En 2025, 43% des cyberattaques mondiales ciblaient des PME. En Afrique, ce chiffre est plus élevé car les PME sont perçues comme des cibles faciles : moins de ressources IT, faible sensibilisation des équipes, systèmes souvent non mis à jour. La bonne nouvelle : 90% des attaques réussies exploitent des erreurs basiques et évitables. Voici les 10 erreurs que nos audits de sécurité retrouvent systématiquement dans les PME africaines.
Erreur #1 : Mots de passe faibles et partagés
« senegal2024 », « Dakar123 », « admin » — ces mots de passe sont crackés en secondes. Pire : quand toute l'équipe utilise le même mot de passe pour le compte email ou le logiciel de compta, la compromission d'un ordinateur expose toute l'entreprise.
La solution : un gestionnaire de mots de passe (Bitwarden, gratuit pour les équipes), des mots de passe uniques de 16 caractères générés automatiquement pour chaque service, et une politique claire qui interdit le partage de credentials. Budget : zéro. Impact : critique.
Erreur #2 : Pas d'authentification à deux facteurs (2FA)
Même avec un bon mot de passe, un compte sans 2FA est vulnérable. Le phishing permet de voler un mot de passe en un clic — avec le 2FA, l'attaquant est bloqué même s'il a le mot de passe.
Activez le 2FA sur : email professionnel, compte bancaire en ligne, hébergement web, réseaux sociaux de l'entreprise, logiciels de comptabilité. Utilisez une app comme Google Authenticator ou Authy — pas le SMS qui peut être intercepté via SIM swapping.
Erreur #3 : Sauvegardes inexistantes ou non testées
Le ransomware (logiciel qui chiffre vos données et demande une rançon) est l'attaque la plus dévastatrice pour les PME. Sans sauvegarde, vous payez ou vous perdez tout. Avec une sauvegarde récente, vous restaurez en quelques heures.
Règle du 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site (cloud). Testez votre restauration tous les 3 mois — une sauvegarde que vous n'avez jamais testée n'est pas une sauvegarde, c'est une illusion de sécurité.
Erreur #4 : Logiciels non mis à jour
Les mises à jour corrigent des failles de sécurité. Un Windows 10 non mis à jour depuis 6 mois contient des dizaines de vulnérabilités connues, avec leurs exploits disponibles publiquement. Les hackers scriptent ces attaques — c'est automatisé, pas ciblé.
Activez les mises à jour automatiques pour Windows/macOS, votre navigateur, et vos plugins (surtout WordPress). Planifiez les mises à jour majeures hors heures de travail pour minimiser les interruptions.
Erreur #5 : Cliquer sans vérifier (phishing)
Le phishing représente 91% des points d'entrée des cyberattaques. Un email qui ressemble à Wave, à Orange, à votre banque ou à un client important — mais avec un lien malveillant. En Afrique, les attaquants localisent leurs attaques : messages en wolof, imitation parfaite des interfaces locales.
Formation obligatoire pour toute l'équipe : vérifier l'adresse email de l'expéditeur (pas seulement le nom affiché), ne jamais cliquer sur un lien dans un email inattendu, toujours aller directement sur le site via le navigateur pour les actions sensibles. Un exercice de phishing simulé par trimestre maintient la vigilance.
Erreur #6 : Wi-Fi public sans VPN
Les cybercafés, les hôtels, les aéroports — ces réseaux Wi-Fi peuvent être écoutés ou falsifiés. Toute connexion à vos outils professionnels sur un Wi-Fi public sans VPN expose vos identifiants et données.
Solution : ProtonVPN (gratuit) ou Mullvad VPN (5€/mois) sur tous les appareils de l'entreprise. Politique claire : VPN obligatoire dès qu'on n'est pas sur le réseau du bureau.
Erreur #7 : Droits d'accès trop larges
Principe du moindre privilège : chaque employé n'accède qu'aux données et systèmes dont il a besoin pour son travail. Si un compte commercial est compromis, il ne doit pas avoir accès aux données financières ou aux configurations système.
Auditez vos accès chaque trimestre. Révoquez immédiatement les accès lors d'un départ. Créez des comptes séparés pour les usages admin et les usages courants.
Erreur #8 : Aucun plan de réponse aux incidents
Quand une attaque survient, la panique coûte plus cher que l'attaque elle-même. Sans plan documenté, les premières heures critiques sont perdues à décider qui appeler, que faire, dans quel ordre.
Créez un document d'une page : contacts d'urgence (hébergeur, banque, IT), premières actions (déconnecter les machines infectées du réseau, changer les mots de passe, notifier la direction), et seuils de notification aux clients. Imprimez-le et affichez-le.
Erreur #9 : Ignorer la sécurité physique
Un laptop non verrouillé laissé 5 minutes sans surveillance dans un café peut suffire à installer un keylogger. Un disque dur non chiffré perdu ou volé expose toutes vos données clients.
Verrouillez automatiquement vos appareils après 2 minutes d'inactivité. Activez le chiffrement de disque (BitLocker sur Windows, FileVault sur Mac). Utilisez un câble antivol dans les espaces publics.
Erreur #10 : Penser que « ça n'arrive qu'aux grandes entreprises »
C'est la plus dangereuse des erreurs car elle empêche toute action préventive. La réalité : les PME sont la cible préférée des cybercriminels précisément parce qu'elles pensent ne pas être ciblées.
Le coût moyen d'une cyberattaque réussie pour une PME africaine est de 2 à 5 millions FCFA (données, temps perdu, amendes potentielles, perte de clients). Le coût d'une bonne hygiène de sécurité est de 50 000 à 200 000 FCFA par an. Le calcul est simple.
Conclusion
La cybersécurité pour les PME n'est pas une question de budget ou de compétences techniques — c'est une question de priorité et de discipline. Ces 10 erreurs sont toutes évitables avec des outils gratuits ou peu coûteux et une formation basique des équipes. Commencez par les 3 premiers points cette semaine — vous aurez éliminé 80% de votre exposition au risque.
Want to go further?
Our experts support you in your digital transformation.