Mon patrimoine numérique est-il sécurisé ? Les questions pour le dirigeant

Quand on parle « patrimoine », un dirigeant pense immobilier, machines, brevets. Pourtant, dans 80 % des PME françaises, la valeur réelle de l'entreprise réside désormais dans ses actifs numériques : données clients, propriété intellectuelle, comptes en ligne, accès aux outils métier, e-réputation. Et pour la majorité, ces actifs sont protégés au mieux par mot de passe Excel partagé.

• 1. Pouvez-vous lister en 5 minutes les 3 catégories de données les plus critiques pour votre activité ?
• 2. Savez-vous où sont physiquement stockées ces données (cloud, datacenter, NAS local) et dans quel pays ?
• 3. Avez-vous un inventaire à jour de qui peut lire, modifier et supprimer chaque catégorie de données ?
• 4. Vos sauvegardes sont-elles testées en restauration tous les trimestres et stockées hors-ligne ou immuables ?
• 5. En cas de départ d'un salarié clé, ses accès sont-ils coupés sous 24 heures avec preuve de traçabilité ?

• 6. Le nom de domaine de votre entreprise est-il bien enregistré au nom de la société (et pas d'un ancien prestataire) ?
• 7. Vos comptes Google / Microsoft 365 / réseaux sociaux ont-ils tous au moins 2 administrateurs internes nommément identifiés ?
• 8. Votre marque est-elle déposée à l'INPI dans les classes correspondant à votre activité ?
• 9. L'authentification multifacteur (MFA) est-elle activée sur 100 % de vos comptes administrateurs critiques ?
• 10. Avez-vous un coffre-fort de mots de passe d'entreprise (pas un Excel partagé, pas un post-it sur l'écran) ?

• 11. Pouvez-vous lister vos 5 logiciels métier critiques et savez-vous combien de jours d'arrêt ils représentent ?
• 12. Avez-vous un plan de continuité activité (PCA) écrit et testé au moins une fois ces 12 derniers mois ?
• 13. Vos postes de travail et serveurs disposent-ils d'une protection EDR (au-delà du simple antivirus historique) ?
• 14. Les correctifs de sécurité critiques sont-ils appliqués dans les 14 jours sur l'ensemble de vos systèmes ?
• 15. Disposez-vous d'un canal de communication d'urgence si votre messagerie principale est bloquée ?

• 16. Avez-vous une procédure de communication de crise prête (qui parle aux médias, aux clients, aux salariés) ?
• 17. Vos avis Google et présence en ligne sont-ils surveillés mensuellement ?
• 18. Disposez-vous d'un kit de communication clients en cas de fuite de données (lettre type, FAQ, process CNIL) ?
• 19. Vos collaborateurs savent-ils qu'ils ne doivent pas commenter publiquement un incident sans validation ?
• 20. Avez-vous identifié vos 5 parties prenantes prioritaires à informer en cas d'incident majeur (banque, assureur, principaux clients) ?

• 21. Avez-vous évalué le niveau cybersécurité de vos 5 fournisseurs IT et SaaS critiques au cours des 12 derniers mois ?
• 22. Vos contrats fournisseurs incluent-ils des clauses de notification d'incident sous 48 heures et de réversibilité ?
• 23. Votre expert-comptable, votre banque et votre assureur connaissent-ils votre référent cybersécurité ?
• 24. Avez-vous une cyber-assurance couvrant ransomware, fraude au virement et responsabilité civile ?
• 25. En cas d'attaque, savez-vous qui appeler dans l'heure (équipe interne, partenaire externe, autorités) ?

1. Semaine 1

   Cartographier votre patrimoine numérique

   Lister les 3 catégories de données critiques, les comptes admin, les outils métier — sur une seule page.

2. Semaines 2 à 4

   Sécuriser les fondamentaux

   MFA partout, sauvegardes immuables, EDR, coffre-fort de mots de passe. 80 % du risque tombe avec ces 4 mesures.

3. Mois 2

   Construire les procédures critiques

   Plan de continuité, communication de crise, contacts d'urgence. Tester au moins une fois.

4. Mois 3

   Faire auditer par un tiers indépendant

   Audit organisationnel ou test d'intrusion ciblé. Pour valider que ce qui est en place tient face à un attaquant réel.