Cybersecurite PME belge 2026 : le guide pratique anti-ransomware

Une PME belge sur deux a ete confrontee a un incident de securite au cours des douze derniers mois, selon les publications recurrentes du Centre pour la Cybersecurite Belgique (CCB). Le ransomware n'est plus un probleme reserve aux grands groupes. En 2026, les attaquants ciblent deliberement les PME de 5 a 50 postes parce qu'elles cumulent trois caracteristiques : de la donnee sensible, une capacite de paiement, et une defense souvent incomplete.

Ce guide pratique decrit les cinq briques qui, combinees, bloquent plus de 90 % des attaques opportunistes. Aucune n'est optionnelle. Aucune n'est revolutionnaire. Mais c'est leur absence qui explique la majorite des incidents que nous voyons sur le terrain.

1. La menace en 2026 : ce qui touche vraiment les PME

Le paysage des attaques contre les PME belges s'est stabilise autour de trois grandes familles :

Ransomware double extorsion. L'attaquant chiffre vos donnees puis menace de les publier si vous ne payez pas. Paiement moyen constate sur le marche PME : entre 20 000 et 80 000 euros, sans garantie de recuperer les donnees.
Business Email Compromise (BEC). Usurpation d'identite d'un dirigeant ou d'un fournisseur pour detourner un virement. Montant typique en Belgique : 10 000 a 100 000 euros par incident.
Phishing credentiel. Vol de mots de passe Microsoft 365 ou Google Workspace pour rebondir vers un BEC ou un ransomware.

Le portail Safeonweb du CCB publie des alertes hebdomadaires sur les campagnes actives en Belgique. S'y abonner est la premiere etape gratuite a ne pas manquer.

Chiffre a retenir

Le CCB indique que le temps moyen entre l'infection initiale et le declenchement du chiffrement par ransomware est tombe sous les 24 heures. Autrement dit : si vous detectez l'intrusion le lundi matin, le chiffrement a deja commence. La prevention compte plus que la detection.

2. Le cadre legal : NIS2 et obligations RGPD

Deux textes encadrent aujourd'hui vos obligations cyber en Belgique :

La directive NIS2 (transposee le 18 octobre 2024)

La Belgique a transpose NIS2 via la loi du 26 avril 2024, entree en vigueur le 18 octobre 2024. Elle impose a de nombreuses PME (secteurs essentiels et importants) des mesures minimales : politique de securite, gestion des incidents, continuite d'activite, chaine d'approvisionnement, chiffrement, MFA. Voir notre guide NIS2 PME Belgique pour savoir si vous etes concerne.

Le RGPD et l'APD

Un ransomware qui chiffre des donnees personnelles constitue une violation au sens du RGPD. Vous avez 72 heures pour notifier l'Autorite de Protection des Donnees (APD). Les sanctions PME pour manquement peuvent atteindre 4 % du chiffre d'affaires mondial.

3. Brique 1 : l'authentification forte (2FA/MFA)

Si vous ne devez faire qu'une seule chose ce trimestre, c'est activer la MFA sur tous les comptes. Microsoft indique que l'authentification multifacteur bloque plus de 99 % des attaques automatisees sur les comptes cloud.

Ou l'activer en priorite

Comptes Microsoft 365 / Google Workspace de tous les utilisateurs (pas uniquement les admins).
VPN et acces distants au reseau d'entreprise.
Banque en ligne et logiciels de compta (Horus, BOB, Winbooks, etc.).
Comptes administrateurs sur serveurs, NAS, firewall.

Quel facteur utiliser

Par ordre de securite decroissante : cle physique FIDO2, application authenticator (Microsoft Authenticator, Google Authenticator), SMS (a eviter si possible, vulnerable au SIM swapping). Pour une PME, l'app authenticator est le bon compromis cout-securite.

Besoin d'aide pour deployer la MFA sur tout votre parc ?
Nos packs Business et Managed incluent le deploiement MFA Microsoft 365 et la formation utilisateurs. Demandez un devis sans engagement.

Demander un devis →

4. Brique 2 : la sauvegarde 3-2-1

La sauvegarde reste la seule garantie concrete de pouvoir refuser une rancon. La regle 3-2-1 date de plus de 15 ans mais reste la reference :

3 copies des donnees (production + 2 sauvegardes).
2 supports differents (disque interne + disque externe ou cloud).
1 copie hors site (geographiquement separee, idealement cloud ou site secondaire).

Pour aller plus loin sur l'implementation concrete, lisez Backup 3-2-1 pour PME : la meilleure strategie 2026.

Piege frequent

Une sauvegarde non testee n'est pas une sauvegarde. Planifiez un test de restauration trimestriel. Sur 100 PME qui pensent avoir un backup, 30 decouvrent qu'il ne fonctionne pas le jour ou elles en ont besoin.

5. Brique 3 : un EDR sur chaque poste

L'antivirus classique est obsolete. Les solutions modernes s'appellent EDR (Endpoint Detection and Response) ou XDR. Elles combinent detection comportementale, isolement automatique des postes compromis et journal centralise.

Ce qu'un EDR PME doit offrir au minimum

Detection par comportement (pas seulement par signature).
Isolement automatique d'un poste en cas d'alerte critique.
Console centralisee pour voir tous les postes d'un coup.
Protection anti-ransomware avec rollback de fichiers (certains outils).
Conformite RGPD (hebergement UE).

Budget a prevoir : entre 4 et 12 euros par poste par mois selon l'editeur et le niveau de service. Pour une PME de 15 postes, comptez 60 a 180 euros par mois.

6. Brique 4 : le filtrage email

Plus de 90 % des attaques commencent par un email. Un filtre email moderne bloque automatiquement :

Les pieces jointes executables suspectes (.exe, .js, .vbs, macros Office armees).
Les liens vers des domaines de phishing connus.
Les tentatives d'usurpation du domaine de l'entreprise (SPF, DKIM, DMARC).
Les attaques homographes (domaines qui ressemblent au votre avec un caractere modifie).

Microsoft Defender for Office 365 (inclus dans certains plans Microsoft 365) et Google Workspace Advanced Protection couvrent la majorite des besoins PME. Pour les structures qui ont besoin d'aller plus loin, des passerelles tierces existent a partir de 2-3 euros par utilisateur par mois.

7. Brique 5 : la formation utilisateurs

L'humain est souvent presente comme "le maillon faible". C'est reducteur. L'humain non forme est le maillon faible. Un utilisateur qui a vu 3 faux phishing par an dans un programme de simulation aura tendance a signaler un vrai plutot que de cliquer.

Ce qu'une formation PME efficace contient

Une session initiale de 30-45 minutes pour tous les utilisateurs.
Des simulations de phishing trimestrielles (outils du marche a partir de 2 euros par utilisateur par mois).
Une micro-piqure de rappel annuelle (15 minutes).
Une procedure claire : "qui j'appelle si je clique par erreur". La rapidite de signalement change tout.

Pour en savoir plus sur les attaques specifiquement observees en Belgique, voir notre article Phishing en Belgique 2026 : les 5 attaques qui touchent le plus les PME.

Plan d'action 30 jours

Si vous partez de zero, voici dans quel ordre attaquer les 5 briques sans saturer votre equipe :

Semaine 1 : activer MFA sur les comptes admin Microsoft 365 / Google Workspace.
Semaine 2 : activer MFA sur les comptes utilisateurs + verifier les backups (test de restauration reel d'un fichier).
Semaine 3 : deployer un EDR sur tous les postes + verifier le filtrage email (SPF, DKIM, DMARC).
Semaine 4 : session de sensibilisation utilisateurs de 45 minutes + procedure de signalement incident.

Chaque brique mise en place divise par 2 a 5 la probabilite d'incident. Les cinq ensemble reduisent massivement la surface d'attaque sans exploser le budget.

Vous voulez un audit cyber pragmatique pour votre PME ?
On passe en revue les 5 briques, on vous dit ce qui manque, ce qui suffit, et on chiffre la remise a niveau. Entretien de 30 minutes, sans engagement.

Demander mon audit cyber →