Introduction
En 2026, les cyberattaques constituent la menace numero un pour les PME belges. Selon le Centre pour la Cybersecurite Belgique (CCB), 68% des PME belges ont subi au moins un incident de cybersecurite au cours des 12 derniers mois. Le cout moyen d'une cyberattaque pour une PME en Belgique est estime a 50 000 EUR, et dans 60% des cas, l'entreprise touchee fait faillite dans les six mois suivant une attaque majeure.
Pourtant, de nombreuses PME considerent encore la cybersecurite comme un sujet reserve aux grandes entreprises. C'est une erreur fatale : les cybercriminels ciblent de plus en plus les petites structures, precisement parce qu'elles sont moins protegees. Les PME representent en effet plus de 70% des victimes de ransomware en Belgique.
Avec l'entree en vigueur de la directive europeenne NIS2 (transposee en droit belge), de nombreuses PME sont desormais soumises a de nouvelles obligations en matiere de cybersecurite. Ce guide detaille les 10 mesures essentielles que chaque PME belge doit mettre en place pour se proteger efficacement.
Le contexte belge en matiere de cybersecurite
Les menaces les plus frequentes en Belgique
Selon les rapports du CCB et du CERT.be, les menaces les plus courantes pour les PME belges sont :
| Type de menace | Pourcentage de PME touchees | Cout moyen par incident |
|---|---|---|
| Phishing / spear phishing | 72% | 5 000 – 25 000 EUR |
| Ransomware | 28% | 30 000 – 250 000 EUR |
| Fraude au CEO / BEC | 18% | 15 000 – 100 000 EUR |
| Attaque par deni de service (DDoS) | 12% | 10 000 – 50 000 EUR |
| Vol de donnees / data breach | 15% | 20 000 – 500 000 EUR |
| Malware divers | 35% | 5 000 – 30 000 EUR |
Les institutions belges de reference
- Centre pour la Cybersecurite Belgique (CCB) : L'autorite nationale en matiere de cybersecurite, rattachee au Premier Ministre. Le CCB coordonne la politique nationale, publie des alertes et propose des outils gratuits comme le CyberFundamentals Framework.
- CERT.be : Le Computer Emergency Response Team national, qui traite les incidents de securite informatique. En 2025, CERT.be a traite plus de 10 millions de signalements.
- Safeonweb : La plateforme de sensibilisation du CCB destinee aux citoyens et aux petites entreprises. Elle propose des outils gratuits de verification de securite.
- Autorite de protection des donnees (APD) : Responsable du controle du RGPD en Belgique, elle peut infliger des amendes en cas de violation de donnees.
Le cadre legal : NIS2 et RGPD
La directive NIS2 (Network and Information Security Directive 2), transposee en droit belge, elargit considerablement le champ des entreprises soumises a des obligations de cybersecurite. Sont desormais concernees :
- Les entreprises de plus de 50 employes ou un chiffre d'affaires superieur a 10 millions EUR dans les secteurs "essentiels" et "importants" (energie, transport, sante, banque, infrastructure numerique, gestion des eaux usees, administration publique, espace, alimentation, fabrication, services postaux, gestion des dechets, chimie, recherche).
- Les fournisseurs de services numeriques (cloud, moteurs de recherche, places de marche).
Obligations cles de NIS2 pour les PME belges :
- Mise en place de mesures de gestion des risques de cybersecurite
- Notification des incidents significatifs au CCB dans les 24 heures (alerte precoce) et 72 heures (notification complete)
- Responsabilite directe de la direction (les dirigeants peuvent etre tenus personnellement responsables)
- Securisation de la chaine d'approvisionnement
- Amendes pouvant aller jusqu'a 10 millions EUR ou 2% du chiffre d'affaires mondial pour les entites essentielles
Le RGPD impose par ailleurs la protection des donnees personnelles, avec des amendes pouvant atteindre 20 millions EUR ou 4% du chiffre d'affaires mondial. L'APD belge a deja inflige des amendes significatives a des entreprises belges.
Les 10 mesures essentielles de cybersecurite
Mesure 1 : Adopter le CyberFundamentals Framework du CCB
Le CyberFundamentals Framework est le referentiel de cybersecurite developpe par le CCB specifiquement pour les entreprises belges. Il propose quatre niveaux de maturite :
| Niveau | Description | Cible |
|---|---|---|
| Small | Mesures de base essentielles | TPE, independants |
| Basic | Fondamentaux de securite | PME < 50 employes |
| Important | Securite avancee | PME > 50 employes, entites NIS2 "importantes" |
| Essential | Securite maximale | Grandes entreprises, entites NIS2 "essentielles" |
Ce framework est gratuit et disponible sur le site du CCB. Il constitue le point de depart ideal pour toute PME belge souhaitant structurer sa demarche de cybersecurite.
Actions concretes :
- Telechargez le CyberFundamentals Framework sur ccb.belgium.be
- Effectuez l'auto-evaluation en ligne pour determiner votre niveau actuel
- Identifiez les ecarts entre votre situation et le niveau vise
- Etablissez un plan d'action priorise sur 6 a 12 mois
- Envisagez une certification CyberFundamentals aupres d'un organisme accredite (BELAC)
Mesure 2 : Mettre en place une politique de mots de passe robuste et le MFA
Les mots de passe faibles ou reutilises sont responsables de plus de 80% des violations de donnees. Voici les regles a appliquer dans votre PME :
Politique de mots de passe :
- Minimum 14 caracteres (lettres majuscules, minuscules, chiffres, caracteres speciaux)
- Interdiction de reutiliser des mots de passe entre les services
- Changement obligatoire en cas de suspicion de compromission (pas de changement periodique arbitraire, conformement aux recommandations actuelles du NIST)
- Utilisation d'un gestionnaire de mots de passe d'entreprise
Gestionnaires de mots de passe recommandes :
- Bitwarden (version Teams a partir de 4 USD/utilisateur/mois, open source)
- 1Password Business (7,99 USD/utilisateur/mois)
- Keeper Business (3,75 EUR/utilisateur/mois)
Authentification multi-facteurs (MFA) :
Le MFA est la mesure de securite la plus efficace apres les mots de passe forts. Activez-le sur :
- Tous les comptes e-mail professionnels (Microsoft 365, Google Workspace)
- Les outils de gestion (comptabilite, CRM, ERP)
- Les acces VPN et bureau a distance
- Les comptes cloud (AWS, Azure, GCP)
- Les comptes bancaires en ligne
Solutions MFA recommandees :
- Microsoft Authenticator (gratuit, integre a Microsoft 365)
- Google Authenticator ou Authy (gratuit)
- Cles physiques YubiKey (a partir de 50 EUR/cle, recommande pour les administrateurs)
Mesure 3 : Sauvegarder selon la regle 3-2-1-1-0
La sauvegarde est votre derniere ligne de defense contre les ransomwares. Appliquez la regle 3-2-1-1-0 :
- 3 copies de vos donnees
- 2 types de supports differents (disque dur local + cloud, par exemple)
- 1 copie hors site (datacenter distant ou cloud)
- 1 copie offline (deconnectee du reseau, inaccessible aux ransomwares)
- 0 erreur apres verification (testez regulierement la restauration)
Solutions de sauvegarde adaptees aux PME belges :
| Solution | Type | Prix indicatif | Localisation des donnees |
|---|---|---|---|
| Veeam Backup | Logiciel | A partir de 2 EUR/VM/mois | Au choix |
| Acronis Cyber Protect | Cloud + local | A partir de 5 EUR/poste/mois | Data centers UE |
| Datto / Kaseya | Cloud + local | Sur devis | Data centers UE |
| Backblaze B2 | Cloud | 6 USD/TB/mois | USA/UE |
| Combell Backup | Cloud | A partir de 10 EUR/mois | Data centers belges |
| NRB Cloud Backup | Cloud | Sur devis | Data centers belges (Herstal) |
Conseil pratique : Testez la restauration de vos sauvegardes au moins une fois par trimestre. De nombreuses entreprises decouvrent trop tard que leurs sauvegardes sont corrompues ou incompletes.
Mesure 4 : Maintenir vos systemes a jour (patch management)
Les vulnerabilites logicielles non corrigees sont la porte d'entree favorite des cybercriminels. Le WannaCry ransomware, par exemple, a exploite une faille Windows pour laquelle un correctif existait depuis deux mois.
Bonnes pratiques de patch management :
- Activez les mises a jour automatiques sur tous les postes de travail (Windows Update, macOS)
- Mettez a jour vos serveurs dans les 48 heures suivant la publication d'un correctif critique
- Maintenez a jour tous vos logiciels (navigateurs, Adobe, Java, etc.)
- Remplacez les systemes en fin de vie (Windows Server 2012/2016, Windows 10 apres octobre 2025)
- Utilisez un outil de gestion centralisee
Outils de patch management pour PME :
- Microsoft Intune (inclus dans Microsoft 365 Business Premium, environ 20 EUR/utilisateur/mois)
- ManageEngine Patch Manager Plus (a partir de 300 EUR/an pour 50 postes)
- NinjaRMM / Atera : Solutions de gestion a distance avec patch management integre (a partir de 3 EUR/endpoint/mois)
Mesure 5 : Proteger votre messagerie et former vos employes
Le phishing est le vecteur d'attaque numero un en Belgique. 92% des cyberattaques commencent par un e-mail malveillant.
Protection technique de la messagerie :
- Deployer un filtre anti-spam/anti-phishing avance (Microsoft Defender for Office 365, Barracuda, Proofpoint)
- Configurer les protocoles d'authentification e-mail : SPF, DKIM et DMARC sur votre domaine
- Activer l'analyse des pieces jointes et des liens en temps reel
- Bloquer l'execution automatique des macros dans les documents Office
Formation et sensibilisation des employes :
La formation des employes est cruciale. Selon le CCB, une campagne de sensibilisation bien menee reduit les clics sur les e-mails de phishing de 75% en six mois.
Actions concretes :
- Organisez des sessions de sensibilisation trimestrielles (30 min)
- Lancez des campagnes de phishing simulees pour tester vos employes
- Affichez les bonnes pratiques dans les bureaux et sur l'intranet
- Designez des "ambassadeurs cybersecurite" dans chaque departement
Outils de sensibilisation et simulation de phishing :
- KnowBe4 (leader mondial, a partir de 15 EUR/utilisateur/an)
- Phished (startup belge basee a Louvain, specialisee dans les simulations de phishing avec IA, a partir de 2,50 EUR/utilisateur/mois)
- Safeonweb du CCB : Outils gratuits de sensibilisation et de test
Mesure 6 : Securiser votre reseau d'entreprise
Pare-feu et segmentation reseau :
- Deployer un pare-feu de nouvelle generation (NGFW) a l'entree de votre reseau
- Segmenter votre reseau : separez le reseau Wi-Fi des invites du reseau interne, isolez les systemes critiques
- Utiliser un VPN pour les acces a distance
Solutions de pare-feu pour PME :
- Fortinet FortiGate (a partir de 400 EUR + abonnement annuel, tres populaire en Belgique)
- Sophos XGS (a partir de 500 EUR + abonnement)
- WatchGuard Firebox (a partir de 600 EUR)
- pfSense (open source, gratuit, mais necessite des competences techniques)
Securisation du Wi-Fi :
- Utilisez le protocole WPA3 (ou WPA2-Enterprise au minimum)
- Changez le mot de passe par defaut de votre routeur/point d'acces
- Creez un reseau Wi-Fi separe pour les visiteurs
- Desactivez le WPS (Wi-Fi Protected Setup)
Mesure 7 : Proteger les postes de travail et les appareils mobiles (Endpoint Security)
Chaque poste de travail, laptop et smartphone est un point d'entree potentiel pour les cybercriminels.
Solutions Endpoint Detection and Response (EDR) pour PME :
| Solution | Prix indicatif | Points forts |
|---|---|---|
| Microsoft Defender for Business | Inclus dans M365 Business Premium (~20 EUR/utilisateur/mois) | Integration native Windows, EDR inclus |
| Bitdefender GravityZone | A partir de 3 EUR/poste/mois | Excellent taux de detection, gestion cloud |
| ESET PROTECT | A partir de 3,50 EUR/poste/mois | Leger, performant, support en Belgique |
| SentinelOne | A partir de 5 EUR/poste/mois | IA avancee, reponse automatisee |
| CrowdStrike Falcon Go | A partir de 8 EUR/poste/mois | Leader du marche, cloud-native |
Gestion des appareils mobiles (MDM) :
- Deployer une solution MDM pour les smartphones et tablettes professionnels
- Microsoft Intune (inclus dans M365 Business Premium) ou Jamf (pour les environnements Apple)
- Imposer le chiffrement des appareils mobiles
- Configurer l'effacement a distance en cas de perte ou de vol
- Separer les donnees professionnelles des donnees personnelles (containerisation)
Mesure 8 : Gerer les acces et les privileges (IAM)
Le principe du moindre privilege est fondamental : chaque employe ne doit avoir acces qu'aux ressources necessaires a son travail.
Bonnes pratiques de gestion des acces :
- Attribuer des comptes nominatifs a chaque employe (jamais de comptes partages)
- Supprimer les acces des employes qui quittent l'entreprise le jour meme de leur depart
- Limiter le nombre d'administrateurs (idealement 2-3 personnes maximum)
- Mettre en place une revue des acces trimestrielle
- Utiliser des comptes d'administration separes pour les taches d'administration
Solutions de gestion des identites pour PME :
- Microsoft Entra ID (anciennement Azure AD, inclus dans Microsoft 365)
- JumpCloud (a partir de 7 USD/utilisateur/mois, gestion multi-OS)
- Okta (a partir de 2 USD/utilisateur/mois pour le SSO)
Mesure 9 : Elaborer un plan de reponse aux incidents
Meme avec les meilleures protections, un incident peut survenir. Un plan de reponse bien prepare fait la difference entre une perturbation mineure et une catastrophe.
Composantes d'un plan de reponse aux incidents :
- Equipe de reponse : Designez les responsables internes et les contacts externes (prestataire IT, avocat specialise, assureur, CCB/CERT.be)
- Procedures de detection : Comment identifier un incident (alertes du SIEM/EDR, signalement employe, notification externe)
- Procedures de containment : Actions immediates pour limiter l'impact (isoler les systemes compromis, deconnecter du reseau)
- Procedures de communication : Qui informer et dans quel delai (direction, employes, clients, APD si donnees personnelles, CCB dans le cadre de NIS2)
- Procedures de recuperation : Restauration des systemes et donnees a partir des sauvegardes
- Analyse post-incident : Comprendre ce qui s'est passe et comment eviter que cela se reproduise
Obligations de notification :
- RGPD : Notification a l'APD dans les 72 heures en cas de violation de donnees personnelles
- NIS2 : Alerte precoce au CCB dans les 24 heures, notification complete dans les 72 heures
- Assurance cyber : Notification a votre assureur dans les delais prevus au contrat
Contacts d'urgence en Belgique :
- CERT.be : cert@cert.be / +32 2 501 05 60
- Safeonweb : suspect@safeonweb.be (pour signaler des e-mails suspects)
- APD : contact@apd-gba.be (pour les violations de donnees personnelles)
- Police federale (FCCU) : signalement via ecops.be pour les cybercrimes
Mesure 10 : Souscrire une assurance cyber
L'assurance cyber est devenue indispensable pour les PME belges. Elle couvre les frais lies a un incident de securite que votre entreprise ne pourrait pas assumer seule.
Ce que couvre typiquement une assurance cyber :
- Frais de gestion de crise et de reponse a incident
- Frais de restauration des donnees et systemes
- Pertes d'exploitation liees a l'interruption d'activite
- Frais juridiques et amendes reglementaires
- Couts de notification aux personnes concernees (RGPD)
- Responsabilite civile envers les tiers
- Frais de communication de crise et de gestion de reputation
Assureurs proposant des couvertures cyber en Belgique :
| Assureur | Produit | Prime indicative PME |
|---|---|---|
| AXA Belgium | Cyber Secure | A partir de 500 EUR/an |
| AG Insurance | CyberEdge | A partir de 600 EUR/an |
| Ethias | Cyber Protection | A partir de 450 EUR/an |
| Hiscox | Cyber Clear | A partir de 400 EUR/an |
| Allianz | Cyber Protect | A partir de 550 EUR/an |
| Zurich | Cyber & Data Protection | Sur devis |
Conseil : Les primes ont augmente de 30 a 50% ces dernieres annees. Les assureurs exigent desormais un niveau minimal de securite (MFA, sauvegardes, plan de reponse) avant d'accepter une couverture. Mettez en place les 9 premieres mesures de ce guide pour obtenir les meilleures conditions.
Budget cybersecurite : combien investir ?
Benchmarks pour les PME belges
La regle generale recommandee par le CCB est d'allouer 5 a 10% du budget IT total a la cybersecurite. Voici des estimations par taille d'entreprise :
| Taille de l'entreprise | Budget IT annuel estime | Budget cybersecurite recommande |
|---|---|---|
| TPE (1-9 employes) | 5 000 – 20 000 EUR | 500 – 2 000 EUR/an |
| Petite entreprise (10-49 employes) | 20 000 – 100 000 EUR | 2 000 – 10 000 EUR/an |
| Moyenne entreprise (50-249 employes) | 100 000 – 500 000 EUR | 10 000 – 50 000 EUR/an |
Exemple de budget cybersecurite pour une PME de 25 employes
| Poste | Cout annuel |
|---|---|
| Microsoft 365 Business Premium (inclut Defender, Intune, MFA) | 6 000 EUR (20 EUR x 25 x 12 mois) |
| Sauvegarde cloud (Acronis ou equivalent) | 1 500 EUR |
| Pare-feu Fortinet FortiGate + abonnement | 1 200 EUR |
| Formation et sensibilisation (Phished) | 750 EUR |
| Gestionnaire de mots de passe (Bitwarden Teams) | 1 200 EUR |
| Assurance cyber | 800 EUR |
| Audit de securite annuel | 3 000 EUR |
| Total | 14 450 EUR/an |
Ce budget de moins de 600 EUR/mois offre un niveau de protection solide pour une PME de 25 personnes.
Aides et subventions pour la cybersecurite en Belgique
Cheques-entreprises en Wallonie
La Region wallonne propose des cheques-entreprises couvrant jusqu'a 75% des couts de conseil en cybersecurite (plafond de 60 000 EUR par an). Ces cheques peuvent etre utilises pour :
- Un audit de cybersecurite
- La mise en place d'une politique de securite
- L'accompagnement vers la certification CyberFundamentals
- La formation du personnel
KMO-portefeuille en Flandre
Le KMO-portefeuille de VLAIO permet aux PME flamandes de recevoir une intervention de 20 a 30% sur les couts de conseil en cybersecurite, avec un plafond annuel de 7 500 EUR.
Aides bruxelloises
Hub.brussels propose des accompagnements specifiques en cybersecurite via ses programmes d'aide a la transformation numerique. Innoviris finance egalement des projets R&D lies a la cybersecurite.
Prestataires de cybersecurite en Belgique
Pour les PME qui n'ont pas les competences en interne, faire appel a un prestataire specialise est souvent la meilleure solution :
Societes belges specialisees en cybersecurite :
- NVISO (Bruxelles) : Tests d'intrusion, SOC manage, conseil
- Toreon (Anvers) : Securite applicative, DevSecOps, formation
- Approach (Bruxelles) : Conseil, audit, SOC manage
- Davinsi Labs (groupe Proximus) : SOC manage, detection et reponse
- e-BO Enterprises (Ostende) : Securite IT, infrastructure, cloud
- Secutec (Malines) : Solutions de securite, EDR, pare-feu
- SecureLink (Anvers, groupe Orange) : SOC manage, SIEM, conseil
Conseil : Verifiez que votre prestataire dispose de certifications reconnues (ISO 27001, CREST, OSCP pour les pentesters) et idealement de la labellisation CyberFundamentals du CCB.
Checklist de cybersecurite pour PME belges
Utilisez cette checklist pour evaluer votre niveau de preparation :
- CyberFundamentals Framework adopte et auto-evaluation realisee
- Politique de mots de passe robuste en place
- MFA active sur tous les comptes critiques
- Sauvegardes automatisees selon la regle 3-2-1-1-0
- Restauration de sauvegarde testee dans les 3 derniers mois
- Tous les systemes a jour (OS, logiciels, firmware)
- Solution anti-phishing deploee sur la messagerie
- Campagne de sensibilisation employes realisee dans les 6 derniers mois
- Pare-feu configure et reseau segmente
- Solution EDR deployee sur tous les endpoints
- Gestion des acces et privileges en place
- Plan de reponse aux incidents documente et teste
- Assurance cyber souscrite
- Conformite NIS2 evaluee (si applicable)
- Conformite RGPD assuree (registre des traitements, DPO si necessaire)
Conclusion
La cybersecurite n'est plus une option pour les PME belges : c'est une necessite legale (NIS2, RGPD) et une condition de survie economique. Les 10 mesures presentees dans ce guide constituent un socle solide qui permettra a votre PME de se proteger efficacement contre la grande majorite des menaces.
L'approche recommandee est pragmatique : commencez par les mesures les plus impactantes (MFA, sauvegardes, mises a jour), puis progressez vers un niveau de maturite plus eleve avec le CyberFundamentals Framework du CCB. N'hesitez pas a faire appel a des prestataires specialises et a profiter des aides regionales disponibles pour financer votre demarche.
La cybersecurite est un investissement, pas un cout. Chaque euro investi en prevention represente une economie potentielle de 10 a 50 euros en couts de remediation. Protegez votre entreprise, vos employes et vos clients — commencez des aujourd'hui.
Cet article a ete redige par l'equipe Espero-Soft pour le blog dedie aux entrepreneurs en Belgique. Pour un audit de cybersecurite personnalise ou un accompagnement dans la mise en place de ces mesures, contactez nos experts.
Tags : #cybersecurite #PME #securite #protection #Belgique