La cybersécurité est trop souvent perçue, dans les PME, comme un sujet technique réservé aux grandes banques et aux multinationales. C’est une erreur de jugement qui coûte cher. Au Sénégal, la digitalisation des entreprises s’accélère facturation en ligne, mobile money, données clients stockées sur le cloud mais les protections, elles, n’ont pas suivi le même rythme.
Les attaquants le savent. Ils ciblent en priorité les structures qui détiennent des données de valeur (coordonnées bancaires, contrats fournisseurs, données RH) tout en disposant de moins de moyens de défense que les grands groupes. Votre entreprise, quelle que soit sa taille, entre dans cette catégorie.
La bonne nouvelle : la majorité des incidents que nous rencontrons sur le terrain ne résultent pas d’attaques sophistiquées, mais d’erreurs simples et évitables. Cet article détaille les sept que nous voyons revenir le plus souvent, et surtout, comment les corriger sans budget colossal ni équipe technique dédiée. Nous parlons ici le langage du dirigeant, pas celui de l’ingénieur.
Erreur n°1 : Ne pas activer l’authentification multifacteur (MFA)
C’est l’erreur la plus répandue et, paradoxalement, la plus facile à corriger. L’authentification multifacteur consiste à exiger une seconde preuve d’identité en plus du mot de passe : un code reçu par SMS, ou généré par une application sur le téléphone.
Sans elle, un mot de passe compromis par hameçonnage, par fuite sur un autre site, ou simplement parce qu’il est trop faible donne un accès immédiat et complet au compte. Avec elle, le mot de passe seul ne suffit plus.
L’efficacité est documentée. Microsoft indique que l’activation de la MFA bloque la grande majorité des attaques automatisées visant à compromettre des comptes, et que plus de 99,9 % des comptes compromis n’avaient pas la MFA activée. À noter : la MFA n’arrête pas tout un attaquant déterminé peut tenter de la contourner mais elle vous fait sortir du radar des attaques de masse, qui représentent l’écrasante majorité des tentatives quotidiennes.
Comment corriger : activez la vérification en deux étapes sur vos comptes critiques d’abord messagerie professionnelle, comptes administrateurs, accès cloud. C’est gratuit et configurable en quelques minutes sur Google Workspace comme sur Microsoft 365. Privilégiez une application d’authentification au SMS lorsque c’est possible.
Erreur n°2 : Reporter indéfiniment les mises à jour de sécurité
« On verra plus tard », « ça risque de casser nos applications », « on n’a pas le temps ». Ces phrases reviennent dans presque chaque audit. Or les correctifs de sécurité (patchs) ferment des failles déjà connues et donc déjà exploitées par les attaquants.
Le raisonnement est simple : à partir du moment où une faille est rendue publique, les outils d’attaque automatisés la cherchent activement sur tout système exposé. Un poste ou un serveur non corrigé devient une cible facile, non pas parce qu’on vous vise personnellement, mais parce qu’un robot a trouvé une porte ouverte.
Beaucoup de dirigeants confondent les correctifs de sécurité avec les grandes mises à niveau fonctionnelles. Les premiers ne changent pas la façon dont vos logiciels fonctionnent ; ils se contentent de réparer une vulnérabilité.
Comment corriger : activez les mises à jour automatiques sur les postes Windows et les navigateurs. Pour les serveurs et applications métiers critiques, planifiez les correctifs dans une fenêtre de maintenance, après un test rapide en environnement de pré-production. Si vous n’avez pas de ressource interne pour le faire, c’est typiquement le genre de tâche couverte par un contrat de maintenance ou d’infogérance (voir infogerance informatique pme et maintenance informatique preventive).
➡️Audit de Cybersécurité : Méthodologie Complète et Checklist Pratique 2026
Erreur n°3 : Ne pas avoir de sauvegarde fiable et testée
Une sauvegarde est votre dernier filet de sécurité face à un rançongiciel, une suppression accidentelle, une panne matérielle ou un sinistre. Mais nous rencontrons régulièrement deux variantes du même problème : l’absence totale de sauvegarde, ou plus insidieux une sauvegarde qui n’a jamais été testée et qui s’avère inutilisable le jour où on en a besoin.
Le cas typique : une entreprise « sauvegarde » sur un disque externe laissé branché au serveur, dans le même bureau. En cas de rançongiciel, le disque est chiffré en même temps que le reste. En cas d’incendie ou de vol, tout disparaît ensemble. Ce n’est pas une vraie sauvegarde.
La règle de référence dans le métier est la règle 3-2-1 : trois copies de vos données, sur deux types de supports différents, dont une conservée hors site.
Comment corriger : mettez en place une copie cloud (les solutions OneDrive ou Google Drive suffisent pour démarrer dans une petite structure), complétée d’une copie sur support externe conservée hors des locaux. Surtout, testez la restauration régulièrement : une sauvegarde dont on n’a jamais vérifié qu’elle se restaure correctement n’est qu’une supposition. Pour les données réellement critiques, une solution professionnelle avec test de restauration fréquent et sauvegardes isolées s’impose.
👉 Cybersécurité & Résilience — Gael Conseil
Erreur n°4 : Exposer ses données sur les réseaux non sécurisés
Travailler depuis un café, un hôtel ou un aéroport est devenu banal. Le problème : sur un réseau Wi-Fi ouvert, les données qui transitent peuvent être interceptées par d’autres utilisateurs du même réseau. Pour un commercial qui consulte son portail professionnel, un comptable qui accède à des comptes, ou un gérant qui valide une opération de mobile money, c’est une exposition directe.
Le risque est d’autant plus concret au Sénégal que le mobile money et les services financiers mobiles font partie du quotidien professionnel, et que les connexions sur réseaux partagés sont fréquentes.
Comment corriger : la solution la plus simple est d’utiliser le partage de connexion (hotspot) de son propre téléphone plutôt qu’un Wi-Fi public. Pour les déplacements fréquents, un VPN (réseau privé virtuel) chiffre l’ensemble du trafic et le rend illisible pour les tiers. Établissez une règle claire dans l’entreprise : pas d’accès aux données sensibles depuis un réseau public sans protection. Pour les sites distants et le télétravail régulier, un VPN d’entreprise configuré proprement est la bonne réponse (voir architecture réseau entreprise).
Erreur n°5 : Ne disposer d’aucune visibilité sur son système (pas de supervision)
C’est l’erreur silencieuse. Sans supervision, une entreprise ne sait tout simplement pas ce qui se passe sur son réseau. Un intrus peut s’installer, explorer, copier des données pendant des semaines sans être détecté jusqu’à ce que les dégâts deviennent visibles, ou qu’un tiers (un client, un régulateur, un partenaire) signale le problème.
Les études sectorielles sur la réponse aux incidents montrent de façon constante que le délai moyen entre une intrusion et sa détection se compte en mois, pas en jours, lorsqu’aucune supervision n’est en place. Ce délai détermine directement l’ampleur des dégâts : plus l’attaquant reste invisible longtemps, plus il a le temps d’agir.
Comment corriger : à minima, exploitez les journaux d’événements déjà présents sur vos systèmes et examinez-les régulièrement (tentatives de connexion répétées, modifications de comptes administrateurs, activités inhabituelles). Pour une protection sérieuse, la mise en place d’un SOC (Security Operations Center) en interne ou externalisé permet une surveillance continue avec alertes en temps réel. C’est précisément ce type de service que Gael Conseil opère pour ses clients, et le sujet est détaillé dans notre approche cybersecurite resilience et notre offre de support informatique 247.
Erreur n°6 : Négliger la formation et la sensibilisation des équipes
La technologie ne fait pas tout. La plupart des incidents commencent par une action humaine : un clic sur un lien piégé, l’ouverture d’une pièce jointe malveillante, la communication d’un mot de passe à un faux interlocuteur, ou un virement déclenché sur la base d’un email frauduleux imitant la direction.
C’est un constat largement documenté dans les rapports d’enquête sur les violations de données, comme le Verizon Data Breach Investigations Report, qui place l’élément humain parmi les principaux facteurs déclencheurs d’incidents. Une équipe non sensibilisée est, sans le savoir, la première porte d’entrée.
La fraude au virement (souvent appelée « fraude au président ») est particulièrement répandue : un email se faisant passer pour un dirigeant demande un transfert urgent. Sans réflexe de vérification, l’argent part.
Comment corriger : la sensibilisation n’a pas besoin d’être lourde pour être efficace. Une session courte mais régulière, complétée de simulations d’hameçonnage pour mesurer et entretenir la vigilance, donne de meilleurs résultats qu’une formation annuelle de plusieurs heures vite oubliée. Instaurez surtout des procédures simples : toute demande de virement inhabituelle doit être vérifiée par un second canal (un appel téléphonique, par exemple). Gael Conseil propose des formats intra-entreprise adaptés au contexte sénégalais et OHADA.
➡️10 Menaces Cyber critiques pour les Banques Sénégalaises en 2026 : Guide de Protection Complet
Erreur n°7 : Ne pas avoir de plan de réponse en cas d’incident
Même avec les meilleures protections, le risque zéro n’existe pas. Un incident finira par survenir. La différence entre une entreprise qui s’en remet en quelques heures et une autre paralysée pendant plusieurs jours tient à une chose : avoir préparé sa réponse à l’avance.
Sans plan, un incident provoque la panique. Personne ne sait qui prévenir, quoi isoler, comment communiquer auprès des clients. Les heures perdues à improviser sont autant d’heures de pertes d’exploitation et d’atteinte à la réputation. C’est aussi à ce moment que se prennent les mauvaises décisions comme payer une rançon.
Un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA) répondent précisément à ce besoin. Comme le souligne Gael Conseil, un PRA efficace offre une feuille de route précise pour une reprise rapide après une perturbation majeure un enjeu d’autant plus important dans un contexte où des aléas variés peuvent surgir.
Comment corriger : rédigez un document simple, même court, définissant les rôles (qui décide, qui intervient, qui communique), les coordonnées d’urgence et les procédures de base par type d’incident. Testez-le au moins une fois par an par une simulation. L’exercice révèle toujours des angles morts qu’il vaut mieux découvrir à froid qu’en pleine crise.
Le cadre légal sénégalais : une obligation, pas une option
Au-delà du risque opérationnel, la protection des données est une obligation légale au Sénégal. Le pays s’appuie principalement sur la loi n° 2016-29 relative à la protection des données à caractère personnel, dont l’application est suivie par la Commission de protection des données personnelles (CDP), ainsi que sur la loi n° 2008-11 relative à la cybercriminalité. Ces textes imposent aux entreprises de protéger les données qu’elles traitent.
Sur le plan institutionnel, l’État a renforcé son dispositif à travers la Direction générale du Chiffre et de la Sécurité des Systèmes d’Information (DCSSI) et le Centre National Opérationnel de Cybersécurité (CNOC), signe que la cybersécurité est désormais une priorité nationale. Pour une PME, se mettre en conformité n’est donc pas seulement une bonne pratique : c’est une exigence réglementaire qui peut engager sa responsabilité.
Par où commencer ? Une question de méthode, pas de moyens
Si vous deviez retenir un seul principe, ce serait celui-ci : la cybersécurité d’une PME ne se joue pas sur le budget, mais sur la méthode. Les sept erreurs ci-dessus se corrigent en grande partie avec des outils gratuits ou peu coûteux, à condition de procéder dans le bon ordre.
Une priorisation raisonnable pour une PME sénégalaise ressemble à ceci : commencer par l’authentification multifacteur et la vérification des sauvegardes (impact maximal, effort minimal), puis sécuriser les accès distants et automatiser les mises à jour, et enfin investir dans la durée sur la supervision, la formation et le plan de réponse.
L’idéal reste de partir d’un diagnostic honnête de votre situation réelle, plutôt que d’empiler des outils au hasard. C’est tout l’objet d’un audit : identifier vos vulnérabilités prioritaires et bâtir un plan d’action réaliste, calibré sur vos ressources.
Faites le point sur votre exposition
Chez Gael Conseil, nous accompagnons les entreprises sénégalaises et ouest-africaines dans la sécurisation de leurs systèmes d’information, avec une approche de conseil stratégique : nous traduisons les enjeux techniques en décisions concrètes pour le dirigeant. Audit de risques adapté aux PME, mise en conformité avec la loi 2016-29, formation des équipes, mise en place de PCA/PRA et de supervision : notre rôle est de vous faire passer de la vulnérabilité à la maîtrise.
Échangeons sur votre exposition cyber et vos priorités. Découvrez notre expertise et demandez un premier diagnostic :