Le paysage cyber des PME outre-mer en 2026

En 2026, une cyberattaque touche une entreprise française toutes les 11 secondes. Ce rythme n'épargne pas les Antilles. Pourtant, la majorité des PME martiniquaises et guadeloupéennes fonctionnent encore sans politique de cybersécurité formalisée — pas de MFA, pas de sauvegardes testées, pas de protection des emails.

Cette réalité est dangereuse pour une raison simple : les cybercriminels ne ciblent plus les grandes entreprises en priorité. Ils s'attaquent aux PME, justement parce que leur sécurité est plus facile à contourner. Selon l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), 60% des cyberattaques en France visent des structures de moins de 250 salariés.

Pour les PME aux Antilles, ce risque est amplifié par des facteurs locaux : la taille réduite des équipes IT, l'éloignement géographique qui complique la réponse aux incidents, et la dépendance croissante aux outils numériques — Microsoft 365, ERP en ligne, paiements dématérialisés.

60%
des cyberattaques françaises ciblent des PME de moins de 250 salariés (ANSSI 2025)
21 j
durée moyenne d'interruption après un ransomware non anticipé en PME
74%
des incidents de sécurité impliquent un facteur humain (phishing, erreur, mot de passe)

Cet article présente les 5 risques cybersécurité les plus fréquents pour les PME en Martinique et en Guadeloupe, avec des exemples concrets adaptés au tissu économique local — commerce, services, santé, BTP — et une checklist de protection applicable immédiatement.

1

Ransomware : le chiffrement qui paralyse tout

⚠️ Risque critique

Le ransomware est l'attaque la plus dévastatrice pour une PME. Le principe : un logiciel malveillant chiffre l'ensemble de vos fichiers — comptabilité, devis, dossiers clients, contrats — et exige une rançon en cryptomonnaie pour les déverrouiller. Sans sauvegarde récente testée, vous avez deux options : payer (sans garantie de récupération) ou tout reconstruire.

Comment ça entre ?

Dans 91% des cas, le ransomware passe par un email — une pièce jointe infectée, un lien vers un faux formulaire, une fausse facture PDF. Le collaborateur clique, le logiciel s'installe silencieusement, et le chiffrement commence en dehors des heures de bureau pour maximiser les dommages avant détection.

📋 Cas réel — secteur services, Fort-de-France

Cabinet de conseil, 8 collaborateurs — attaque en 2025

Vecteur : Email imitant un courrier de la DIECCTE avec une pièce jointe Word « convocation_contrôle.docm ». Un associé a ouvert le fichier sur son PC professionnel un mardi soir.

Impact : 100% des fichiers serveur chiffrés, boîtes mail inaccessibles, 72h d'interruption complète. Dernière sauvegarde vérifiable : 3 semaines avant l'attaque. Perte estimée : 38 000 € (rançon non payée, reconstruction partielle des données depuis les emails).

Ce qui aurait tout changé : Un antivirus nouvelle génération (EDR) sur chaque poste, une sauvegarde quotidienne externalisée, et un filtre email bloquant les macros Office depuis l'extérieur.

Protection minimale pour une PME antillaise

  • Déployer Microsoft Defender for Endpoint sur tous les postes (inclus dans Microsoft 365 Business Premium)
  • Sauvegardes quotidiennes externalisées dans le cloud, avec test de restauration mensuel
  • Bloquer les macros Office reçues par email (paramétrage Intune ou GPO)
  • Segmenter le réseau : un ransomware sur le PC d'une secrétaire ne doit pas atteindre le serveur de fichiers
2

Phishing ciblé : l'usurpation d'identité au bureau

⚠️ Risque élevé

Le phishing n'est plus l'email d'un prince nigérian. En 2026, les attaques sont ciblées, personnalisées et indistinguables d'un vrai email professionnel. Un attaquant qui a passé 20 minutes sur le site web de votre entreprise et LinkedIn peut écrire un email qui imite votre directeur général, votre banque, ou la DGFiP — avec votre logo, votre ton, votre adresse habituelle.

Les variantes les plus fréquentes aux Antilles

  • Fausse facture fournisseur : un email imitant un prestataire habituel (cabinet comptable, transporteur maritime) demande de valider un paiement vers un nouveau RIB
  • Usurpation de direction : le dirigeant est en déplacement, un email à son nom demande un virement urgent au service comptabilité
  • Faux portail Microsoft 365 : un email demande de "reconfirmer votre mot de passe" sur une page imitant la page de connexion Microsoft — les identifiants sont capturés en temps réel
  • Alerte douane fictive : très répandue en contexte insulaire, cette variante exploite les inquiétudes légitimes liées aux importations et transports maritimes
⚠️ Le coût d'une arnaque au virement en PME

Selon la BPI, le montant moyen d'une arnaque au président (FOVI — fraude au virement) est de 74 000 € en PME. Les remboursements bancaires sont rares dès lors que le virement a été validé volontairement par un collaborateur. Ces sommes sont rarement récupérées.

Comment se protéger

  • Activer DMARC, DKIM et SPF sur votre domaine email — bloque l'usurpation de votre propre adresse
  • Former les collaborateurs à identifier les signaux d'alerte (urgence, changement de RIB, demande de confidentialité)
  • Mettre en place une procédure de double validation pour tout virement supérieur à un seuil (ex. : 1 500 €)
  • Déployer Microsoft Defender for Office 365 pour filtrer les emails de phishing avant réception

Vérifiez l'état de votre protection email en deux minutes : notre outil d'audit DMARC gratuit analyse votre domaine et identifie les failles SPF, DKIM et DMARC.

🔍 Votre domaine email est-il protégé ?

Vérifiez gratuitement l'état de vos enregistrements SPF, DKIM et DMARC. Résultat immédiat, sans installation.

Lancer l'audit DMARC gratuit →
3

Mots de passe faibles et absence de MFA

⚠️ Risque élevé

Le mot de passe « Martinique2024! » est utilisé par des milliers de personnes. Les attaquants le savent — ils disposent de bases de données de milliards de mots de passe compromis lors de fuites précédentes (LinkedIn, Adobe, Canva…). Une attaque par dictionnaire teste ces combinaisons automatiquement sur votre Microsoft 365, votre VPN, votre portail RH — en quelques secondes.

Le problème de la réutilisation

La plupart des collaborateurs utilisent le même mot de passe — ou une légère variation — sur leurs comptes personnels et professionnels. Quand leur email personnel est compromis lors d'une fuite de données (événement courant en 2026), leur accès Microsoft 365 d'entreprise devient immédiatement vulnérable.

💡 Le MFA bloque 99,9% des attaques automatisées

Microsoft affirme que l'authentification multi-facteurs (MFA) bloque 99,9% des tentatives de connexion automatisées. Même si un attaquant dispose de votre mot de passe, il ne peut pas accéder à votre compte sans le code d'approbation sur votre téléphone. C'est la mesure de sécurité avec le meilleur retour sur investissement — et elle est gratuite dans Microsoft 365.

Le paradoxe des contraintes de complexité

Les politiques de mot de passe trop complexes (majuscule + chiffre + caractère spécial + rotation tous les 60 jours) produisent l'effet inverse : les collaborateurs notent les mots de passe sur des post-its, incrémentent un chiffre à la fin, ou choisissent des variantes prévisibles. La CNIL et le NIST recommandent désormais des phrases de passe longues (ex. : « LePompierDeSchoelcher2026 ») plutôt que des mots de passe complexes courts.

Actions immédiates

  • Activer le MFA sur tous les comptes Microsoft 365 via l'application Authenticator (pas SMS — simulable)
  • Déployer un gestionnaire de mots de passe d'entreprise (KeePass Business, Bitwarden Business)
  • Identifier les comptes partagés sans MFA (boîtes génériques info@, compta@) et les sécuriser
  • Auditer les connexions depuis des pays inhabituels (disponible dans le portail Entra ID)
4

Données non sauvegardées : le coût de la perte définitive

⚠️ Risque structurel

« On a un NAS dans le bureau. » C'est la réponse la plus fréquente quand on demande aux PME antillaises comment elles sauvegardent leurs données. Un NAS local n'est pas une sauvegarde — c'est une copie synchronisée, souvent chiffrée en même temps que l'original lors d'un ransomware, détruite lors d'un incendie, ou simplement hors service depuis des semaines sans que personne ne s'en rende compte.

La règle 3-2-1 : le standard de l'industrie

Toute politique de sauvegarde sérieuse suit la règle 3-2-1 :

  • 3 copies des données (la production + 2 sauvegardes)
  • 2 supports différents (ex. : disque local + cloud)
  • 1 copie hors site (stockage cloud externe, site secondaire)
🚨 Spécificité Antilles : les risques climatiques

En Martinique et Guadeloupe, les catastrophes naturelles ne sont pas hypothétiques. Un cyclone, une inondation, ou même une micro-coupure de courant répétée peut endommager irrémédiablement un NAS local. La sauvegarde en cloud (Azure, Backblaze, Amazon S3) est la seule protection réelle contre ces scénarios — le datacenter est hors de la zone de risque. Pour les PME antillaises, la sauvegarde externalisée n'est pas un luxe, c'est une nécessité géographique.

Le test de restauration : l'étape ignorée

Une sauvegarde non testée n'est pas une sauvegarde. Les sauvegardes peuvent être corrompues, incomplètes, ou impossibles à restaurer en temps utile. La restauration doit être testée au moins une fois par trimestre — avec une mesure du temps de restauration (RTO : Recovery Time Objective). Si vous ne savez pas combien de temps il faudrait pour restaurer vos données depuis zéro, vous avez une réponse à votre niveau de préparation.

Coût de la perte définitive de données

  • Perte de données comptables : reconstruction manuelle depuis les relevés bancaires, risque de contrôle fiscal, amende
  • Perte de dossiers clients : obligation de notification RGPD, amendes CNIL, atteinte à la réputation
  • Perte de données de production : arrêt d'activité partiel ou total pendant la reconstruction
  • Délais insulaires : en Martinique ou Guadeloupe, si du matériel doit être commandé pour la restauration, comptez 2 à 3 semaines supplémentaires

🧮 Estimez le coût d'une panne informatique pour votre PME

Notre calculateur évalue en 30 secondes le coût d'une interruption selon vos effectifs et votre secteur d'activité.

Calculer mes pertes potentielles → 📋 Parler à un expert
5

Shadow IT et appareils non gérés : les angles morts invisibles

⚠️ Risque croissant

Le Shadow IT désigne l'utilisation non autorisée d'applications ou d'appareils personnels à des fins professionnelles. Un commercial qui utilise son WhatsApp personnel pour envoyer des devis à des clients. Une secrétaire qui stocke des contrats sur son Google Drive personnel. Un technicien qui se connecte au réseau interne depuis son PC familial non protégé.

Ces usages sont compréhensibles — les outils personnels sont souvent plus pratiques. Mais ils créent des angles morts totaux pour le service IT : aucune visibilité, aucune mise à jour contrôlée, aucune capacité à effacer les données en cas de perte ou de départ du collaborateur.

Pourquoi le Shadow IT est particulièrement répandu aux Antilles

Dans les PME antillaises de moins de 50 salariés, il n'existe souvent pas de DSI ni de politique informatique formelle. Les collaborateurs s'organisent avec les outils à leur disposition — y compris leurs outils personnels. La frontière entre usage professionnel et personnel est floue, et personne n'est là pour la tracer.

  • Appareils personnels sur le réseau Wi-Fi professionnel : un smartphone non mis à jour peut servir de point d'entrée pour un attaquant sur votre réseau
  • Applications non validées : un outil de signature de PDF gratuit peut lire et stocker les documents traités
  • Comptes cloud personnels : des données clients dans un Google Drive personnel ne sont plus sous le contrôle de l'entreprise
  • Messageries non chiffrées : WhatsApp pour les échanges internes chiffre les messages, mais les pièces jointes sont stockées localement sans protection
⚠️ RGPD et Shadow IT

Toute donnée personnelle de vos clients stockée sur un outil non validé engage votre responsabilité RGPD — même si c'est votre collaborateur qui a fait le choix. En cas de fuite de données depuis un outil Shadow IT, vous restez responsable de la notification à la CNIL dans les 72h et des éventuelles amendes.

Comment reprendre le contrôle

  • Déployer Microsoft Intune pour gérer les appareils professionnels et contrôler les applications installées
  • Mettre en place une charte informatique claire, signée lors de l'onboarding
  • Créer un réseau Wi-Fi invité séparé du réseau de production pour les appareils personnels
  • Utiliser Microsoft Teams comme canal officiel (messagerie, partage de fichiers) pour réduire le recours aux outils personnels
  • Auditer régulièrement les connexions à Microsoft 365 pour identifier les appareils non conformes (portail Entra ID)

Conclusion : la checklist protection PME Antilles 2026

Ces 5 risques partagent un point commun : ils sont tous évitables. Pas en mobilisant des budgets de grande entreprise, mais en appliquant des mesures de base que la plupart des PME négligent encore. Voici la checklist minimale pour sécuriser votre PME en Martinique ou en Guadeloupe en 2026 :

  • MFA activé sur tous les comptes Microsoft 365, avec Microsoft Authenticator (pas SMS)
  • DMARC, DKIM et SPF configurés sur votre domaine email — protège contre l'usurpation
  • Sauvegarde quotidienne externalisée dans le cloud, avec test de restauration trimestriel
  • Defender for Endpoint déployé sur tous les postes Windows (inclus dans Microsoft 365 Business Premium)
  • Gestionnaire de mots de passe d'entreprise déployé et mots de passe uniques par service
  • Politique de validation des virements : double validation pour tout virement ≥ seuil défini
  • Réseau Wi-Fi invité séparé du réseau de production pour les appareils personnels
  • Sensibilisation des collaborateurs : une session annuelle sur la reconnaissance du phishing
  • Inventaire des appareils accédant au réseau et aux données de l'entreprise
  • Plan de réponse aux incidents documenté : qui contacter, dans quel ordre, en cas d'attaque

Si vous cochez moins de 5 cases sur 10, votre PME est exposée à un risque significatif. Ce n'est pas un jugement — c'est le point de départ. La bonne nouvelle : toutes ces mesures peuvent être mises en place en quelques semaines, souvent sans investissement matériel supplémentaire si vous disposez déjà de Microsoft 365.

Pour aller plus loin, l'article sur l'infogérance en Martinique explique comment déléguer la gestion de ces mesures à un prestataire spécialisé — pour une protection continue, sans mobiliser vos équipes. Découvrez aussi notre offre MSP ProdSec365, conçue pour les PME antillaises qui veulent une cybersécurité de niveau ETI sans en avoir le budget.

📋 Évaluation sécurité gratuite pour votre PME

Nos experts analysent votre infrastructure, identifient vos angles morts et vous remettent un rapport de recommandations — sans engagement, sans frais.

Demander l'évaluation → 🔍 Audit DMARC gratuit

Questions fréquentes sur la cybersécurité PME aux Antilles

Oui. Les cybercriminels ciblent en priorité les PME, justement parce qu'elles ont moins de ressources de sécurité. En France et dans les DOM, 60% des cyberattaques visent des entreprises de moins de 250 salariés. Les PME antillaises ne sont pas épargnées : l'insularité ralentit la réponse aux incidents, ce qui les rend encore plus vulnérables.

Le coût moyen d'un incident ransomware pour une PME française est estimé entre 50 000 et 200 000 euros — rançon, coûts de restauration, perte de chiffre d'affaires, amendes RGPD. Pour une PME antillaise, les délais de rétablissement sont souvent plus longs à cause des contraintes insulaires, ce qui aggrave la perte d'exploitation.

Oui. Microsoft affirme que le MFA bloque 99,9% des attaques automatisées. Même si un collaborateur transmet son mot de passe à un site de phishing, l'attaquant ne peut pas accéder au compte sans le second facteur (application Authenticator). C'est la mesure avec le meilleur rapport effort/protection pour une PME.

Le Shadow IT désigne l'usage non autorisé d'applications ou d'appareils personnels à des fins professionnelles. Un collaborateur qui utilise son Gmail personnel pour envoyer des documents clients crée une faille invisible pour le service IT. Ces applications sont souvent peu sécurisées, non mises à jour et impossibles à surveiller — devenant une porte d'entrée idéale pour les attaquants.

La règle 3-2-1 est le standard : 3 copies des données, sur 2 supports différents, dont 1 hors site. Pour une PME, cela signifie une sauvegarde automatique quotidienne vers le cloud, avec un test de restauration mensuel. Une sauvegarde non testée est une sauvegarde dont on ne sait pas si elle fonctionne.

Trois mesures essentielles : SPF (liste des serveurs autorisés à envoyer vos emails), DKIM (signature cryptographique de chaque email), et DMARC (politique de traitement des emails non conformes). Ces trois protocoles empêchent les attaquants d'usurper votre domaine. Wefine propose un audit DMARC gratuit pour vérifier votre état de protection en moins de 2 minutes.

Commencez par un état des lieux : inventaire des comptes utilisateurs actifs, état du MFA, politique de mots de passe, état des sauvegardes, liste des appareils accédant au réseau. Ce diagnostic révèle systématiquement des angles morts. Wefine propose une évaluation sécurité gratuite pour les PME en Martinique et Guadeloupe — contactez-nous.

🛡️
Wefine MSP — Équipe Cybersécurité
MSP spécialisé Microsoft 365 & cybersécurité · Antilles-Guyane · Fort-de-France