Lecture : 16 minutes · Niveau : débutant à intermédiaire · Mise à jour : avril 2026
Sommaire
- Pourquoi votre PME est devenue une cible
- Le triangle du risque : 3 menaces qui causent l’essentiel des incidents
- Auto-diagnostic en 30 minutes (checklist 25 points)
- Les 7 piliers d’une PME sénégalaise sécurisée
- Outils gratuits ou à coût raisonnable
- Conformité CDP Sénégal
- Plan d’action 30 jours, semaine par semaine
- FAQ — Questions fréquentes
- Articles liés
1. Pourquoi votre PME est devenue une cible
Pendant longtemps, beaucoup de chefs d’entreprise sénégalais ont considéré que la cybercriminalité concernait surtout les grandes structures internationales. En 2026, ce confort intellectuel coûte cher.
Trois bascules ont changé la donne :
- L’argent transite désormais par vos terminaux. Wave, Orange Money, Free Money, Wizall : un compte e-commerce compromis n’est plus un problème de site web, c’est un problème de trésorerie immédiate.
- Vos employés travaillent sur leurs téléphones personnels. WhatsApp Business, fichiers Excel sur smartphone, mots de passe partagés en privé… Le périmètre de votre PME ne s’arrête plus à la porte du bureau.
- L’outillage offensif s’est démocratisé. Des accès volés se revendent automatiquement sur des forums spécialisés. Une compromission n’est plus une question de si, mais de quand.
Bonne nouvelle : une grande partie des incidents qui touchent une PME pourraient être évités avec quelques pratiques simples, gratuites, qu’aucune équipe IT dédiée n’est nécessaire pour mettre en place. Ce guide vous montre comment, pas à pas.
2. Le triangle du risque : 3 menaces qui causent l’essentiel des incidents
Inutile de vous noyer dans 200 menaces théoriques. Sur le terrain, trois familles d’attaques font tomber l’écrasante majorité des PME.
2.1 Le phishing par WhatsApp et email professionnel (BEC)
Le scénario classique : un fournisseur, un client, ou même votre propre directeur vous écrit. Ton normal, demande urgente, « peux-tu virer XXX FCFA sur ce nouveau compte Wave ? Je suis en réunion, je t’expliquerai. »
Sauf que ce n’est pas votre directeur. C’est un attaquant qui :
- A piraté l’email du fournisseur (souvent via un mot de passe faible ou réutilisé) ;
- A repéré dans les échanges précédents les habitudes, le ton, les montants typiques ;
- Attaque le maillon faible : un employé pressé, qui ne décroche pas son téléphone pour vérifier.
C’est ce qu’on appelle le BEC (Business Email Compromise). C’est, et de loin, la menace la plus coûteuse financièrement pour les PME africaines.
💡 Le réflexe qui sauve : pour tout virement supérieur à un seuil défini à l’avance par votre direction, exigez une confirmation par appel téléphonique sur le numéro déjà connu — jamais un numéro fourni dans le mail suspect.
2.2 Les rançongiciels via logiciels piratés et clés USB
« On utilise Microsoft Office cracké, on a toujours fait comme ça. »
Le problème, ce n’est pas la moralité. C’est que les installateurs téléchargés sur des sites obscurs contiennent fréquemment des charges utiles dormantes. Le jour J, elles chiffrent vos fichiers comptabilité, vos factures, vos sauvegardes locales — et exigent une rançon en cryptomonnaie.
Mêmes risques avec :
- Les clés USB partagées entre employés, souvent passées chez un cybercafé pour imprimer ;
- Les logiciels métier piratés (gestion commerciale, paie) ;
- Les plugins WordPress nulled (versions piratées de plugins payants).
2.3 La compromission de comptes par mots de passe faibles ou réutilisés
Vous avez une douzaine d’outils en ligne (Gmail, WordPress, Wave Business, Canva, Hostinger, Stripe…). Vous utilisez 3 mots de passe en rotation.
Quand l’un de ces services subit une fuite, votre couple email + mot de passe se retrouve dans une base de données revendue sur des forums. Les attaquants l’essaient ensuite automatiquement sur Gmail, Facebook, WordPress, votre banque en ligne… C’est ce qu’on appelle le credential stuffing. Aucune compétence requise pour l’attaquant. Aucune chance pour vous si vous n’avez pas activé la double authentification.
Vous pouvez vérifier gratuitement si l’un de vos emails apparaît dans une fuite connue sur haveibeenpwned.com.
3. Auto-diagnostic en 30 minutes (checklist 25 points)
Avant de tout réformer, mesurez votre exposition réelle. Cochez honnêtement. Chaque « non » est un risque concret.
A. Authentification (5 points)
- [ ] La double authentification (2FA) est activée sur tous mes comptes Google/Microsoft d’entreprise
- [ ] La 2FA est activée sur le wp-admin de mon site WordPress
- [ ] La 2FA est activée sur mes comptes financiers (banque en ligne, mobile money pro, Stripe)
- [ ] Personne dans l’entreprise n’utilise le même mot de passe sur deux services
- [ ] J’ai un gestionnaire de mots de passe d’équipe (Bitwarden, 1Password ou équivalent)
B. Sauvegardes (4 points)
- [ ] Mes données critiques sont sauvegardées automatiquement chaque jour
- [ ] Une copie de la sauvegarde est hors site (cloud ou disque dur retiré du bureau)
- [ ] J’ai testé une restauration au cours des 6 derniers mois
- [ ] Mes sauvegardes sont chiffrées
C. Email et site web (5 points)
- [ ] Mon domaine email a des enregistrements SPF, DKIM et DMARC configurés
- [ ] Mon site est en HTTPS valide (cadenas vert)
- [ ] WordPress, mes thèmes et plugins sont à jour (moins d’un mois)
- [ ] Je n’utilise aucun plugin/thème nulled (cracké)
- [ ] J’ai un plugin de sécurité actif (Wordfence, Solid Security, etc.)
D. Sensibilisation équipe (4 points)
- [ ] Mes employés savent reconnaître une demande de virement frauduleuse
- [ ] Une règle de double validation par téléphone existe pour tout virement au-delà d’un seuil défini
- [ ] Aucun mot de passe n’est partagé via WhatsApp, SMS ou email
- [ ] Mes collaborateurs ne branchent pas de clés USB d’origine inconnue
E. Conformité et juridique (3 points)
- [ ] J’ai déclaré mon traitement de données personnelles à la CDP
- [ ] Mon site a une politique de confidentialité à jour
- [ ] Je sais qui contacter en cas d’incident (mon hébergeur, mon registrar, mon assureur)
F. Incident (4 points)
- [ ] J’ai un plan écrit de ce que je fais si mon site est compromis
- [ ] Je sais comment isoler un poste infecté sans tout casser
- [ ] J’ai une liste à jour des prestataires à appeler en urgence
- [ ] Mes employés savent à qui signaler un incident sans peur d’être blâmés
Votre score
- 22-25 points : Excellente posture. Maintenez la rigueur.
- 15-21 points : Posture correcte avec des angles morts. Priorisez les « non » liés à l’authentification et aux sauvegardes.
- 8-14 points : Risque significatif. Le plan 30 jours plus bas vous donne l’ordre des actions.
- Moins de 8 points : Posture critique. Une seule attaque réussie peut mettre votre PME à genoux. Commencez aujourd’hui par la double authentification sur les comptes financiers.
4. Les 7 piliers d’une PME sénégalaise sécurisée
Voici le socle minimal viable. Aucun de ces piliers ne demande de budget significatif ni d’expertise pointue.
Pilier 1 — L’authentification forte, partout
L’investissement avec le meilleur retour de tout ce guide. La double authentification rend infiniment plus difficile un piratage de compte. Elle est gratuite. Elle prend 3 minutes par service.
Ordre de priorité absolue :
- Comptes financiers (banque en ligne, mobile money business, Stripe, PayPal)
- Compte email professionnel principal
- wp-admin de votre site
- Comptes hébergeur, registrar de nom de domaine
- Cloud (Google Drive, Microsoft 365, Dropbox)
- Réseaux sociaux professionnels
Méthode recommandée : application authenticator (Aegis sur Android, Raivo sur iPhone, Microsoft Authenticator, Google Authenticator) plutôt que SMS. Les codes par SMS peuvent être interceptés (SIM swap), surtout dans les contextes où les contrôles d’identité chez les opérateurs sont parfois légers.
Pilier 2 — Le gestionnaire de mots de passe d’équipe
Sans gestionnaire, votre équipe finira par réutiliser le même mot de passe partout. Avec un gestionnaire, chacun peut avoir un mot de passe unique de 20 caractères par service, sans rien retenir.
Solutions courantes : Bitwarden (offre Teams payante, ou self-hosted via Vaultwarden), 1Password, KeePassXC. Consultez les sites officiels pour les tarifs à jour.
Exemple d’installation Vaultwarden auto-hébergé sur un VPS Ubuntu 24.04 :
# Installation Vaultwarden (alternative légère et compatible Bitwarden)
sudo apt update && sudo apt install -y docker.io docker-compose
sudo mkdir -p /opt/vaultwarden && cd /opt/vaultwarden
sudo tee docker-compose.yml > /dev/null <<'EOF'
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: always
environment:
DOMAIN: "https://vault.votre-domaine.tld"
SIGNUPS_ALLOWED: "false"
ADMIN_TOKEN: "GENEREZ_UN_TOKEN_ALEATOIRE_DE_64_CHARS_ICI"
volumes:
- ./data:/data
ports:
- "127.0.0.1:8080:80"
EOF
sudo docker compose up -d
Couplez avec un reverse proxy Caddy ou Nginx + Let’s Encrypt pour le HTTPS.
Pilier 3 — La sauvegarde 3-2-1 adaptée à votre bande passante
La règle universelle : 3 copies de vos données, sur 2 supports différents, dont 1 hors site.
| Niveau | Support | Fréquence | Outil suggéré |
|---|---|---|---|
| Production | Disque du PC ou serveur | Continu | — |
| Local | Disque dur externe (rangé hors du bureau le soir) | Quotidienne | rsync, Cobian Reflector, Time Machine |
| Cloud | Backblaze B2, Wasabi, Hetzner Storage Box | Hebdo (incrémentale) | Restic, Duplicati, Kopia |
Pourquoi pas Google Drive ou Dropbox seul ? Une synchronisation, ce n’est pas une sauvegarde. Si vos fichiers sont chiffrés par un rançongiciel, Drive synchronise immédiatement la version chiffrée. Vous avez perdu votre seule copie « propre ». Optez pour une vraie sauvegarde versionnée (Restic, Duplicati, Kopia), capable de restaurer un état antérieur.
Pilier 4 — Email professionnel propre : SPF, DKIM, DMARC
Si votre domaine n’a pas ces trois enregistrements DNS, n’importe qui peut envoyer un email en se faisant passer pour vous. Un attaquant peut écrire à votre comptable depuis directeur@votre-pme.sn aussi facilement que vous lui écririez.
Vérification rapide en 1 minute :
# Remplacez votre-pme.sn par votre vrai domaine
dig TXT votre-pme.sn | grep -i spf
dig TXT _dmarc.votre-pme.sn
dig TXT default._domainkey.votre-pme.sn
Si l’une des trois lignes est vide ou inexistante, vous avez du travail. La configuration prend 30 minutes une seule fois pour la vie. La plupart des fournisseurs email professionnels (Google Workspace, Microsoft 365, Zoho Mail, ProtonMail Business) fournissent un assistant pour vous guider.
Pilier 5 — La sensibilisation, mois après mois
L’écrasante majorité des attaques réussies passent par un humain, pas par une faille technique. Aucun pare-feu ne compense un employé non formé.
Trois rituels simples :
- Une fois par trimestre : envoyez à toute l’équipe un faux email de phishing (vous-même, pas besoin d’outil sophistiqué). Comptez ceux qui cliquent. Faites-en un sujet d’équipe sans humilier personne.
- Une fois par mois : 10 minutes en réunion d’équipe sur un cas récent (les médias sénégalais en relaient régulièrement).
- À l’embauche : 30 minutes obligatoires sur les bonnes pratiques + signature d’une charte simple.
Pilier 6 — Les mises à jour automatisées
WordPress qui se met à jour seul. Linux qui patche automatiquement les failles critiques. Smartphones professionnels en MAJ automatique.
Cela demande un seul réglage par appareil, fait une seule fois, et vous protège ensuite continuellement contre la grande majorité des failles publiquement connues.
# Activer les mises à jour de sécurité automatiques sur Ubuntu/Debian
sudo apt install -y unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades
# Répondez "Yes" à la question
Pour WordPress, ajoutez dans votre wp-config.php :
// Mises à jour automatiques mineures (sécurité) — activées par défaut depuis WP 3.7
// Mises à jour automatiques majeures — à activer explicitement
define( 'WP_AUTO_UPDATE_CORE', 'minor' );
// Pour les plugins critiques, activez l'auto-update dans wp-admin > Plugins
Pilier 7 — Le plan de réponse à incident (1 page suffit)
Quand quelque chose va mal, l’improvisation aggrave toujours la situation. Préparez un document d’une page, imprimé et accessible hors ligne, qui répond à :
- Qui prévenir en premier ? (numéros de téléphone, pas seulement emails)
- Comment isoler le poste / le serveur infecté ? (débrancher du réseau, pas l’éteindre — la mémoire vive contient des indices)
- Quelle communication client / fournisseur en cas de fuite de données ? (modèle de message prêt)
- Délai légal de notification à la CDP : référez-vous à la réglementation en vigueur au Sénégal pour les violations significatives.
5. Outils gratuits ou à coût raisonnable
Sélection d’outils éprouvés, accessibles depuis le Sénégal. Consultez les sites officiels pour les tarifs à jour — les prix changent régulièrement.
| Besoin | Outil | Type |
|---|---|---|
| Gestionnaire mots de passe équipe | Bitwarden | Freemium / payant |
| Gestionnaire mots de passe self-hosted | Vaultwarden | Open source gratuit |
| Antivirus poste de travail | Microsoft Defender (intégré Windows 10/11) | Gratuit |
| EDR / SIEM open source | Wazuh | Open source gratuit |
| Sauvegarde cloud chiffrée | Restic + Backblaze B2 ou Wasabi | Outil gratuit + cloud payant |
| Vérification fuites de données | Have I Been Pwned | Gratuit |
| Pare-feu / CDN site web | Cloudflare (offre gratuite généreuse) | Freemium |
| Sécurité WordPress | Wordfence ou Solid Security | Freemium |
| 2FA application mobile | Aegis (Android), Raivo (iOS), Microsoft / Google Authenticator | Gratuit |
| Email pro sécurisé | Zoho Mail, Google Workspace, Microsoft 365, ProtonMail Business | Payant |
| Audit gratuit de votre site | Mozilla Observatory | Gratuit |
| Test SSL/TLS de votre site | SSL Labs | Gratuit |
💡 Astuce paiement : la plupart des hébergeurs et services SaaS internationaux acceptent désormais Wave, Orange Money, ou les cartes bancaires émises par les banques sénégalaises et leurs néo-banques partenaires.
6. Conformité CDP Sénégal
La Commission de Protection des Données Personnelles (CDP) est l’autorité sénégalaise compétente en matière de données personnelles. Toute structure qui traite des données personnelles (clients, employés, prospects) est concernée par la réglementation en vigueur.
Vos obligations principales
- Effectuer les démarches préalables auprès de la CDP avant de traiter des données. Les modalités (déclaration, demande d’autorisation, exemptions) sont précisées sur le portail officiel cdp.sn.
- Informer les personnes dont vous collectez des données : politique de confidentialité claire, finalité, droits.
- Garantir la sécurité des données : c’est précisément l’objet de tout ce guide.
- Notifier la CDP en cas de violation significative, dans les conditions définies par la réglementation.
Sanctions concrètes
La CDP peut prononcer des sanctions administratives. Mais le coût réel d’une non-conformité publiquement connue est surtout réputationnel : pour une PME locale, perdre la confiance de ses clients est souvent un coup plus dur qu’une amende.
Pour le détail exact des obligations, des seuils de notification et du barème des sanctions, consultez directement le site officiel cdp.sn ou un conseiller juridique. Les textes évoluent.
7. Plan d’action 30 jours, semaine par semaine
Adoptez la version pragmatique qui suit. Si vous suivez ce plan à la lettre, votre PME sera mieux protégée que la grande majorité des entreprises de votre taille.
Semaine 1 — Authentification
- Jour 1 : installez une application authenticator (Aegis Android / Raivo iOS / Microsoft Authenticator) sur votre téléphone.
- Jour 2 : activez la 2FA sur Stripe / PayPal / mobile money business.
- Jour 3 : activez la 2FA sur votre compte email principal.
- Jour 4 : activez la 2FA sur wp-admin (plugin gratuit : Wordfence, WP 2FA, Two Factor).
- Jour 5 : activez la 2FA sur votre hébergeur et registrar de nom de domaine.
- Week-end : créez un compte Bitwarden gratuit, importez vos mots de passe.
Semaine 2 — Sauvegardes
- Jour 8-9 : créez un compte sur un service de stockage objet (Backblaze B2, Wasabi, Hetzner Storage Box).
- Jour 10 : installez Restic sur votre serveur ou poste principal (
apt install restic). - Jour 11 : configurez et lancez votre première sauvegarde complète.
- Jour 12 : programmez une tâche cron quotidienne. Voir notre tutoriel dédié → Automatiser ses tâches avec cron sur Linux.
- Week-end : testez une restauration sur un dossier de test. Si ça ne marche pas, votre sauvegarde n’existe pas.
Semaine 3 — Email et site web
- Jour 15 : audit DNS de votre domaine (commandes
digci-dessus). - Jour 16 : configurez SPF, DKIM, DMARC chez votre registrar.
- Jour 17 : créez un compte Cloudflare (offre gratuite), basculez vos DNS dessus.
- Jour 18 : activez le HTTPS automatique et le pare-feu Cloudflare.
- Jour 19 : audit WordPress complet — désinstallez tout plugin/thème non utilisé. Voir notre checklist sécurité WooCommerce.
- Week-end : Mozilla Observatory sur votre site. Visez un score B minimum.
Semaine 4 — Humain et incident
- Jour 22 : rédigez votre plan d’incident (1 page).
- Jour 23 : organisez une réunion de 30 minutes avec toute l’équipe sur les 3 menaces principales. Voir notre guide phishing WhatsApp.
- Jour 24 : lancez votre première campagne de phishing simulé (envoyez vous-même un faux email à vos employés).
- Jour 25 : mettez en place la règle « double validation téléphonique pour tout virement au-delà d’un seuil ».
- Jour 26-30 : effectuez les démarches CDP si ce n’est pas fait. Mettez à jour votre politique de confidentialité.
À J+30, vous aurez transformé votre posture de sécurité — pas grâce à un budget colossal, mais grâce à de la discipline appliquée.
8. FAQ — Questions fréquentes
Faut-il forcément un antivirus payant ?
Non. Microsoft Defender intégré à Windows 10 et 11 est largement suffisant pour la majorité des PME. Les antivirus tiers ajoutent surtout du marketing. L’argent économisé vaut mieux investi dans un gestionnaire de mots de passe et des sauvegardes.
Mon site WordPress a été piraté. Que faire en premier ?
Avant tout, ne payez aucune rançon. Mettez le site hors ligne (page de maintenance), changez tous les mots de passe (hébergeur, FTP, base de données, wp-admin), restaurez la sauvegarde la plus récente connue saine, puis lancez un scan complet (Wordfence, MalCare, ou faites appel à un professionnel). Documentez chaque étape : c’est important si la CDP doit être notifiée.
Wave et Orange Money sont-ils sûrs pour une PME ?
Oui, à condition d’activer toutes les protections disponibles : code PIN long, notifications transactionnelles activées, double authentification quand l’opérateur la propose. Le maillon faible reste l’humain : ne validez jamais un virement sur la base d’un seul WhatsApp ou SMS, même apparemment légitime.
Dois-je vraiment me déclarer à la CDP ?
Si vous traitez des données personnelles (vos clients, vos employés, vos prospects) — les démarches CDP sont une obligation légale au Sénégal. Les modalités exactes (déclaration, demande d’autorisation, exemptions) sont précisées sur cdp.sn. C’est aussi un signal de sérieux pour vos clients et partenaires.
Quel est le risque réel de continuer avec Office cracké ?
Au-delà du risque juridique, le risque de rançongiciel est très significatif : les installateurs piratés contiennent fréquemment des charges utiles malveillantes. Une licence légale (Microsoft 365, ou la suite gratuite LibreOffice qui couvre 95 % des besoins d’une PME) coûte beaucoup moins qu’une attaque réussie.
Comment vérifier si mes mots de passe ont fuité ?
Rendez-vous sur haveibeenpwned.com et entrez vos adresses email professionnelles. Le service vous indique gratuitement dans quelles fuites de données publiques votre email apparaît. Pour chaque fuite, changez immédiatement le mot de passe sur le service concerné et partout où vous l’auriez réutilisé.
9. Articles liés (cluster Cybersécurité PME)
- 👉 Phishing par WhatsApp : comment former vos employés
- 👉 Sécuriser WooCommerce : checklist 30 points pour le e-commerce africain
- 👉 Sauvegarde 3-2-1 sur connexion limitée : la stratégie pragmatique pour PME africaines
Article mis à jour le 25 avril 2026. La cybersécurité est un domaine en évolution rapide ; ce guide est révisé périodiquement. Pour signaler une erreur, une mise à jour réglementaire ou une référence manquante, écrivez-nous.