Une surface d'attaque réelle, un budget limité
En 2023, le Centre national pour la cybersécurité (NCSC) a enregistré plus de 49 000 signalements d'incidents en Suisse, dont une proportion croissante implique des PME de moins de 50 collaborateurs. Le vecteur dominant reste le phishing suivi d'une compromission de compte Microsoft 365 ou Google Workspace — un scénario qui ne requiert aucune vulnérabilité technique, seulement un mot de passe recyclé et l'absence de MFA.
Le modèle zero-trust part d'un postulat simple : aucun utilisateur, aucun appareil, aucun réseau n'est fiable par défaut, même s'il est physiquement dans vos locaux. Pour une PME de 30 employés, cette philosophie se traduit par une série de contrôles empilables, déployables progressivement, sans refondre l'infrastructure en un seul projet.
Cadre légal : ce que la nLPD impose concrètement
Depuis le 01.09.2023, la nouvelle loi fédérale sur la protection des données (nLPD, RS 235.1) impose à toute entreprise traitant des données personnelles de garantir la sécurité de ces données par des mesures techniques et organisationnelles appropriées (art. 8 nLPD). Concrètement :
- Registre des activités de traitement : obligatoire pour les PME dont le traitement présente un risque élevé ; fortement conseillé pour toutes.
- Notification au Préposé fédéral à la protection des données (PFPDT) : en cas de violation de données susceptible d'entraîner un risque élevé pour les personnes concernées, délai aussi bref que possible (sans délai fixe chiffré dans la loi, la pratique converge vers 72 heures, calquée sur le RGPD).
- Sanctions : jusqu'à CHF 250 000 d'amende pénale personnelle (dirigeant ou responsable), non assurable dans la plupart des polices cyber suisses.
Le zero-trust n'est pas une obligation légale explicite, mais ses piliers — moindre privilège, journalisation, chiffrement, contrôle d'accès granulaire — correspondent précisément aux mesures que le PFPDT et les tribunaux considèrent comme « appropriées » pour des données de catégories sensibles (données de santé, données financières, données RH).
Les cinq piliers zero-trust adaptés à une PME de 30 postes
1. Identité : MFA obligatoire, pas optionnel
L'identité est le nouveau périmètre. Pour une PME de 30 employés, l'ordre de déploiement recommandé est le suivant :
- Activer le MFA sur tous les comptes cloud (Microsoft 365, Google Workspace, AWS, portail RH) — délai cible : 5 jours ouvrés.
- Migrer vers des méthodes résistantes au phishing : clés de sécurité matérielles (FIDO2) ou Microsoft Authenticator avec correspondance de numéro. Éviter les OTP SMS seuls (vulnérables au SIM-swapping).
- Mettre en place des politiques d'accès conditionnel : bloquer la connexion depuis des pays hors périmètre opérationnel, exiger un appareil conforme (Intune compliance policy ou profil MDM équivalent).
- Supprimer ou désactiver les comptes inactifs sous 30 jours — revue trimestrielle, responsable : DSI ou administrateur système.
Pour 30 comptes, l'achat de 35 clés FIDO2 de niveau AAL2 (Yubico 5C NFC ou équivalent) représente un coût unique d'environ CHF 1 750 à CHF 2 100, soit CHF 58 à CHF 70 par poste — un investissement inférieur au coût horaire d'une gestion d'incident.
2. Endpoints : inventaire, durcissement, MDM
Vous ne pouvez pas protéger ce que vous ne connaissez pas. Étape zéro : dresser l'inventaire exhaustif de tous les équipements (portables, mobiles, éventuels Raspberry Pi de développement) avec leur version OS.
Seuils minimaux à appliquer immédiatement :
- macOS : version 14 (Sonoma) minimum, FileVault activé, Gatekeeper en mode « App Store et développeurs identifiés ».
- Windows : Windows 11 22H2 minimum (idéalement 23H2), BitLocker activé avec clé de récupération stockée hors du poste, Secure Boot activé.
- iOS/Android : profil MDM enrôlé, chiffrement de stockage vérifié, applications métier distribuées via Apple Business Manager ou Android Enterprise.
Un outil MDM (gestion unifiée des endpoints) permet d'appliquer ces configurations à distance, de détecter les postes non conformes et de forcer une mise à jour OS. Le CIS Benchmark Level 1 pour Windows 11 et macOS 14 constitue la référence de durcissement la plus accessible pour une PME sans équipe sécurité dédiée.
3. Réseau : segmentation minimale et DNS filtrant
Pour une PME de 30 postes avec un seul site, la segmentation réseau complète (VLAN par rôle, pare-feu est-ouest) est rarement réaliste à court terme. La priorité est :
- VLAN invités séparé : aucun accès aux ressources internes depuis le Wi-Fi visiteurs ou les appareils personnels non gérés.
- DNS filtrant (ex. Quad9, résolveur suisse, ou solution on-premise) : bloque les domaines malveillants connus avant même l'établissement d'une connexion TCP. Port UDP/53 et DoH (TCP/443) à contrôler.
- Pas de RDP exposé sur Internet : port TCP 3389 fermé au pare-feu périmétrique. Accès distant uniquement via VPN ou solution zero-trust network access (ZTNA) avec authentification forte.
- Journalisation des flux : activer les logs pare-feu avec rétention minimale de 90 jours (recommandation NCSC pour les PME, alignée sur la nLPD pour la traçabilité).
4. Données : classification et chiffrement au repos
Sans classification, tout est prioritaire — donc rien ne l'est. Un schéma à trois niveaux suffit pour une PME :
- Public : documents marketing, contenu site web.
- Interne : procédures, offres, données collaborateurs non sensibles.
- Confidentiel : données clients identifiantes, données financières, données de santé, secrets d'affaires.
Les données « confidentiel » doivent être chiffrées au repos (BitLocker/FileVault sur les postes, chiffrement côté serveur sur le stockage cloud) et en transit (TLS 1.2 minimum, TLS 1.3 recommandé). L'accès doit être restreint au moindre privilège : un comptable n'a pas besoin d'accéder aux dossiers RH, et un commercial n'a pas besoin d'accéder à la base de données clients complète.
5. Surveillance et réponse à incident
Une PME de 30 employés ne peut pas opérer un SOC 24/7. L'objectif est de disposer d'une visibilité minimale permettant de détecter une compromission dans un délai raisonnable (idéalement sous 24 heures, contre une médiane de plusieurs semaines observée lors des incidents PME).
Actions concrètes :
- Activer les alertes de connexion anormale dans Microsoft 365 ou Google Workspace (nouveau pays, heure inhabituelle, volume de téléchargement anormal).
- Configurer une alerte sur les modifications de règles de messagerie (redirections automatiques vers l'externe — signe classique de BEC).
- Définir un plan de réponse à incident documenté : qui appelle qui, dans quel ordre, avec les numéros hors bande. Le NCSC met à disposition des ressources spécifiques aux entreprises pour structurer cette démarche.
- Tester le plan une fois par an (simulation de phishing, exercice tabletop).
Cas pratique : fiduciaire romande de 28 postes
Contexte : Cabinet fiduciaire basé à Lausanne, 28 collaborateurs (4 associés, 18 fiduciaires, 4 assistants, 2 stagiaires), 100 % Microsoft 365 E3, 22 PC Windows 11 et 6 MacBook Pro (macOS 13 au départ), pas de MDM en place, RDP exposé sur Internet pour accès aux serveurs de comptabilité, aucun MFA actif sur les comptes Microsoft. Traitement de données fiscales et financières de ~350 clients PME — catégorie sensible au sens de la nLPD.
Incident déclencheur : En janvier 2024, un collaborateur clique sur un faux e-mail ESTV (Administration fédérale des contributions). Ses identifiants Microsoft sont exfiltrés. L'attaquant installe une règle de transfert automatique vers un compte Gmail externe et consulte 3 semaines de correspondance client avant détection.
Séquence de remédiation et de mise en conformité zero-trust (12 semaines) :
- Semaine 1 — Confinement immédiat : révocation de toutes les sessions Microsoft 365, réinitialisation forcée des mots de passe, suppression des règles de messagerie malveillantes, notification interne aux associés. Évaluation du risque pour les personnes concernées (clients dont les données ont été exposées).
- Semaine 1 — Évaluation PFPDT : le DSI (ici l'associé IT) et le juriste externe concluent que les données exposées incluent des informations fiscales identifiantes — risque élevé probable. Notification au PFPDT préparée, envoyée dans les 72 heures suivant la confirmation de la violation.
- Semaines 1-2 — MFA universel : activation de l'authentification multifacteur pour les 28 comptes Microsoft 365, méthode : Microsoft Authenticator avec correspondance de numéro. Coût : inclus dans la licence E3. Blocage conditionnel des connexions hors Suisse et France (clients transfrontaliers).
- Semaines 2-4 — MDM et durcissement endpoints : enrôlement des 28 postes dans Microsoft Intune (inclus E3). Déploiement des politiques CIS Benchmark Level 1 Windows 11 et macOS 14 (mise à jour forcée depuis macOS 13). BitLocker et FileVault activés, clés escrowées dans Intune. Coût supplémentaire : CHF 0 (licence existante).
- Semaine 3 — Fermeture RDP : port TCP 3389 fermé au pare-feu. Accès aux serveurs de comptabilne via VPN IPsec avec authentification par certificat (EAP-TLS). Serveur VPN : appliance existante reconfigurée, durée : 4 heures DSI externe à CHF 180/h = CHF 720.
- Semaines 4-6 — Classification et droits d'accès : audit des partages SharePoint et dossiers réseau. Application du principe du moindre privilège : les fiduciaires accèdent uniquement aux dossiers de leurs clients assignés. Suppression de 12 comptes orphelins (anciens stagiaires). Durée : 2 jours DSI externe = CHF 2 880.
- Semaines 6-12 — Surveillance et plan IR : activation des alertes Microsoft Sentinel (tier gratuit) ou Defender for Office 365 Plan 1 (CHF 2.30/utilisateur/mois ≈ CHF 64/mois pour 28 postes). Rédaction du plan de réponse à incident sur 8 pages, testé via simulation phishing interne.
Bilan financier total :
- Clés FIDO2 (option retenue en phase 2, non urgente) : CHF 1 680
- Reconfiguration VPN : CHF 720
- Audit droits d'accès : CHF 2 880
- Defender for Office 365 Plan 1 (annuel) : CHF 768
- Total première année : CHF 6 048 — à comparer au coût d'un incident BEC moyen en Suisse, estimé entre CHF 15 000 et CHF 80 000 (gestion de crise, notification clients, honoraires juridiques, perte de chiffre d'affaires).
Récapitulatif opérationnel
- Identité d'abord : MFA sur tous les comptes cloud dans les 5 jours ouvrés suivant la décision — c'est le contrôle à ROI le plus élevé.
- Inventaire complet des endpoints avant tout déploiement MDM : OS, version, propriétaire (entreprise ou BYOD), état de chiffrement.
- Fermer les ports exposés : RDP (TCP 3389), SMB (TCP 445), et tout service d'administration accessible depuis Internet sans VPN ou ZTNA.
- Appliquer le CIS Benchmark Level 1 pour Windows 11 et macOS 14 via politique MDM — ne pas le faire manuellement poste par poste.
- Principe du moindre privilège : auditer et restreindre les droits d'accès aux fichiers, SharePoint et applications métier — revue semestrielle minimum.
- DNS filtrant actif pour tous les postes, y compris en télétravail (profil MDM qui force le résolveur filtrant).
- Plan de réponse à incident documenté : 1 page minimum avec contacts hors bande, critères de notification PFPDT, procédure de révocation de session.
- Journaux conservés 90 jours minimum (pare-feu, connexions Azure AD / Entra ID, accès aux fichiers sensibles) — requis pour toute investigation post-incident.
- Test annuel : simulation de phishing interne + exercice tabletop sur scénario ransomware ou BEC.
- nLPD : tenir le registre des traitements à jour et documenter les mesures de sécurité en place — c'est la première chose que le PFPDT demande lors d'un contrôle.
SynGuard accompagne les PME romandes dans la mise en œuvre de ces contrôles via une approche MDM-first, sans lock-in éditeur.
Sources
- Loi fédérale sur la protection des données (nLPD, RS 235.1) — fedlex.admin.ch — Texte consolidé de la nouvelle LPD en vigueur depuis le 01.09.2023.
- NCSC — Informations pour les entreprises — Ressources et conseils du Centre national pour la cybersécurité à destination des PME suisses.
- Préposé fédéral à la protection des données et à la transparence (PFPDT) — Autorité de surveillance compétente pour les violations de données sous la nLPD.
- CIS Benchmarks — Center for Internet Security — Référentiels de durcissement pour Windows 11, macOS 14 et autres plateformes.
- NIST Cybersecurity Framework (CSF) — nist.gov — Cadre de référence pour structurer une démarche de sécurité par domaine (Identify, Protect, Detect, Respond, Recover).