Le mot de passe du Louvre était "LOUVRE" : votre PME fait-elle pareil ?
67% des PME utilisent des systèmes obsolètes. Découvrez les 3 risques réels + checklist gratuite pour auditer vos logiciels en 2h.
Alexis Demarecaux
le
4 nov. 2025
Le mot de passe du Louvre était "LOUVRE" : votre PME fait-elle pareil ?
Temps de lecture : 5 minutes
Le mot de passe pour accéder au système de vidéosurveillance du Louvre était "LOUVRE". C'est pas une blague. Une réalité révélée par l'ANSSI il y a quelques semaines.
Huit logiciels critiques de surveillance en France n'ont pas été mis à jour depuis 2003. Certains tournent encore avec des configurations d'origine, comme si nous étions toujours à l'époque des premiers iPod et de MySpace.
Si des institutions majeures en sont là, fermez les yeux une seconde et posez-vous la question : vos propres systèmes datent de quand ?
La réponse vous met probablement mal à l'aise. Et c'est normal. Selon Cybermalveillance.gouv.fr, soixante-sept pour cent des PME françaises utilisent des systèmes non mis à jour depuis plus de trois ans. Le coût moyen d'une cyberattaque pour une PME ? Cinquante mille euros. Dans soixante pour cent des cas, l'entreprise ferme dans les six mois qui suivent.
Ce n'est pas un article pour vous faire peur. C'est un article pour vous montrer ce que vous ne voyez plus parce que ça fonctionne depuis trop longtemps.
Quand "ça marche" devient un piège
Imaginez que vous habitez une maison construite en 2003. À l'époque, vous aviez installé une serrure trois points dernier cri, des fenêtres avec double vitrage, une porte blindée. C'était l'état de l'art. Vingt-deux ans plus tard, vous habitez toujours cette maison.
Les murs tiennent. La serrure fonctionne. Les fenêtres s'ouvrent et se ferment. Vous n'avez jamais eu de problème. Pourquoi changer ?
Sauf que pendant ce temps, les cambrioleurs ont développé de nouvelles méthodes. Les serrures ont évolué vers des systèmes biométriques. Les fenêtres ont des vitrages anti-effraction avec détecteurs intégrés. Les normes de sécurité ont changé trois fois.
Votre maison fonctionne toujours. Mais elle n'est plus sécurisée selon les standards d'aujourd'hui. Pire encore : elle est devenue une cible facile pour ceux qui connaissent les failles des systèmes de 2003.
C'est exactement ce qui se passe avec vos logiciels de gestion, votre CRM, votre système de facturation. Ils marchent. Mais ils ne vous protègent plus.
Le premier risque : l'attaque qui coûte le prix d'une voiture
Une PME sur deux sera victime d'une cyberattaque dans les douze prochains mois. Ce n'est pas une projection alarmiste, c'est une statistique officielle du gouvernement français. Les hackers ne cherchent pas à pirater la NASA ou les serveurs du Pentagone. Ils cherchent des portes faciles à ouvrir, des systèmes avec des failles connues, des entreprises qui ont encore des mots de passe par défaut.
Un logiciel de 2003 non mis à jour, c'est comme laisser votre clé sous le paillasson en espérant que personne ne la trouvera. Les hackers ont des bases de données entières répertoriant les vulnérabilités de chaque version de chaque logiciel jamais sorti. Ils savent exactement où frapper.
Prenons le cas d'une PME de négoce à Lyon. Vingt-cinq salariés, un logiciel de facturation installé en 2010, jamais mis à jour parce que "ça marchait bien". Un matin de mars 2024, les écrans se figent. Un message apparaît : "Vos fichiers sont chiffrés. Trente mille euros pour récupérer vos données."
Ransomware. L'équipe a cru que c'était une blague. Puis ils ont essayé d'ouvrir la base de données clients. Inaccessible. Les factures des trois dernières années. Inaccessibles. Les devis en cours. Inaccessibles.
La suite ? Soixante-cinq mille euros de coût total. Pas seulement la rançon qu'ils ont fini par payer. La reconstruction de la base de données à partir de sauvegardes partielles. Le consultant en sécurité embauché en urgence. Les sept jours d'activité à l'arrêt. Les clients perdus qui ne font plus confiance.
Selon la CNIL, une faille de sécurité qui expose des données clients peut entraîner des amendes allant jusqu'à quatre pour cent du chiffre d'affaires. Pour une PME qui fait un million d'euros de CA, ça fait quarante mille euros d'amende en plus de tout le reste.
Le deuxième risque : payer quelqu'un quarante-cinq mille euros par an pour faire du copier-coller
Ce risque-là est plus silencieux. Il ne fait pas de bruit. Il ne provoque pas de panique. Il vous coûte juste une fortune chaque année sans que vous vous en rendiez compte.
Votre vieux logiciel de gestion ne parle pas avec votre site web. Il ne s'interface pas avec votre nouveau CRM. Il ne communique pas avec votre solution de paiement en ligne. Résultat ? Vous ressaisissez. Manuellement. Encore et encore.
Une étude du CNRS sur la productivité numérique a mesuré le coût réel de cette incompatibilité progressive : douze heures par semaine perdues en moyenne par salarié sur de la ressaisie manuelle. Le taux d'erreur sur les données ressaisies ? Dix-huit pour cent. Le coût annuel pour une équipe de dix personnes ? Quarante-cinq mille euros en temps perdu.
Quarante-cinq mille euros. C'est le salaire d'une personne que vous payez pour faire du copier-coller entre des systèmes qui devraient communiquer automatiquement. Pendant ce temps, vos concurrents qui ont mis à jour leurs systèmes automatisent ces tâches et utilisent ce temps pour développer leur activité.
L'ironie, c'est que vous n'avez même pas l'impression de perdre de l'argent. Cette perte est invisible. Elle est diluée dans les journées de travail, noyée dans le quotidien opérationnel. Mais elle est bien réelle. Et elle s'accumule, mois après mois, année après année.
Le troisième risque : le jour où Jean-Michel prend sa retraite
Dans votre entreprise, il y a Jean-Michel. Jean-Michel est là depuis quinze ans. Il connaît le système par cœur. Quand le logiciel plante le vendredi soir à 18h, c'est Jean-Michel qui sait quelle combinaison de touches magiques permet de le relancer. Quand il faut extraire un rapport spécifique que le logiciel n'est pas censé pouvoir générer, c'est Jean-Michel qui a la manipulation.
La question que personne ne veut poser : que se passe-t-il quand Jean-Michel part ?
L'INSEE a documenté ce phénomène : trente-huit pour cent des PME perdent une connaissance critique lors d'un départ sans transmission formalisée. Le coût de remplacement ? Entre huit et quinze mille euros pour recruter quelqu'un. Trois mois minimum de formation. Une perte de productivité de trente pour cent pendant toute la période de transition.
Et encore, ça c'est dans le meilleur des cas. Dans le pire, le nouveau collaborateur découvre que personne ne sait vraiment comment fonctionne le système. Les processus ne sont documentés nulle part. Tout est dans la tête de Jean-Michel qui est maintenant en train de profiter de sa retraite en Dordogne sans répondre aux appels paniqués.
La vraie question n'est pas "est-ce que Jean-Michel va partir un jour ?" La vraie question est "votre entreprise dépend-elle d'une personne ou d'un système documenté et maîtrisé ?"
Pourquoi vous n'avez toujours rien fait (et c'est normal)
Vous lisez cet article et vous vous dites probablement "oui, je sais, il faut que je m'en occupe". Vous le savez depuis des mois. Peut-être même des années. Mais vous ne l'avez toujours pas fait.
Ce n'est pas de la négligence. Ce n'est pas de l'inconscience. C'est juste que vous avez d'autres priorités. Le client qui menace de partir si vous ne résolvez pas son problème avant demain. La réunion budget qui ne peut pas être repoussée. L'entretien d'embauche pour remplacer Marie qui part dans trois semaines.
Selon BPI France, les dirigeants de PME passent en moyenne huit heures par semaine sur des tâches opérationnelles qui pourraient être automatisées. L'ironie ? Vous n'avez pas deux heures pour planifier une mise à jour de vos systèmes, mais vous en aurez quarante pour gérer une crise quand tout s'effondrera.
Et puis il y a la peur du coût. Une mise à jour progressive et planifiée coûte entre cinq et quinze mille euros étalés sur plusieurs mois. Une intervention d'urgence après une panne majeure ou une cyberattaque ? Entre quinze et quatre-vingts mille euros, plus l'activité à l'arrêt, plus les clients perdus. Vous choisissez quoi ?
Le dernier frein est plus profond : c'est la conviction que "c'est trop technique pour moi". Et vous avez raison, c'est technique. Mais c'est précisément pour ça qu'il faut vous entourer des bonnes personnes. Un audit système prend deux à trois heures et coûte entre zéro euros pour un check-up de base et cinq cents euros pour un audit complet. C'est moins cher qu'un déplacement commercial.
Les trois actions que vous pouvez faire cette semaine
La première chose à faire, c'est l'inventaire. Deux heures maximum. Vous prenez une feuille Excel et vous listez tous vos logiciels métiers : le logiciel de gestion, la compta, le CRM, tout. Pour chacun, vous notez la date d'installation, la date de dernière mise à jour, et qui dans votre équipe sait vraiment l'utiliser.
Si vous découvrez qu'un logiciel installé il y a plus de cinq ans n'a jamais été mis à jour, vous avez trouvé votre signal d'alerte. L'ANSSI propose un guide d'audit IT simplifié pour les PME, gratuit, disponible en ligne.
La deuxième action, c'est le check-up sécurité. Trente minutes. Il existe des outils gratuits qui vont scanner votre site et vos systèmes pour identifier les vulnérabilités évidentes. SSL Labs teste la sécurité de votre certificat SSL. Security Headers scanne les vulnérabilités basiques. La CNIL propose un outil de vérification RGPD.
Vous cherchez les certificats expirés, les mots de passe par défaut qui sont encore actifs, les versions de logiciels qui ne sont plus supportées par leurs éditeurs. Vous ne cherchez pas la perfection. Vous cherchez juste les trous béants dans votre sécurité.
La troisième action, c'est la priorisation. Quinze minutes. Vous prenez tous vos systèmes et vous les classez selon deux critères : l'impact si ça tombe, et le niveau d'obsolescence. Un système à impact fort qui est obsolète, c'est une priorité absolue à traiter dans les trois mois. Un système à impact moyen qui est obsolète, vous le planifiez dans les six mois. Le reste, vous le surveillez.
Pas de perfection. Juste du progrès. Un système à la fois. En commençant par le plus critique.
Ce qu'il ne faut surtout pas faire
L'erreur classique, c'est de se dire "puisqu'on met à jour, autant tout refaire". Vous lancez un projet de refonte complète de tous vos systèmes. Dix-huit mois plus tard, le projet n'est toujours pas terminé, le budget a été multiplié par trois, votre équipe est perdue entre l'ancien et le nouveau système, et vous regrettez d'avoir commencé.
L'alternative ? Une mise à jour progressive. Un système à la fois. Vous commencez par le plus critique. Vous le mettez à jour. Vous formez l'équipe. Vous vérifiez que tout fonctionne. Puis vous passez au suivant. C'est moins spectaculaire, mais ça marche.
La deuxième erreur, c'est de choisir le prestataire le moins cher. Vous trouvez un freelance à trois cents euros par jour, vous vous dites que c'est parfait. Trois mois plus tard, la migration est bâclée, les bugs s'accumulent en cascade, et le coût final est trois fois plus élevé que si vous aviez investi dès le départ dans un accompagnement professionnel structuré. France Num propose un guide pour choisir un prestataire IT fiable.
La troisième erreur, c'est d'installer un nouveau système sans former l'équipe. Le jour de la mise en production, personne ne sait vraiment comment ça marche. Résultat ? Tout le monde retourne à Excel et aux fichiers papier. L'investissement est gâché. La règle d'or : budgétez vingt pour cent du coût du projet en formation. Ce n'est pas une dépense, c'est un investissement.
Ce qui change vraiment quand vous mettez à jour
Il y a une entreprise de négoce industriel à Nantes. Dix-huit personnes. Avant la mise à jour, ils avaient un logiciel de gestion sans API qui les obligeait à ressaisir manuellement toutes les commandes qui arrivaient du site web. Aucune interface avec la comptabilité, donc double saisie. Pas de sauvegarde cloud, toutes les données sur un disque dur local. Le temps administratif ? Vingt-deux heures par semaine.
Ils ont fait une mise à jour progressive sur quatre mois. Synchronisation automatique entre le site web et le logiciel de gestion. Interface comptabilité automatisée. Sauvegarde cloud quotidienne. Le temps administratif est passé à sept heures par semaine.
L'investissement ? Douze mille euros. L'économie annuelle en temps récupéré ? Dix-huit mille euros. Le retour sur investissement en huit mois. Mais ce n'est pas juste une question d'argent. C'est aussi la sérénité de savoir que si le serveur prend feu demain, toutes les données sont sauvegardées. C'est la capacité de gérer trente pour cent de clients en plus avec la même équipe.
Par où commencer vraiment
La première semaine, vous faites l'état des lieux. L'inventaire des systèmes en deux heures. Les tests de sécurité gratuits en trente minutes. L'identification du système le plus critique en quinze minutes. À la fin de la semaine, vous avez une liste Excel claire avec tous vos logiciels, leurs dates, et leur niveau de criticité.
La deuxième semaine, vous prenez les décisions. Vous priorisez selon la matrice impact-obsolescence en trente minutes. Vous demandez deux ou trois devis pour un audit professionnel en une heure. Vous budgétez une enveloppe réaliste en trente minutes. À la fin de la semaine, vous avez un budget prévisionnel et un calendrier.
Les mois deux à quatre, vous passez à l'action. Vous lancez l'audit professionnel du système prioritaire. Vous planifiez la mise à jour progressive. Vous formez l'équipe au fur et à mesure. À la fin du quatrième mois, votre premier système est à jour et votre équipe est formée.
Ce n'est pas spectaculaire. Ce n'est pas révolutionnaire. Mais ça marche. Et surtout, ça ne paralyse pas votre activité pendant des mois.
La question n'est pas "si", c'est "quand"
Le scandale des mots de passe "LOUVRE" et "THALES" n'est pas un problème technique. C'est un problème de priorité. Ces institutions avaient les moyens, les compétences, les budgets. Elles ont simplement considéré pendant vingt-deux ans que la mise à jour de leurs systèmes de sécurité n'était pas prioritaire.
Jusqu'au jour où l'ANSSI l'a révélé publiquement.
Votre PME n'a pas ce luxe. Vous n'avez pas de cellule de crise avec cinquante personnes qui peuvent gérer l'urgence en une nuit. Vous n'avez pas de budget IT illimité pour réparer les dégâts après coup. Vous n'avez pas de département communication pour gérer la crise médiatique si ça se passe mal.
Mais vous avez un avantage énorme sur ces institutions : vous pouvez agir maintenant, sans avoir besoin de valider avec quinze niveaux hiérarchiques, sans comité de pilotage, sans étude d'impact sur vingt pages.
La question n'est pas de savoir si votre système va tomber un jour. La question est de savoir si vous serez prêt quand ça arrivera. Parce que statistiquement, ça arrivera. Une PME sur deux dans les douze prochains mois.
Vous voulez être dans quelle moitié ?
Ce qu'on fait chez Onyri
Avant de parler d'intelligence artificielle, d'automatisation avancée, ou de site web nouvelle génération, on commence toujours par la même chose : auditer vos systèmes actuels.
Parce qu'installer un site moderne sur des fondations de 2003, c'est construire un gratte-ciel sur des piliers en bois. Ça peut tenir quelques mois. Mais tôt ou tard, tout s'effondre.
On vous aide à faire trois choses très simples. D'abord, l'inventaire honnête de vos systèmes sans vous juger. Ensuite, la priorisation selon votre budget réel et vos risques concrets. Enfin, le plan d'action progressif qui ne paralyse pas votre activité pendant six mois.
Le premier audit système est gratuit. Deux heures de votre temps. Un diagnostic clair de où vous en êtes vraiment et par où commencer.
Pas de discours commercial. Pas de pression. Juste un état des lieux factuel et des recommandations concrètes.
Si vous voulez qu'on regarde vos systèmes ensemble, vous pouvez me contacter directement : contact@onyri-strategy.com
Sources :
ANSSI • CNIL • Cybermalveillance.gouv.fr • France Num • INSEE • BPI France • SSL Labs • Security Headers • CNRS
Dernière mise à jour : Novembre 2025
