Construire sa feuille de route cybersécurité
Construire sa feuille de route cybersécurité Clément Donzel 22 juillet 2025 Cybersécurité Construire sa...
Construire sa feuille de route cybersécurité
Clément Donzel
22 juillet 2025
Cybersécurité
Construire sa feuille de route cybersécurité lorsque l’on est dirigeant de PME est essentiel pour des raisons stratégiques, opérationnelles et réglementaires. En effet, souvent perçues comme des cibles plus faciles que les grands groupes, les PME font face à une menace cyber croissante dont les conséquences peuvent être grave : perte de données, interruption d’activité, atteinte à la réputation voir faillite dans les cas les plus extrêmes. Sans compter le cadre réglementaire qui s’impose aux grands donneurs d’ordre et donc à leurs sous-traitants.
Heureusement, des solutions existent pour réduire les risques de cyber-attaques, assurer une reprise rapide de l’activité de son entreprise lorsque l’on est victime. Construire et piloter une feuille de route cybersécurité devient alors essentiel pour gérer ses risques. La feuille de route est un plan stratégique qui permet à une PME de se protéger efficacement, de répondre aux exigences légales et réglementaires (RGPD, NIS2, LPM…), d’optimiser ses ressources, et de renforcer sa résilience numérique.
Voici comment construire la feuille de route cybersécurité pour sa PME
#1. Construire sa feuille de route cybersécurité PME : Le diagnostic cyber
Pour construire sa feuille de route, la première étape consiste à évaluer la maturité en cybersécurité de votre entreprise. Pour cela, il existe plusieurs dispositifs. Certains sont sans reste à charge comme les dispositifs CYBIAH et Mon Aide Cyber, et d’autres sont pris en charge partiellement comme celui de la BpiFrance. Je vous propose de voir celui mis en place par l’ANSSI (l’agence nationale de sécurité des systèmes d’information) qui est selon moi le plus efficace et rapide à mettre en place… et il est gratuit !
Le diagnostic cyber MonAideCyber est un programme de l’Agence Nationale pour la Sécurité des Systèmes d’Information qui vise à aider les entités à mener une première démarche de sécurisation.
Étant aidant Mon Aide Cyber et formé par l’ANSSI pour réaliser ce diagnostic, je peux vous accompagner pour réaliser cet audit déclaratif de premier niveau (durée : 1h30) qui permet d’identifier 6 mesures de sécurité prioritaires à mener sur les 6 prochaines mois.
En tant que signataire de la charte de Mon Aide Cyber, je m’engage à respecter la méthodologie préconisée par l’ANSSI et à respecter un devoir de neutralité et de confidentialité lors de notre échange.
Le diagnostic Mon Aide Cyber de l’ANSSI, c’est :
- Un diagnostic cyber gratuit
- Un dispositif officiel de l'ANSSI
- Une démarche concrète > 6 mesures de sécurité prioritaires
- Réalisé par un référant officiel Mon Aide Cyber (signataire de la charte)
- Plus de 30 diagnostics cyber déjà réalisés auprès de PME !
#2. Construire sa feuille de route cybersécurité PME : Réduire les risques de l'entreprise
Cartographie des risques sur l’information gérés par l’entreprise
Une étape préalable à la réduction des risques de l’entreprise passe par l’identification des activités et des données à protéger en priorité. Il est donc nécessaire de réaliser une première cartographie qui tiennent compte du patrimoine informationnel de la PME.
Sont jugées prioritaires les activités critiques, indispensables à l’activité, les informations sensibles, confidentielles ou ne devant pas être volées et exfiltrées comme par exemple :
- Production et données techniques de production
- R&D et données d’industrialisation
- Paie des salariés et données bancaires associées
- Facturation et données clients
- Courriels, agenda et données bureautiques associées
Identification des risques (à réduire) et regroupement par projets
Une fois que vous avez cartographié l’ensemble de vos données sensibles, vous allez pouvoir identifier les risques à réduire en priorité, en fonction de l’impact potentiel sur votre activité. À cette étape, il est recommandé de regrouper les risques par projets.
Lancement des projets avec leur organisation (sponsors, ressources humaines et financières) et un planning
Chaque groupe de risques pourra ensuite être piloté en mode projet par une équipe dédiée, en lien avec les ressources disponibles dans l’organisation (sponsors, ressources humaines et financières) et en ajustant le planning aux contraintes de l’entreprise.
Reporting régulier auprès du Comité de Direction
Un point régulier avec la direction pourra être établi (1x par mois ?) et reprendra certains des indicateurs présents dans votre tableau de bord cyber.
#3. Construire sa feuille de route cybersécurité PME : Former les employés
Plus de 90 % des compromissions de sécurité sont dues à des erreurs humaines.
Il est important d’éduquer tous les utilisateurs, qu’ils fassent partie de l’organisation ou non, qui manipulent des données personnelles ou des données sensibles de l’entreprise, aux risques liés à la vie privée et à la perte potentielle de données stratégiques. Il est nécessaire de fournir des informations sur les actions entreprises pour gérer ces risques, ainsi que sur les conséquences possibles en cas de non-respect des directives.
Pour sensibiliser ses collaborateurs, le dirigeant d’entreprise, le département des ressources humaines, le RSSI ou le CISO pourra alors décider de mettre en place un certain nombre d’actions de sensibilisation :
- Campagne d'affichage, mails d'information, conférence de sensibilisation auprès des utilisateurs
- Sensibilisation ciblée du service achat et comptabilité aux risques d'escroquerie au faux ordre de virement et fraude au président
- Sensibilisation des nouveaux arrivants
- Intervention auprès du CODIR
- Campagne de faux phishing
- Formation en ligne (ex : secnumacademie.gouv.fr)
Nous recommandons également de mener des actions de sensibilisation à l’attention du personnel et ciblant des populations spécifiques (ex : services supports, services métiers, services financiers…). Enfin, l’expérience montre que les micro-apprentissages réguliers (quelques minutes de vidéos en e-learning par exemple, chaque mois) fonctionnent mieux qu’une seule session de sensibilisation annuelle de plusieurs heures.
Enfin, des actions de sensibilisation ciblant spécifiquement les collaborateurs effectuant des missions à l’étranger pourront être menées. On pense notamment aux membres du comité de direction qui peuvent être la cible de cyberespionnage (vol de données lors de la visite d’un sous-traitant ou lors du passage à la douane…).
#4. Construire sa feuille de route cybersécurité PME : Se préparer à gérer une crise cyber
La première phase du traitement d’un incident consiste à le qualifier. Cela implique d’identifier les sources d’informations et les éventuelles anomalies qui sont associées. L’objectif principal lors d’une gestion de crise cyber est d’établir une vision aussi précise que possible de la situation en cours et identifier le rôle et les responsabilité de chaque personne impliquée.
Une organisation de gestion de crise doit à minima identifier les priorités métier à rétablir en cas de crise, des fiches réflexes opérationnelles garantissant la continuité d’activité au travers de modes dégradés défini avec les métiers (ex : assurer la paie, poursuivre la production, gestion des agendas, etc.), des moyens et modalités de communication de crise.
Parmi les actions à prioriser :
- Préparation des communications de crise (internes, externes)
- Animation / gestion de la crise (assistance, organisation technique et physique…)
- Tests réguliers du plan de reprise d’activité
- Réalisation (et restauration) de sauvegardes (règle des 3-2-1-1)
#5. Construire sa feuille de route cybersécurité PME : Utilisation de l'IA
Les outils d’IA génératives se sont déployés au sein même des entreprises, souvent sans coordination ni implication de la direction informatique. Certaines pratiques des utilisateurs peuvent faire porter un risque à l’entreprise (données confidentielles partagées sur ChatGPT…). Il est recommandé de mettre à jour la charte informatique avec un nouveau paragraphe sur l’utilisation de l’IA.
Expert en cybersécurité, aidant auprès de l’ANSSI, formateur et conférencier, j’accompagne avec mon équipe depuis plusieurs années les dirigeants de PME en forte croissance à faire face aux nouvelles menaces cyber en nous appuyons sur notre plateforme OFFMYDATA PROTECT®
Clément Donzel
Fondateur OFFMYDATA
Conclusion
La construction et le pilotage d’une feuille de route cybersécurité pour une PME démontre un engagement fort de la direction auprès des clients et partenaires et permet d’engager l’entreprise dans un processus d’amélioration continue de la sécurité informatique. Notre solution OFFMYDATA PROTECT® permet aux petites et moyennes entreprises de renforcer efficacement leur résilience en s’appuyant sur une feuille de route cybersécurité personnalisée.
Les derniers articles du blog
Découvrez les aides et subventions publiques pour protéger votre entreprise (TPE/PME) des cyberattaques
Découvrez les aides et subventions publiques pour protéger votre entreprise (TPE/PME) des cyberattaques Clément Donzel...
L’intelligence émotionnelle au cœur de la cybersécurité
L’intelligence émotionnelle au cœur de la cybersécurité Clément Donzel 23 mars 2024 Non classé...