Protéger les données et les utilisateurs de votre organisation

Pour une PME, une collectivité ou un cabinet libéral, les données ne sont plus un actif comme un autre.
Elles conditionnent l'activité quotidienne, la confiance des clients, la conformité réglementaire et, dans bien des cas, la survie même de la structure. Cette page fait le point sur les enjeux concrets de la protection des données et des utilisateurs, et sur ce que cela change quand on en prend la mesure.

Pourquoi vos données sont devenues une cible prioritaire

Il y a dix ans, la donnée d'une PME ou d'une mairie n'intéressait personne. Aujourd'hui, elle se vend, se chiffre, se revend. Un fichier client, un dossier RH, un dossier patient, une délibération municipale, des coordonnées bancaires : chaque information a une valeur sur les marchés parallèles, et chaque structure connectée à internet est exposée.

Les attaquants ne ciblent plus uniquement les grands groupes. Ils ratissent large, automatisent, scannent. Quand ils trouvent une porte ouverte, ils entrent, peu importe la taille de la maison.

Les chiffres confirment ce basculement. En 2025, Cybermalveillance.gouv.fr a assisté plus de 500 000 victimes, avec une hausse de 73 % d'entreprises accompagnées. Selon le Panorama de la cybermenace 2025 de l'ANSSI, 48 % des victimes de rançongiciels sont des TPE, PME ou ETI, et les exfiltrations de données ont progressé de 51 % en un an. Pour les collectivités, c'est 24 % des incidents traités par l'ANSSI qui concernent les ministères et collectivités.

Notre approche cybersécurité part de ce constat : aujourd'hui, ce n'est plus la taille qui protège, c'est la posture.

Les menaces qui pèsent réellement sur les organisations

Les menaces évoluent vite, mais quatre familles concentrent l'essentiel des incidents observés sur le terrain.

Le rançongiciel et l'exfiltration de données

Le rançongiciel ne se contente plus de chiffrer vos fichiers. Les attaquants exfiltrent les données avant de chiffrer, puis menacent de les publier si la rançon n'est pas payée. C'est ce qu'on appelle la double extorsion, désormais standard dans la majorité des attaques. Payer ne garantit ni la restitution des données, ni leur destruction.

L'hameçonnage et l'usurpation

Le phishing reste le point d'entrée numéro un. Un mail bien conçu, ciblé sur le bon collaborateur, un lien cliqué, et la chaîne d'attaque démarre. L'usurpation d'identité du dirigeant ou du comptable, par mail ou par téléphone, alimente la fraude au virement, qui touche tous les secteurs.

Les fuites involontaires et erreurs internes

Une boîte mail mal configurée, un partage OneDrive ou Drive ouvert au monde entier, une clé USB perdue, un document envoyé au mauvais destinataire. La majorité des incidents RGPD signalés à la CNIL relèvent d'erreurs internes, pas d'attaques. Les utilisateurs sont la première ligne de défense, et la première ligne de fragilité.

Les vulnérabilités exploitées avant correctif

Selon l'ANSSI, 29 % des vulnérabilités sont exploitées le jour même de leur divulgation publique. Autrement dit, entre la découverte d'une faille et son utilisation par des attaquants, il s'écoule parfois quelques heures. Une infrastructure qui ne se met pas à jour rapidement reste exposée même quand la solution existe.

Menaces cyber visant les PME et collectivités, accompagnées par KERIONIS en Ille-et-Vilaine

Ce que coûte une attaque, au-delà de la rançon

Beaucoup de dirigeants raisonnent encore en termes de "coût de la rançon". C'est l'arbre qui cache la forêt. Les conséquences financières d'un incident sérieux se mesurent sur quatre dimensions.

Le coût opérationnel direct. Reconstruction du système d'information, jours d'indisponibilité, recours à des prestataires d'urgence, restauration des sauvegardes, vérification de l'intégrité des données. Ces postes pèsent rapidement plusieurs dizaines de milliers d'euros, même pour une structure moyenne. La continuité de service devient alors la priorité absolue.

Le coût juridique et réglementaire. Le RGPD impose une notification à la CNIL dans les 72 heures en cas de violation de données, et une information aux personnes concernées si le risque est élevé. Pour les structures sous NIS2 (collectivités importantes, secteur santé, opérateurs essentiels), les obligations de notification et de gouvernance se durcissent en 2026. Le dirigeant est personnellement responsable.

Le coût réputationnel. Une fuite de données rendue publique entame la confiance des clients, des fournisseurs, des partenaires et, pour les collectivités, des administrés. Cette confiance se reconstruit lentement, et parfois jamais entièrement.

Le coût humain. Les équipes vivent ces crises avec stress, sentiment d'échec, parfois culpabilité. La perte de productivité dépasse largement la durée technique de l'incident.

Impact opérationnel et financier d'une cyberattaque sur une entreprise, analyse KERIONIS

PME, collectivités, libéraux : ce que vous risquez

Toutes les organisations sont exposées, mais pas de la même manière. Selon votre profil, les enjeux ne se présentent pas dans le même ordre.

Les PME et les TPE

Vous concentrez à la fois la pression économique (chaque jour d'arrêt pèse) et le déficit d'expertise interne. La donnée client est souvent votre principal capital, parfois sans que vous l'ayez jamais formalisé.
Vos marges absorbent mal un sinistre, et votre assurance cyber, si vous en avez une, exige désormais des prérequis techniques précis pour rester valide.

C'est dans ce contexte qu'une infogérance B2B en Ille-et-Vilaine reprend tout son sens : déléguer ce qui ne relève pas de votre métier, à un partenaire qui le pratique au quotidien.

Les collectivités locales

Vous traitez des données sensibles d'usagers (état civil, social, scolaire, santé, fiscal) avec une obligation de continuité du service public. La directive NIS2 transposée en France élargit le périmètre des entités concernées en 2026. Le programme CaRE porté par l'ANSSI (750 millions d'euros d'ici 2027) accompagne notamment le secteur santé, mais les attentes en matière d'hygiène informatique remontent à toutes les strates territoriales.

Les professions libérales et cabinets

Médecin, kinésithérapeute, avocat, expert-comptable, notaire : vous êtes tenu au secret professionnel, et vos données patient ou client ont une valeur particulière. Une compromission engage votre responsabilité ordinale et déontologique, parfois plus lourde que la sanction RGPD elle-même. La taille modeste de votre cabinet n'est pas une protection, c'est souvent l'inverse.

Les angles morts les plus fréquents

Au fil des audits que nous menons sur le terrain, les mêmes failles reviennent. Elles ne sont pas exotiques, elles sont structurelles.

L'absence d'authentification multi-facteurs (MFA) sur les comptes critiques, en particulier la messagerie professionnelle. Une seule fuite de mot de passe, et le compte est compromis. Le MFA neutralise la grande majorité de ces attaques, et il s'active en quelques minutes.

Les comptes administrateurs partagés ou jamais désactivés. Un ancien collaborateur, un ancien prestataire, un ancien stagiaire : les comptes traînent, les accès restent, les portes restent ouvertes.

La politique de mots de passe inexistante ou contournée. Mot de passe écrit sur un post-it, partagé entre collègues, identique sur tous les services, jamais changé depuis cinq ans. Un coffre-fort de mots de passe résout ce problème pour quelques euros par mois.

Les sauvegardes non testées. Avoir une sauvegarde ne sert à rien si on n'a jamais vérifié qu'elle se restaure. Beaucoup d'organisations découvrent au pire moment que leur sauvegarde ne fonctionnait plus depuis des semaines.

L'absence de plan de réponse à incident. Quand l'attaque survient, la première heure compte. Si personne ne sait qui appeler, quoi débrancher, quoi notifier, le sinistre s'aggrave de lui-même.

La dette de sécurité informatique accumulée : Windows obsolète, serveur en bout de course, logiciel métier en version non maintenue, segmentation réseau inexistante. Cette dette se rembourse toujours, soit en investissement maîtrisé, soit en sinistre subi.

Angles morts récurrents en sécurité informatique identifiés par KERIONIS sur le terrain

Construire une posture de sécurité durable

Protéger ses données et ses utilisateurs ne se résume pas à empiler des outils. C'est une posture qui repose sur quelques principes simples, appliqués sans relâche.

Connaître son exposition. Avant de défendre, il faut savoir ce qu'on défend : quelles données, où elles sont stockées, qui y accède, par quels chemins. Sans cette cartographie, toute mesure technique reste partielle.

Réduire la surface d'attaque. Moins d'accès inutiles, moins de comptes dormants, moins de logiciels non maintenus. La sobriété informatique est une stratégie de sécurité.

Protéger les chemins critiques. La messagerie, l'accès distant, les comptes privilégiés : ce sont les trois portes par lesquelles passent l'immense majorité des attaques. Une messagerie professionnelle bien protégée divise déjà sensiblement le risque.

Préparer la reprise. Sauvegarder, oui, mais aussi tester la restauration, documenter les procédures, savoir qui appeler. C'est la différence entre un incident géré et une crise subie.

Outiller les utilisateurs. Vos collaborateurs ne sont ni vos ennemis, ni des pions à former. Ce sont vos premiers capteurs de signaux faibles, à condition de leur donner les bons réflexes.

Construire une posture de sécurité durable pour PME et collectivité avec KERIONIS

L'approche KERIONIS, du diagnostic à la résilience

Notre rôle n'est pas de vendre des outils, c'est de vous donner une posture de sécurité tenable dans la durée, adaptée à votre taille, à votre métier et à votre budget.

Nous commençons toujours par un échange et un état des lieux.
Ce premier travail nous permet d'identifier les risques réels et hiérarchisés, et de proposer un chemin progressif plutôt qu'un bouquet de prestations. Vous ne payez pas ce dont vous n'avez pas besoin, et vous comprenez chaque ligne du devis.

Sur les dossiers que nous accompagnons, nous restons votre interlocuteur unique. Pas de plateau de support qui change d'agent à chaque appel, pas de sous-traitance silencieuse. C'est cette continuité qui rend la sécurité opérationnelle, et non bureaucratique.

Nous nous appuyons sur des partenaires technologiques choisis (éditeurs reconnus, fabricants français quand pertinent, sauvegarde externalisée, supervision continue), mais le cœur de notre travail reste humain : comprendre votre fonctionnement, anticiper les angles morts, vous tenir informé.

Nous sommes référencés sur Cybermalveillance.gouv.fr et travaillons avec les outils et méthodologies de l'ANSSI et de Breizh Cyber.
Pour découvrir notre démarche dans son ensemble, voir qui se cache derrière KERIONIS.

Faire le point sur votre exposition

Si vous êtes dirigeant de PME, élu local, secrétaire général de mairie ou professionnel libéral en Ille-et-Vilaine ou en Bretagne, et que la lecture de cette page vous a fait penser à une situation précise dans votre organisation, il y a probablement matière à en parler.

Un premier échange permet de qualifier votre exposition réelle, sans engagement et sans pression commerciale. Vous repartez avec une lecture honnête de votre situation, que vous travailliez ensuite avec nous ou non.

Prendre contact avec KERIONIS

Questions fréquentes sur la protection des données

Combien coûte une cyberattaque à une PME ?

Le coût varie selon l'incident, mais il dépasse presque toujours la seule rançon. Il faut additionner la reconstruction du système, les jours d'arrêt d'activité, les notifications réglementaires (CNIL sous 72 heures), les recours juridiques, et les conséquences sur la confiance client. Pour une PME moyenne, un incident sérieux représente plusieurs dizaines de milliers d'euros, souvent davantage si la structure n'avait pas anticipé la reprise.

Responsabilité du dirigeant en cas de fuite ?

Le RGPD impose au responsable de traitement (généralement le dirigeant ou la personne morale) la déclaration de la violation à la CNIL dans les 72 heures, et l'information des personnes concernées si le risque pour leurs droits est élevé. Les sanctions financières peuvent atteindre 4 % du chiffre d'affaires annuel mondial. Pour les collectivités, la responsabilité de l'élu peut également être engagée.

Une petite structure est-elle vraiment ciblée ?

Oui, et de plus en plus. Le Panorama ANSSI 2025 indique que 48 % des victimes de rançongiciels sont des TPE, PME ou ETI. Les attaquants automatisent leurs scans et entrent là où la défense est faible. La taille de votre structure n'est pas une protection, c'est souvent un facteur d'exposition supplémentaire.

Qu'est-ce que la double extorsion ?

La double extorsion désigne une technique devenue courante : avant de chiffrer vos fichiers, l'attaquant exfiltre vos données. Si vous refusez de payer la rançon, il menace de publier ou de vendre les données volées. Payer ne garantit ni la restitution des fichiers, ni la non-publication des données.

Par où commencer pour protéger ses données ?

Par un état des lieux honnête : quelles données vous traitez, où elles sont stockées, qui y accède, comment vous sauvegardez, qui appeler en cas d'incident. C'est ce diagnostic initial qui détermine ensuite les priorités d'action. Mieux vaut quelques mesures bien appliquées qu'un empilement d'outils mal configurés.