Check-list d'été pour les PME : partez en vacances l'esprit tranquille

Les vacances d'été sont le moment que les fraudeurs attendent : des bureaux à moitié vides et moins de vigilance. Cette check-list pratique aide votre PME à aborder la période estivale en toute sécurité.

L'été rime avec vacances — et c'est justement là que les choses déraillent. Non pas parce que les hackers redoublent d'efforts (même si c'est aussi le cas), mais parce que ceux qui tirent habituellement le frein d'urgence ne sont plus là. Le comptable est en Crète, le directeur quelque part dans les Alpes autrichiennes, et le stagiaire est autorisé à « garder un œil sur les mails ». Avant même de s'en rendre compte, une facture urgente avec un nouvel IBAN atterrit dans la boîte de réception — et il n'y a plus personne pour « décrocher le téléphone et vérifier ».

Quelques accords simples pris avant de laisser le bureau à moitié vide en juillet et août peuvent vous éviter bien des tracas. Voici une liste pratique — pas un épais manuel de crise, juste les choses qui font vraiment la différence.

1. Définissez à l'avance qui peut signer quoi

Le grand classique : le trésorier est en vacances, une facture arrive qui « doit absolument » être réglée aujourd'hui, et quelqu'un d'autre la paie « parce que ça ne peut pas attendre ». Neuf fois sur dix, tout va bien. La dixième, c'est une fraude.

Fixez avant la période de vacances :

• Qui peut approuver jusqu'à quel montant en l'absence du responsable habituel ?
• Qui joue le rôle de second regard pour les paiements au-dessus d'un certain seuil ?
• Quels paiements peuvent tout simplement attendre le retour de vacances ? (Spoiler : plus que vous ne le pensez.)

Pour tout nouvel IBAN ou changement de coordonnées bancaires : appelez en utilisant un numéro issu de votre propre administration, jamais celui indiqué dans le mail. Toujours. Même en août.

2. Activez le message d'absence — mais ne dévoilez rien

Un message d'absence est pratique pour vos clients, et une mine d'or pour les escrocs. « Je suis absent jusqu'au 14 août ; pour les urgences, contactez Marie (marie@entreprise.fr, 06-12345678) » indique à un fraudeur exactement combien de temps il dispose et qui il peut se faire passer pour vous.

Restez vague : « Je suis peu disponible jusqu'à mi-août. Pour les urgences : info@entreprise.fr. » Pas de dates précises, pas de numéros de téléphone personnels, pas de noms de remplaçants facilement usurpables.

3. Faites un mini-audit des accès avant les vacances

La dernière chose dont vous avez besoin, c'est qu'un ancien employé — ou un compte de stagiaire oublié — puisse encore se connecter à vos systèmes sans que personne ne le remarque. Une demi-heure de travail peut éviter beaucoup de problèmes :

• Parcourez la liste des utilisateurs de votre environnement de messagerie (par exemple Microsoft 365). Y a-t-il quelqu'un qui ne devrait plus y figurer ?
• Vérifiez qui dispose des droits d'administrateur. Cette liste est-elle toujours à jour ?
• Identifiez quels tiers externes (comptable, agence marketing, freelance) ont accès à quels systèmes.

Vous trouvez quelque chose qui ne correspond plus ? Désactivez-le. Réactiver un compte en septembre prend cinq minutes ; gérer un compte piraté prend une semaine.

4. Activez la double authentification sur tous les comptes importants

Vous l'avez bien sûr déjà fait depuis longtemps. Mais vérifiez quand même. Messagerie, logiciel de comptabilité, banque, registrar de noms de domaine, CMS de votre site web. Un seul compte sans 2FA suffit à gâcher tout l'été.

N'oubliez pas les codes de secours. Si le téléphone du directeur tombe à l'eau à Ibiza, vous ne voulez pas découvrir que les codes de récupération étaient aussi sur ce téléphone. Imprimez-les ou stockez-les dans votre gestionnaire de mots de passe dans une catégorie dédiée.

5. Qui surveille les mails ?

Pas pour tout répondre — mais pour repérer si quelque chose de louche se produit. Une tentative de connexion inhabituelle, une demande de réinitialisation de mot de passe, un fournisseur qui communique « rapidement » un nouveau numéro de compte. Convenez qu'une personne scanne les boîtes mail principales une fois par semaine pour détecter toute anomalie.

Consultez également vos rapports SPF/DKIM/DMARC si vous en recevez. L'été est une période prisée pour le phishing au nom de votre domaine, tout simplement parce que les chances de se faire prendre sont moindres.

6. Sauvegardes : pas seulement les lancer, aussi les vérifier

Une sauvegarde qui tourne chaque nuit sans jamais avoir été restaurée n'est pas une sauvegarde — c'est juste un fichier. Testez avant les vacances que vous pouvez réellement récupérer un fichier. Cinq minutes de travail, et vous êtes sûr de ne pas vous retrouver en début août avec un incident ransomware et une sauvegarde inutilisable.

7. Rédigez une liste « qui appeler » sur papier

Ça paraît old-school — et ça l'est. Mais si tout est en panne — mails, système téléphonique, ordinateur portable — une feuille A4 imprimée avec les numéros de téléphone de votre prestataire informatique, de votre hébergeur, de votre comptable et de votre banque vaut de l'or. Affichez-la au bureau et donnez-en un exemplaire à ceux qui restent en août.

En résumé

L'été n'est pas en soi un événement de sécurité, mais c'est une période où les garde-fous habituels sont absents. Les quatre points qui font le plus la différence :

1. Un second regard sur les paiements, surtout pour les nouveaux IBAN.
2. Un message d'absence qui ne dévoile rien.
3. Une vérification rapide de qui a accès à quoi.
4. La 2FA et les codes de secours pour les comptes importants.

Vous souhaitez faire vérifier avant les vacances que votre cartographie des accès est à jour — qui a encore des droits sur quoi, et est-ce vraiment justifié ? Notre audit des accès fait exactement cela. Et si un nouveau fournisseur se manifeste avec un autre numéro de compte : passez-le par notre vérificateur IBAN avant d'effectuer le moindre virement.