Nous réalisons des audits cybersécurité RGPD pour des PME belges de 20 à 250 employés. Notre approche combine évaluation technique (scan de vulnérabilités, tests d'intrusion ciblés, analyse de configuration) et évaluation organisationnelle (politiques, procédures, formation des équipes).
À l'issue de l'audit, vous disposez d'un rapport clair avec des recommandations priorisées et chiffrées, pas un document de 200 pages incompréhensible, mais un plan d'action réaliste adapté à la taille et aux moyens de votre organisation.
Découvrez aussi notre offre complète de services de cybersécurité pour les PME et le Benelux.
Contactez-nous pour discuter de votre situation et obtenir un devis pour un audit adapté à votre secteur et à votre périmètre.
Questions fréquentes
Ma PME est-elle vraiment une cible pour les cyberattaques ?
Oui. Les attaquants ne ciblent pas un nom, ils ciblent des vulnérabilités à grande échelle, de façon largement automatisée. Les PME sont même particulièrement visées car elles disposent rarement d'une équipe sécurité dédiée. La taille de votre entreprise ne vous protège pas : ce sont vos mesures techniques et la vigilance de vos équipes qui font la différence.
En quoi consiste un audit de sécurité ?
Un audit combine une évaluation technique (scan de vulnérabilités, test d'intrusion ciblé, analyse des configurations et des accès) et une évaluation organisationnelle (politiques, procédures, registre RGPD, sensibilisation). Il se déroule en trois phases, inventaire, évaluation des risques, plan de remédiation, et débouche sur un rapport clair avec des recommandations priorisées et chiffrées.
Quelles sont nos obligations en cas de violation de données (72 h) ?
En cas de violation susceptible d'engendrer un risque, vous devez notifier l'APD dans les 72 heures suivant la détection. Le délai court à partir du moment où vous prenez connaissance de l'incident, la notification peut être progressive, et les personnes concernées doivent aussi être informées lorsque le risque pour leurs droits est élevé. Disposer d'un plan de réponse documenté est indispensable pour tenir ce délai.
Combien coûte un audit de sécurité ?
Le coût dépend du périmètre : nombre de sites, d'utilisateurs, de serveurs et d'applications à couvrir, et présence ou non d'un test d'intrusion. Pour une PME de 20 à 250 employés, un audit ciblé reste un investissement modeste comparé au coût d'un seul incident de ransomware (arrêt d'activité, restauration, notification, perte de confiance). Nous établissons un devis sur mesure après un premier échange sur votre contexte.