background

L'hygiène numérique au quotidien : les 7 gestes essentiels pour chaque collaborateur de PME suisse

  • Auteur: Peter Senn
  • 23 janvier 2026
  • Mis à jour le:
  • Temps de lecture: 13 min

Points clés à retenir

  • 1 PME suisse sur 6 (16 %) a subi au moins une cyberattaque ces cinq dernières années (AXA, 2025)
  • 70 % des violations liées au phishing visent des PME, pas des grandes entreprises (Verizon DBIR, 2025)
  • 94 % des mots de passe sont réutilisés ou dupliqués entre plusieurs comptes (CyberNews, 2025)
  • 32 % des ransomwares démarrent par l'exploitation d'un logiciel non mis à jour (ExpertInsights, 2025)
  • Les 7 gestes présentés ici ne requièrent aucune compétence technique
  • nLPD suisse : obligation de notifier une violation dès que possible après sa découverte (art. 24)

L'hygiène numérique désigne l'ensemble des comportements quotidiens permettant à chaque collaborateur de réduire le risque de cyberattaques et de violations de données, sans compétence informatique particulière. En Suisse, 1 PME sur 6 (16 %) a subi au moins une cyberattaque ces cinq dernières années — ce chiffre monte à 35 % pour les entreprises de 50 à 250 employés (AXA, 2025). Sept gestes simples — verrouiller sa session, vérifier les e-mails suspects, utiliser des mots de passe forts, maintenir ses logiciels à jour, nettoyer son dossier de téléchargements, se déconnecter des services en ligne, et sauvegarder régulièrement ses données — suffisent à bâtir une défense collective efficace. Ces réflexes, intégrés à la routine de chaque collaborateur, constituent la première ligne de défense de toute PME suisse.

« Une seule négligence, un seul clic sur le mauvais lien, et c'est toute l'organisation qui peut se retrouver paralysée par un incident de cybersécurité. »
 
1/6 PME suisses ont subi au moins une cyberattaque ces cinq dernières années. Pour les entreprises de 50 à 250 employés, ce chiffre monte à 35 %.
[AXA — Étude sur le marché de l'emploi des PME 2025]
 

Geste 1 — Verrouiller systématiquement sa session quand on s'éloigne

Définition : Verrouillage de session Le verrouillage de session est une mesure de sécurité physique qui rend un poste de travail inaccessible dès que l'utilisateur s'en éloigne, empêchant tout accès non autorisé aux données, applications et comptes ouverts.

Raccourcis à connaître

Système Raccourci Durée de l'action
Windows Windows + L Instantané
macOS Commande + Contrôle + Q Instantané
Linux (GNOME) Super + L Instantané

Risques d'une session non verrouillée

Un poste laissé sans surveillance — même 30 secondes — expose l'organisation à : accès aux e-mails professionnels, consultation de documents confidentiels, installation de logiciels malveillants via clé USB, et usurpation d'identité numérique sur les systèmes internes. Ce geste est particulièrement critique dans les espaces partagés : open-space, salles de réunion, espaces de coworking.

Geste 2 — Vérifier l'expéditeur avant d'ouvrir un e-mail ou une pièce jointe

Définition : Phishing (hameçonnage) Le phishing est une technique d'attaque par ingénierie sociale dans laquelle un attaquant se fait passer pour une entité de confiance (banque, fournisseur, direction) pour inciter la victime à divulguer des identifiants, cliquer sur un lien malveillant ou effectuer un virement frauduleux.
 
+35 % de signalements de fraude au CEO en Suisse en 2025 (970 cas, contre 719 en 2024). 82 % des campagnes phishing sont désormais générées par IA, rendant les messages indétectables à l'œil nu.
[OFCS, Rapport annuel 2025]

Tableau de vérification d'un e-mail suspect

Signal d'alerte Comment le vérifier
Expéditeur inconnu ou inhabituel Cliquer sur le nom d'affichage pour voir l'adresse complète
Domaine légèrement modifié Ex. bexxo-ch.com au lieu de bexxo.ch → signaler
Lien dans le corps du message Passer la souris sans cliquer — vérifier l'URL réelle
Pièce jointe non attendue Appeler l'expéditeur par téléphone pour confirmer
Urgence ou pression temporelle Indicateur fort d'arnaque — vérifier avant d'agir
Demande de virement ou d'identifiants Protocole de validation à deux niveaux obligatoire

Outil recommandé : PhishTrainer de Bexxo — simulations d'attaques de phishing réalistes pour entraîner les équipes à détecter ces messages avant de cliquer.

Geste 3 — Utiliser des mots de passe forts et uniques

Définition : Gestionnaire de mots de passe Un gestionnaire de mots de passe est une application qui génère, stocke et remplit automatiquement des mots de passe complexes et uniques pour chaque service, protégés par un seul mot de passe maître et, idéalement, par une authentification à deux facteurs (2FA).
 
94 % des mots de passe sont réutilisés ou dupliqués entre plusieurs comptes. Seulement 3 % respectent les recommandations NIST. Des identifiants volés se vendent 10 USD en moyenne sur les marchés criminels.
[CyberNews, analyse de 19 milliards de mots de passe, 2025 — Verizon DBIR 2025]
 
Mauvaise pratique Risque Bonne pratique
Même mot de passe partout 1 violation = tous les comptes compromis 1 mot de passe unique par service
Mot de passe court (< 12 car.) Cassable en quelques heures 20+ caractères générés aléatoirement
Mots de passe mémorisables Faciles à deviner Gestionnaire de mots de passe
Pas de 2FA Identifiants volés = accès direct 2FA sur tous les comptes critiques
 
Définition : Authentification à deux facteurs (2FA / MFA) L'authentification à deux facteurs est une méthode de sécurité exigeant deux preuves d'identité distinctes avant d'autoriser l'accès : typiquement un mot de passe (ce que vous savez) et un code temporaire généré par une application (ce que vous possédez).

Solution recommandée pour les PME suisses : Proton Pass — gestionnaire de mots de passe suisse, chiffrement de bout en bout, intégration 2FA incluse.

Ressource : Guide complet sécurité des mots de passe

Geste 4 — Mettre à jour ses outils et applications régulièrement

Définition : Correctif de sécurité (patch) Un correctif de sécurité est une mise à jour logicielle comblant une vulnérabilité identifiée, éliminant une faille exploitable par des attaquants avant qu'une intrusion ne se produise.
 
21 500 CVE (vulnérabilités connues) divulguées en H1 2025 — un record. 32 % des ransomwares exploitent un logiciel non patché. Les exploits de vulnérabilités représentent 20 % des violations en 2025, en hausse de +34 % en un an.
[Recorded Future H1 2025 — ExpertInsights — Verizon DBIR 2025]
 
« Un seul ordinateur non mis à jour connecté au réseau peut servir de point d'entrée pour infecter l'ensemble de l'infrastructure d'une PME avec un ransomware. »

 

Système Comment activer Fréquence conseillée
Windows Paramètres → Windows Update → Automatique Immédiate dès disponibilité
macOS Préférences Système → Mises à jour → Automatique Immédiate dès disponibilité
Applications mobiles App Store / Google Play → Mises à jour automatiques Hebdomadaire
Navigateurs web Activé par défaut dans Chrome, Firefox, Edge Continu

Ressource : Mises à jour automatiques pour PME suisse

Geste 5 — Nettoyer régulièrement son dossier de téléchargements

Définition : Minimisation des données (nLPD, art. 6) La minimisation des données est un principe inscrit dans la nLPD suisse selon lequel seules les données strictement nécessaires doivent être collectées, traitées et conservées — et supprimées dès qu'elles ne sont plus utiles.

Le dossier de téléchargements est l'un des endroits les moins sécurisés d'un ordinateur professionnel. Contrats, factures, pièces jointes d'e-mails, fichiers d'installation — tout s'y accumule sans contrôle, souvent sans chiffrement. Un nettoyage hebdomadaire réduit la surface d'exposition et contribue à la conformité nLPD.

Ressource : Guide AMF et nLPD pour PME suisse

Geste 6 — Se déconnecter des services en ligne après utilisation

La déconnexion explicite — et pas seulement la fermeture de l'onglet — est une mesure souvent négligée. Un compte resté connecté reste accessible à quiconque accède à l'appareil ou intercepte la session.

Contexte Risque si non déconnecté Action recommandée
Ordinateur partagé (bureau, formation) Accès direct par le suivant Déconnexion obligatoire avant de quitter
Wi-Fi public (café, hôtel) Interception de session (session hijacking) VPN + déconnexion systématique
Appareil perdu ou volé Accès à tous les services ouverts Révocation à distance des sessions actives
Service bancaire ou paiement Virement frauduleux Déconnexion immédiate après chaque opération
Règle absolue : ne jamais cocher "Rester connecté" sur un ordinateur partagé, un appareil de prêt ou un réseau non sécurisé. Cette case est une invitation permanente pour quiconque accéderait ensuite à l'appareil.

Geste 7 — Sauvegarder régulièrement son travail et vérifier les sauvegardes

Définition : Règle de sauvegarde 3-2-1 La règle 3-2-1 est une stratégie de sauvegarde recommandant de conserver 3 copies des données sur 2 supports différents dont 1 copie externalisée hors site, garantissant la récupération des données en cas de ransomware, sinistre ou panne matérielle.
 
Incident Sans sauvegarde Avec règle 3-2-1
Ransomware Perte totale ou rançon Restauration depuis la copie non chiffrée
Panne matérielle Perte des données du poste Restauration depuis le support secondaire
Sinistre (incendie, inondation) Perte totale si tout est sur site Restauration depuis la copie externalisée
Suppression accidentelle Irrécupérable Restauration depuis la version précédente

Solutions recommandées pour les PME suisses

  • Microsoft 365 / Google Workspace — sauvegarde des e-mails et documents en temps réel
  • kDrive d'Infomaniak — triple réplication dans deux datacenters suisses (Genève), conforme nLPD
  • Swiss Backup d'Infomaniak — sauvegarde cloud, serveurs exclusivement en Suisse, conformité nLPD garantie
Important : une sauvegarde non testée est une sauvegarde dont on ne peut pas garantir l'intégrité. Testez la restauration au moins une fois par trimestre.

Ressource : Plan de sécurité des sauvegardes

Checklist des 7 gestes à afficher dans vos bureaux

  • Verrouiller sa session dès qu'on s'éloigne (Win+L / Cmd+Ctrl+Q)
  • Vérifier l'adresse complète de l'expéditeur avant tout clic
  • Un mot de passe unique par service + 2FA activée
  • Installer les mises à jour sans délai
  • Vider le dossier de téléchargements chaque semaine
  • Se déconnecter des services sensibles après chaque utilisation
  • Sauvegarder selon la règle 3-2-1 et tester la restauration

Questions fréquentes — Hygiène numérique PME suisse

Qu'est-ce que l'hygiène numérique ?

L'hygiène numérique est l'ensemble des pratiques quotidiennes permettant à chaque utilisateur de réduire les risques de cyberattaques et de violations de données, sans compétence informatique particulière. Elle repose sur sept gestes simples — verrouillage de session, vérification des e-mails, mots de passe forts, mises à jour régulières, nettoyage des téléchargements, déconnexion systématique et sauvegardes — qui, pratiqués collectivement, créent une véritable culture de sécurité dans l'organisation.

Pourquoi l'hygiène numérique est-elle cruciale pour les PME suisses en 2026 ?

En Suisse, 1 PME sur 6 (16 %) a subi au moins une cyberattaque ces cinq dernières années, et 70 % des violations liées au phishing visent des PME (Verizon DBIR, 2025). Les PME sont des cibles privilégiées car elles disposent souvent de données de valeur mais de ressources de sécurité limitées. Par ailleurs, la nLPD impose depuis septembre 2023 une notification des violations de données personnelles dès que possible (art. 24).

Combien de temps faut-il pour intégrer ces gestes au quotidien ?

La recherche en sciences comportementales indique que la formation d'une habitude nécessite en moyenne 21 à 66 jours de pratique consciente. En contexte professionnel, avec un rappel hebdomadaire et une affiche récapitulative, la plupart des collaborateurs intègrent ces 7 gestes en 3 à 4 semaines.

Que faire si un collaborateur clique accidentellement sur un lien suspect ?

Agir immédiatement : (1) déconnecter l'appareil du réseau Wi-Fi et câblé, (2) contacter le service informatique ou prestataire externe, (3) ne pas éteindre l'appareil (préservation des traces forensiques), (4) changer les mots de passe depuis un autre appareil, (5) surveiller les accès aux comptes professionnels les 24 heures suivantes.

L'hygiène numérique suffit-elle à protéger une PME suisse ?

Ces 7 gestes constituent la fondation indispensable — ils éliminent la majorité des vecteurs d'attaque communs. Ils ne remplacent pas des mesures techniques complémentaires : pare-feu, antivirus, sauvegardes externalisées, audit de sécurité. Pour une protection complète, un accompagnement par un partenaire spécialisé est recommandé. La combinaison de bonnes pratiques humaines et de solutions techniques adaptées représente la défense optimale pour les PME de Suisse romande, Berne, Lausanne et Genève.

Comment sensibiliser efficacement les collaborateurs à l'hygiène numérique ?

Trois méthodes ont prouvé leur efficacité : (1) sessions courtes de 15-20 minutes régulières plutôt qu'une grande formation annuelle, (2) simulations de phishing réalistes avec PhishTrainer pour former par l'expérience, (3) affiche récapitulative des 7 gestes dans les espaces de travail. La formation par l'exemple — montrer les conséquences concrètes — est plus efficace que la théorie seule.

Conclusion

L'hygiène numérique n'a rien de compliqué ni de technique. Ces 7 gestes — verrouillage de session, vérification des e-mails, mots de passe uniques et 2FA, mises à jour régulières, nettoyage des téléchargements, déconnexion systématique et sauvegardes vérifiées — constituent la première ligne de défense de toute PME suisse. Pratiqués collectivement, ils créent une culture de sécurité qui réduit considérablement la surface d'exposition aux cybermenaces. Après quelques semaines, ils deviennent des automatismes.

Vous souhaitez sensibiliser vos collaborateurs ou évaluer la posture de sécurité de votre PME ? Nos experts accompagnent les PME de Suisse romande, Berne, Lausanne et Genève. Contactez Bexxo →

Sources

  • AXA — Étude sur le marché de l'emploi des PME 2025 (décembre 2025)
  • Office fédéral de la cybersécurité (OFCS) — Rapport annuel 2025
  • Verizon — Data Breach Investigations Report (DBIR) 2025
  • CyberNews — Password Leak Study 2025 : analyse de 19 milliards de mots de passe
  • ExpertInsights — Patch Management Statistics and Trends 2025
  • Recorded Future — H1 2025 Malware and Vulnerability Trends
  • nLPD — Loi fédérale sur la protection des données (RS 235.1), en vigueur depuis le 1er septembre 2023
Découvrez comment bexxo peut sécuriser votre entreprise. N'hésitez pas à nous contacter pour une consultation personnalisée dès aujourd'hui !
Contactez-nous Chat avec un expert