La réponse en 30 secondes
Fuite de données : que doit faire une PME ?
Une fuite de données ne concerne pas seulement les grandes plateformes. Une TPE ou une PME peut être exposée par ses propres outils, ses collaborateurs, ses fournisseurs ou ses services en ligne. L’enjeu est simple : savoir si des données circulent déjà, réduire les accès à risque et réagir vite.
Vous voulez vérifier votre exposition réelle à une fuite de données PME ?
Fuite de données PME : pourquoi le sujet devient urgent
Lorsqu’une fuite est rendue publique, le vol de données a souvent eu lieu plusieurs mois auparavant. C’est ce qui rend le sujet difficile pour les entreprises : les informations peuvent déjà circuler, être revendues ou être utilisées dans des attaques ciblées.
L’exemple de Parcoursup illustre bien ce risque. En avril 2026, le ministère de l’Enseignement supérieur a communiqué sur un incident de sécurité concernant des données personnelles copiées depuis la plateforme. Selon les informations publiques reprises dans le texte source, l’intrusion aurait eu lieu en octobre 2025 et concerné environ 705 000 anciens candidats.
Ce type d’incident montre qu’un attaquant n’a pas toujours besoin de casser une infrastructure complexe. Il peut obtenir les identifiants d’un compte légitime, se connecter normalement, puis extraire des données sans déclencher d’alerte immédiate.
Pour une PME, la leçon est directe. Le risque ne vient pas seulement d’une attaque contre votre propre serveur. Il peut venir d’un compte collaborateur exposé, d’un prestataire compromis, d’un outil SaaS mal protégé ou d’une base de données tierce qui contient des informations sur vos équipes.
Données personnelles exposées : ce que les attaquants recherchent
Une base de données volée peut contenir des éléments très utiles pour un attaquant : nom, prénom, adresse e-mail, numéro de téléphone, adresse postale, historique scolaire, statut administratif ou informations sur des responsables légaux.
Pris séparément, ces éléments peuvent sembler banals. Croisés entre eux, ils permettent de créer des messages crédibles, personnalisés et difficiles à distinguer d’une vraie communication administrative ou professionnelle.
Un pirate peut par exemple utiliser une ancienne adresse, une référence scolaire ou le nom exact d’un service pour donner confiance à sa cible. C’est précisément ce qui rend le phishing ciblé plus dangereux qu’un message frauduleux générique.
Phishing ciblé : le vrai danger pour les TPE et PME
Les données volées ne sont pas toujours exploitées immédiatement. Elles peuvent être stockées, revendues, croisées avec d’autres bases puis utilisées plusieurs semaines ou plusieurs mois plus tard.
Dans une PME, le scénario le plus courant est simple. Un collaborateur reçoit un message qui semble légitime, car il contient des informations personnelles exactes. Il clique sur un lien, arrive sur une fausse page Microsoft 365, Google Workspace ou bancaire, puis saisit ses identifiants.
À partir de là, l’attaquant peut accéder à la messagerie, consulter les échanges internes, repérer les factures, préparer une fraude au virement ou envoyer des messages frauduleux aux clients et fournisseurs.
Voici les usages les plus fréquents des données personnelles issues d’une fuite :
- création de mails de phishing personnalisés ;
- appels frauduleux avec des informations déjà connues ;
- tests automatiques d’identifiants sur plusieurs services ;
- usurpation d’identité ;
- préparation d’une fraude au président ou d’un faux ordre de virement.
Un doute sur la capacité de vos équipes à reconnaître les attaques après une fuite de données ?
Comment vérifier si vos données ont déjà fuité
La première étape consiste à vérifier si des adresses e-mail de l’entreprise apparaissent dans des bases compromises connues. Cette vérification ne règle pas tout, mais elle donne un premier niveau de visibilité.
Le service HaveIBeenPwned permet de contrôler gratuitement si une adresse e-mail figure dans une fuite recensée publiquement. Il peut être utilisé pour les comptes sensibles de l’entreprise : direction, administration, comptabilité, ressources humaines, informatique et adresses génériques.
Pour une PME, la méthode peut être structurée en quatre étapes :
- vérifier les adresses des dirigeants et des comptes à privilèges ;
- vérifier les adresses génériques comme contact, admin ou facturation ;
- demander aux collaborateurs de contrôler leurs adresses personnelles de leur côté ;
- documenter la date de vérification et les actions prises.
HaveIBeenPwned propose aussi une surveillance par nom de domaine. Après validation du domaine, l’entreprise peut être alertée lorsqu’une adresse professionnelle apparaît dans une nouvelle fuite connue.
Vous souhaitez vérifier votre domaine sans vous tromper dans l’interprétation des résultats ?
Double authentification : la mesure prioritaire après une fuite
Si une adresse ou un compte apparaît dans une fuite de données, le premier réflexe est de changer le mot de passe concerné. Il faut aussi modifier tous les mots de passe identiques ou proches utilisés sur d’autres services.
Cette étape est essentielle, car beaucoup d’attaques reposent sur le réemploi des mots de passe. Un identifiant volé sur un ancien service peut être testé automatiquement sur une messagerie professionnelle, un CRM, un outil comptable ou une plateforme cloud.
La mesure la plus efficace reste l’activation de la double authentification, aussi appelée MFA. Même si le mot de passe est connu, l’accès reste bloqué sans le second facteur.
Les services à protéger en priorité sont :
- la messagerie professionnelle ;
- les comptes Microsoft 365 ou Google Workspace ;
- les outils de comptabilité ;
- les accès bancaires ;
- les VPN et accès distants ;
- les outils RH ;
- les comptes administrateurs.
L’ANSSI recommande ces bonnes pratiques dans son guide d’hygiène informatique. Pour une PME, ce n’est pas un projet lourd, mais une mesure d’hygiène numérique à appliquer rapidement.
Plan d’action en cas de fuite de données
Une fuite de données ne se traite pas seulement comme un problème technique. Elle doit être gérée avec méthode, car elle peut avoir des conséquences opérationnelles, juridiques et commerciales.
| Priorité | Action | Objectif |
|---|---|---|
| 1 | Changer les mots de passe exposés | Empêcher la réutilisation immédiate des identifiants |
| 2 | Activer la double authentification | Bloquer les connexions non autorisées |
| 3 | Vérifier les connexions récentes | Détecter une activité suspecte |
| 4 | Prévenir les équipes | Réduire le risque de phishing ciblé |
| 5 | Documenter l’incident | Préparer les obligations RGPD éventuelles |
Il est utile de désigner une personne responsable du suivi. Dans les petites structures, cela peut être le dirigeant, le responsable administratif ou le prestataire informatique. L’important est de ne pas laisser l’incident sans propriétaire.
Un compte exposé ne doit pas rester un simple constat.
RGPD PME : quelles obligations en cas de violation ?
Une PME qui traite des données personnelles est concernée par le RGPD. Cela inclut les données clients, prospects, salariés, fournisseurs ou partenaires.
En cas de violation de données personnelles, l’entreprise doit déterminer si l’incident doit être notifié à la CNIL. Le principe est le suivant : lorsqu’une violation présente un risque pour les droits et libertés des personnes concernées, une notification à la CNIL peut être nécessaire dans un délai de 72 heures après la prise de connaissance.
Si le risque est élevé pour les personnes, elles doivent également être informées directement. C’est le cas par exemple lorsqu’il existe un risque d’usurpation d’identité, de préjudice financier, d’accès à des données sensibles ou de fraude.
La CNIL détaille ces obligations sur sa page dédiée aux violations de données personnelles.
Même lorsqu’une notification n’est pas obligatoire, l’incident doit être documenté. Cette documentation doit indiquer la nature de la violation, les données concernées, les personnes potentiellement touchées, les conséquences possibles et les mesures prises.
Passkeys : réduire la dépendance aux mots de passe
Le problème des fuites d’identifiants vient souvent d’une faiblesse structurelle : le mot de passe peut être volé, deviné, réutilisé ou saisi sur une fausse page.
Les passkeys apportent une réponse plus robuste. Elles remplacent le mot de passe par un mécanisme cryptographique. Une clé privée reste sur l’appareil de l’utilisateur, tandis qu’une clé publique est enregistrée sur le service utilisé.
Concrètement, même si un service est compromis, l’attaquant ne récupère pas un mot de passe réutilisable. Il ne peut pas se connecter sans l’appareil ou le moyen d’authentification associé.
Pour une PME, l’adoption peut se faire progressivement :
- activer les passkeys sur les comptes compatibles ;
- prioriser la messagerie et les comptes administrateurs ;
- choisir un gestionnaire de mots de passe compatible ;
- former les collaborateurs aux nouveaux usages de connexion.
Cette évolution ne remplace pas immédiatement toutes les mesures de sécurité, mais elle réduit fortement le risque lié aux mots de passe compromis.
À quoi ressemble une PME mieux protégée
Une entreprise correctement préparée n’a pas forcément une infrastructure complexe. Elle applique surtout des règles simples, vérifiables et suivies dans le temps.
- Les adresses sensibles ont été vérifiées dans les bases de fuites connues.
- La surveillance du domaine est activée.
- La double authentification protège les accès critiques.
- Les mots de passe sont uniques et gérés dans un outil adapté.
- Les collaborateurs savent reconnaître un phishing personnalisé.
- Les connexions inhabituelles sont surveillées.
- Une procédure RGPD existe en cas de violation.
Ces mesures ne suppriment pas le risque, mais elles limitent fortement les conséquences d’une fuite. Elles permettent aussi de réagir plus vite, avec moins d’improvisation.
Faire le point sur votre exposition cyber
Le plus dangereux, après une fuite de données, est de ne rien vérifier. Une PME peut déjà être exposée sans avoir reçu d’alerte directe. Les données peuvent provenir d’un ancien service, d’un prestataire, d’un compte personnel ou d’un outil oublié.
Un diagnostic permet de clarifier la situation : quels comptes sont sensibles, quels accès doivent être protégés, quelles mesures sont déjà en place et quelles actions doivent être lancées en priorité.
Le programme MonAideCyber, porté dans l’écosystème de l’ANSSI, permet aux organisations de faire un premier point accompagné sur leur niveau de protection.
Vous souhaitez découvrir MonAideCyber pour faire un premier point après une fuite de données ?
Vous préférez un accompagnement adapté à votre structure ?
Eur'Net est référencée Cybermalveillance.gouv.fr, activatrice France Num et partenaire Gold Kaspersky depuis 1997. À titre personnel et bénévole, je suis également engagé comme Aidant MonAideCyber via l'association Assistic. Mon credo : un sinistre cyber, ce n'est plus "si" mais "quand". La question, c'est : vous regardez le tsunami arriver depuis la plage, ou vous apprenez à surfer et vous préparez vos plans A, B, C ?
Entre deux diagnostics, j'élève aussi des IA bio au grand air.
