Violations de données en PME : comment ça arrive vraiment (et comment s’en protéger)

Qu’est-ce qu’une violation de données ?

Les violations de données désignent toute situation dans laquelle une personne accède sans autorisation à des données sensibles qui ne lui appartiennent pas.

Il ne s’agit pas toujours d’actes de malveillance. Parfois, c’est simplement de la négligence.

Comment les violations de données se produisent réellement

L’erreur humaine : la cause la plus fréquente

La majorité des fuites de données ne viennent pas de hackers sophistiqués, mais d‘erreurs banales.
Scénarios courants :

Le partage mal configuré
⇒ Un collaborateur partage un dossier Google Drive contenant des contrats clients en mettant « Accessible à toute personne ayant le lien ». Le lien est partagé dans un email, puis transféré. Résultat : des données sensibles accessibles publiquement pendant des mois sans que personne ne s’en aperçoive.
L’email envoyé au mauvais destinataire
⇒ Un fichier Excel avec la base clients part à « contact@concurrent.fr » au lieu de « contact@client.fr ». Erreur de saisie, copier-coller raté. Les données sont dehors.
Le WeTransfer sans mot de passe
⇒ Envoi de documents comptables via WeTransfer ou Dropbox, lien sans mot de passe, pas d’expiration. N’importe qui avec le lien peut accéder.
La clé USB oubliée
⇒ Un commercial copie la base prospects sur une clé USB pour « bosser le weekend ». La clé reste dans un taxi. Aucun chiffrement.

Point important : L’erreur humaine n’est pas toujours un problème de « manque de formation ». C’est souvent un problème de friction. Si partager un fichier de façon sécurisée prend 5 étapes et 3 minutes, vos collaborateurs vont chercher la solution de facilité.

Les accès non-maîtrisés

Le stagiaire parti il y a 6 mois
Son compte Google Workspace est toujours actif. Il peut accéder au Drive, lire les emails partagés, télécharger des fichiers. Personne n’a pensé à désactiver ses accès.
Le prestataire de 2019
Vous aviez créé un compte Trello pour un projet ponctuel. Le projet est terminé depuis 3 ans. Le compte est toujours actif, avec accès à vos boards internes.
Le BYOD non-encadré
Vos employés utilisent leur smartphone personnel pour lire les emails pros, accéder au CRM. Le téléphone est perdu ou volé. Aucun effacement à distance possible. Vos employés utilisent leur smartphone personnel pour accéder aux outils pro, sans MDM, sans chiffrement, sans politique claire. C’est l’un des angles morts les plus courants du travail à distance et de la sécurité des données, et l’un des plus difficiles à corriger une fois l’habitude installée.
L’appareil partagé
Un PC « commun » utilisé par plusieurs personnes, sans session utilisateur distincte. Tous les mots de passe sont sauvegardés, tous les fichiers accessibles.

Les configurations par défaut dangereuses

Le NAS accessible depuis internet
⇒ Votre serveur Synology est exposé directement sur internet avec un login « admin/admin ». N’importe qui peut tenter de s’y connecter.
Les mots de passe réutilisés
⇒ Le même mot de passe pour Gmail pro, le CRM, l’hébergeur. Si l’un est compromis (fuite de données d’un service), tous les comptes tombent.
Les logiciels jamais mis à jour
⇒ Un WordPress 5.8 avec une faille connue depuis 18 mois. Un bucket AWS S3 en mode « public » par défaut. Une app mobile qui stocke les données en clair.
L’absence de double authentification
⇒ Un compte Google Workspace admin sans MFA. Un email de phishing suffit pour compromettre tout l’accès.

Les protections de base à mettre en place (avant de penser au VPN)

1. L’authentification multifactorielle (MFA) : la priorité absolue

Pourquoi c’est la priorité numéro un : La majorité des compromissions de comptes pourraient être évitées avec une double authentification.
Ce qu’il faut faire :
Activez la MFA sur tous vos comptes critiques :

• Google Workspace ou Microsoft 365 (obligatoire pour tous les utilisateurs)
• Accès admin (hébergeur, CRM, outils de paiement)
• VPN d’entreprise si vous en avez un

Quelle méthode choisir :

• Utilisez une application TOTP (Authy, Microsoft Authenticator, Google Authenticator) plutôt que les SMS (vulnérables au SIM swapping)
• Pour les comptes les plus critiques (admin, finance), envisagez une clé matérielle (YubiKey, environ 50 €)

Le piège à éviter : Si la MFA est trop lourde (validation demandée 10 fois par jour), vos employés vont chercher à la contourner. Configuration optimale : MFA à la connexion + mémorisation de l’appareil pendant 30 jours.

2. La gestion rigoureuse des accès

Le problème : Les accès s’accumulent au fil du temps. Stagiaires partis, prestataires qui ne travaillent plus avec vous, comptes oubliés.
Procédure d’offboarding (à appliquer systématiquement) :

Quand quelqu’un quitte l’entreprise, cette checklist doit être suivie dans les 24h :

☐ Désactiver le compte email principal
☐ Révoquer les accès Slack/Teams
☐ Supprimer des groupes Google Drive / OneDrive partagés
☐ Retirer des outils SaaS (CRM, facturation, outils métier)
☐ Désactiver le compte VPN si vous en avez un
☐ Révoquer les accès API, clés SSH (GitHub, GitLab)
☐ Faire un audit des partages créés par cette personne
☐ Récupérer les appareils pro ou effacer les données si BYOD

Temps estimé : 30 minutes si vous avez une procédure établie.
Bonne pratique : Créez des groupes d’accès (« Équipe_Compta », « Équipe_Dev ») plutôt que de donner des droits individuels. Quand quelqu’un part, vous le retirez du groupe et tous ses accès sont révoqués automatiquement.
Outils pour centraliser : Google Workspace Admin Console, Microsoft Entra (ex-Azure AD), ou JumpCloud pour les PME multi-cloud.

3. La sensibilisation continue (pas une formation annuelle)

Ce qui ne marche pas : Une formation PowerPoint de 2 heures une fois par an avec un quiz obligatoire que tout le monde oublie.
Ce qui marche : Des rappels courts, réguliers, concrets.
Format efficace :
Un tips par semaine via email ou Slack (30 secondes de lecture)
Exemple : « Cette semaine : avant de cliquer sur un lien, survolez-le pour voir l’URL réelle. Si c’est un lien bizarre (ex : micr0s0ft.com au lieu de microsoft.com), ne cliquez pas. »
Une simulation de phishing par trimestre
Envoyez un faux email de phishing en interne (avec accord de la direction). Ceux qui cliquent reçoivent une explication pédagogique, pas une sanction. L’objectif est d’entraîner, pas de mettre la pression.

Un quiz ludique mensuel
3 questions rapides, avec un classement anonymisé si vous voulez gamifier.

Thématiques essentielles à couvrir :

• Reconnaissance du phishing (vérifier l’expéditeur, les liens, l’urgence artificielle)
• Gestion des mots de passe (utiliser un password manager, ne jamais réutiliser)
• Partage sécurisé de fichiers (éviter WeTransfer sans mot de passe)
• Que faire en cas de doute (créer un canal de signalement interne)

Outils de simulation de phishing : Hoxhunt (environ 3 €/utilisateur/mois, gamifié), Caniphish (environ 2 €/utilisateur/mois, français).
Approche à éviter : Sanctionner les employés qui se font avoir. Ça crée une culture de dissimulation où les gens ne signalent plus les incidents par peur.

4. Le chiffrement des appareils

Scénario : Un PC portable est volé dans un train. Si le disque n’est pas chiffré, toutes les données sont accessibles.
Solution :

• Windows : BitLocker (nécessite Windows Pro, environ 15 € d’upgrade si vous avez Home)
• macOS : FileVault (inclus, à activer dans Préférences Système > Sécurité)
• Linux : LUKS (à configurer lors de l’installation)

Procédure :

• Activer le chiffrement intégral du disque
• Sauvegarder la clé de récupération dans un endroit sécurisé (password manager, pas sur le PC)
• Imposer un mot de passe de session fort (12 caractères minimum)
• Verrouillage automatique après 5 minutes d’inactivité

Limite importante : Le chiffrement ne protège que si le PC est éteint. Un ordinateur en veille a son disque déchiffré.

Le rôle du VPN dans cette stratégie de protection

Un VPN d’entreprise n’est pas une solution de sécurité globale. C’est un outil de protection réseau qui a des cas d’usage précis.
Ce qu’un VPN professionnel protège réellement

1. Le chiffrement du trafic réseau

Scénario protégé : Un commercial connecte son ordinateur au Wi-Fi d’un hôtel pour accéder au CRM de l’entreprise.
⇒ Sans VPN, les données transitent en clair (ou avec un chiffrement faible). Un attaquant sur le même réseau Wi-Fi peut intercepter les informations.
⇒ Avec VPN, toutes les données passent dans un tunnel chiffré. Même si le Wi-Fi est malveillant, l’attaquant ne voit que du trafic chiffré illisible.
Protocoles de chiffrement courants : AES-256 (WireGuard®, OpenVPN), considéré comme très robuste.
Limite importante : Le VPN protège uniquement le trajet réseau. Si l’ordinateur est infecté par un keylogger ou un malware, le VPN ne protège rien.

2. L’accès contrôlé aux ressources internes

Scénario : Votre entreprise héberge un serveur de fichiers (NAS) ou une base de données interne. Vos collaborateurs doivent y accéder depuis l’extérieur.
Mauvaise pratique : Exposer le NAS directement sur internet avec un port ouvert. N’importe qui peut tenter de s’y connecter par brute force.
Avec VPN : Le NAS n’est accessible que via le tunnel VPN. Pas d’exposition publique, surface d’attaque réduite.
Avantage en entreprise : Vous pouvez définir qui accède à quoi. Par exemple, la comptabilité accède au serveur de fichiers, les développeurs accèdent au serveur GitLab, le marketing n’accède à rien.

3. Le masquage d’IP et la géolocalisation

Si votre entreprise travaille avec des clients dans des pays à surveillance forte, ou si vous devez accéder à des services bloqués localement, un VPN permet à vos collaborateurs d’apparaître depuis un autre pays.
Limite : Un VPN ne rend pas anonyme. 

Ce qu’un VPN ne fait PAS

Il ne protège pas contre le phishing
⇒ Si un employé clique sur un faux lien Office 365 et saisit ses identifiants, le VPN n’y change rien. L’attaquant récupère les credentials.
Il ne détecte pas les malwares
⇒ Un VPN n’est pas un antivirus. Si un fichier malveillant est téléchargé et exécuté, le VPN ne le bloque pas.
Il ne chiffre pas les données au repos
⇒ Le VPN chiffre en transit (pendant le trajet réseau). Une fois les données stockées sur le disque dur, elles sont chiffrées ou non selon la configuration locale. Si le PC est volé, le VPN ne protège rien.
Il ne gère pas les permissions applicatives
⇒ Si vous utilisez Google Workspace, le VPN ne contrôle pas qui peut voir quel fichier dans Drive. Ça, c’est la responsabilité des paramètres Google Workspace.
Il ne remplace pas une politique de sécurité
⇒ Un VPN sans MFA, sans procédure d’offboarding, sans audit régulier, c’est une passoire avec un tunnel chiffré.

VPN consumer vs VPN professionnel : les différences clés

Si vous envisagez un VPN pour votre entreprise, ne prenez pas un VPN grand public (NordVPN, ExpressVPN). Voici pourquoi :

Gestion centralisée

VPN consumer : chaque appareil doit être configuré manuellement, un par un
VPN business : provisioning automatique via annuaire d’entreprise (Google Workspace, Active Directory)

Contrôle d’accès granulaire

VPN consumer : tout ou rien (soit vous êtes connecté, soit non)
VPN business : vous définissez qui accède à quelle ressource (Alice accède au NAS, Bob accède à GitLab, Charlie à rien)

Révocation instantanée

VPN consumer : si quelqu’un part, il faut récupérer l’appareil pour désactiver l’accès
VPN business : vous désactivez le compte, l’accès est coupé immédiatement sur tous ses appareils

Logs et audit

VPN consumer : aucun log centralisé, vous ne savez pas qui s’est connecté quand
VPN business : logs centralisés (qui s’est connecté, depuis où, à quelle heure, à quelle ressource)

Exemples de VPN professionnels : NordLayer (environ 7 €/utilisateur/mois) ou encore Proton for Business (environ 8 €/utilisateur/mois).

Quand un VPN d’entreprise devient pertinent

OUI si :

• Vos collaborateurs accèdent à des ressources internes depuis l’extérieur (serveurs, NAS, bases de données)
• Vous avez des données sensibles qui ne doivent pas transiter en clair
• Vous voulez centraliser le contrôle d’accès réseau

NON (ou secondaire) si :

• Vous utilisez uniquement des outils cloud (Google Workspace, Salesforce, Notion) qui gèrent eux-mêmes l’authentification et le chiffrement
• Vos employés n’accèdent à aucune ressource interne
• Vous n’avez pas encore mis en place MFA, gestion des accès, et sensibilisation (ce sont les priorités)

Recommandation : Un VPN business devient pertinent à partir de 5-10 employés avec des accès à des ressources internes. En-dessous, investissez d’abord dans les fondations (MFA, password manager, sensibilisation).

Par où commencer : checklist des 3 premières actions

Si vous ne deviez faire que 3 choses cette semaine :

1. Activer la double authentification (MFA)
Sur Google Workspace ou Microsoft 365, pour tous les comptes. Temps estimé : 30 minutes. Coût : gratuit.
2. Faire un audit des accès
Listez tous les comptes actifs dans vos outils (Google, Slack, CRM, hébergeur). Désactivez ceux des personnes qui ne travaillent plus avec vous. Temps estimé : 1 heure.
3. Créer une procédure d’offboarding
Imprimez la checklist ci-dessus, collez-la quelque part. La prochaine fois que quelqu’un part, vous savez quoi faire. Temps estimé : 30 minutes.
Budget estimé pour une PME de 10-15 personnes :

• MFA : inclus dans Google Workspace / Microsoft 365
• Password manager : environ 50 €/mois (1Password Business, Bitwarden)
• Sensibilisation : environ 30 €/mois (Caniphish) ou gratuit si vous faites vous-même
• Chiffrement des disques : inclus (BitLocker/FileVault)
• VPN professionnel (si pertinent) : environ 100 €/mois

Total : environ 180-230 €/mois
À comparer au coût moyen d’un incident de sécurité pour une PME : plusieurs milliers d’euros (amendes RGPD, perte d’exploitation, remédiation, impact réputationnel).

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !

Note de transparence :

Cet article n'est pas sponsorisé. Il traite simplement d'un sujet d'actualité pertinent dans le domaine de la protection des données.

Si vous décidez d’essayer un service via le lien fourni, l’équipe recevra une petite commission sans frais supplémentaires pour vous. Cette commission nous permet de continuer à fournir du contenu de qualité et à maintenir ce site indépendant sans bannières publicitaires intrusives, pour une lecture plus agréable sans suivi.

Soyez assuré que notre analyse et nos opinions sont objectifs et basées sur nos recherches et notre expérience dans le domaine de la cybersécurité. Nous sommes indépendants.