En 2026, une TPE française sur deux a déjà subi une tentative de cyberattaque. Une sur cinq a perdu des données ou de l'argent. Et pourtant, la majorité des dirigeants pensent encore que "ça n'arrive qu'aux grands groupes". L'arrivée massive de l'automatisation et des agents IA dans les TPE/PME a créé un paradoxe nouveau : plus vous automatisez, plus vous gagnez du temps, mais plus votre surface d'attaque s'étend si vous ne faites pas les choses correctement.
Un workflow d'automatisation, ce n'est pas un outil neutre. C'est un programme qui se connecte à votre boîte email, à votre comptabilité, à votre CRM, à vos fiches salariés, à vos comptes bancaires. Mal conçu, il peut laisser fuiter en quelques secondes des informations qu'il vous a fallu dix ans à collecter. Bien conçu, il peut au contraire renforcer votre sécurité globale en standardisant vos process et en réduisant les manipulations humaines à risque.
Dans ce guide, nous allons détailler pourquoi les TPE/PME sont devenues les cibles privilégiées des attaquants, quels sont les 5 risques principaux qu'une automatisation mal pensée crée, les 7 principes de sécurité à appliquer systématiquement, et un plan d'action concret en 30 jours pour sécuriser ce qui existe déjà chez vous.
Pourquoi les TPE/PME sont devenues la cible n°1
Pendant des années, les pirates concentraient leurs efforts sur les grands groupes : plus d'argent à voler, plus de données à revendre. Cette époque est révolue. Aujourd'hui, les structures de 2 à 50 personnes représentent plus de 60 % des cyberattaques en France selon les chiffres de l'ANSSI. Trois raisons à cela.
Une protection plus faible à un coût d'attaque équivalent. Avec l'industrialisation des outils d'attaque (kits de phishing à la demande, ransomware-as-a-service, IA pour la rédaction d'emails frauduleux), envoyer 10 000 emails de phishing à des PME coûte aussi peu que d'en envoyer 100 à un grand groupe. Sauf qu'une PME a rarement un RSSI, un SOC ou un EDR. Le ratio effort/gain est devenu très favorable aux attaquants.
Le maillon faible de la supply chain. De plus en plus, les attaquants ciblent les petites entreprises pour atteindre leurs clients ou partenaires plus gros. Si vous fournissez des services à des grandes structures, vous devenez une porte d'entrée. Plusieurs incidents majeurs en 2024 et 2025 ont eu pour origine la compromission d'un sous-traitant TPE.
L'effet IA et automatisation. Les agents IA et les workflows no-code ont permis aux TPE/PME de connecter leurs outils en quelques heures. Mais cette explosion d'intégrations s'est faite sans culture sécurité, sans politique formalisée, et souvent sans même un mot de passe correct sur les comptes-clés. Chaque token API mal protégé est une clé qui traîne sur le palier.
Les 5 risques d'une automatisation mal sécurisée
Avant de parler solution, regardons concrètement ce qui peut mal tourner. Ces cinq risques ne sont pas théoriques : ce sont des situations que nous voyons régulièrement chez des PME qui nous appellent en urgence pour reprendre des automatisations construites par d'autres.
1. La fuite de données par les logs et le partage
Un workflow Make ou n8n loggue par défaut chaque exécution avec ses inputs et outputs. Si vous traitez des emails clients, des factures ou des CV, ces données se retrouvent stockées en clair dans les logs de la plateforme, parfois pendant 30 jours, parfois plus. En cas de compromission du compte, c'est l'historique complet qui fuite. Pire : des dirigeants partagent leur compte avec un freelance qui n'a plus besoin d'y accéder depuis 6 mois, sans révoquer les droits.
2. Les secrets API en clair dans les workflows
C'est le grand classique. Un freelance vient configurer Make ou Zapier, il colle directement les clés API de Stripe, de Pennylane ou de Brevo dans les modules. Quand il part, ces secrets restent en place. S'il a un compte personnel sur la plateforme, il peut continuer à les voir. S'il quitte sans tout documenter, vous ne savez même pas combien de tokens existent ni où ils sont. Un seul leak suffit à voler vos paiements ou à envoyer 50 000 emails à votre base.
3. L'élargissement involontaire des droits
Pour aller vite, beaucoup d'automatisations sont configurées avec un compte "admin" qui a accès à tout. C'est plus simple, mais c'est aussi un risque énorme. Si ce compte est compromis, l'attaquant a accès à votre Google Workspace complet, à votre comptabilité, à votre CRM. Le principe du moindre privilège (donner uniquement les droits nécessaires) est rarement respecté.
4. La perte ou la corruption silencieuse des données
Une automatisation bugguée peut, en quelques minutes, écraser des fiches client, supprimer des factures, ou dupliquer 5 000 lignes dans votre base. Sans logs, sans sauvegarde, sans alerte, vous découvrez le problème trois semaines plus tard quand un client appelle parce que sa facture est fausse. La récupération est lente, parfois impossible.
5. L'attaque par injection ou par prompt
Avec l'IA générative dans les workflows (résumé d'emails, classification de tickets, génération de réponses), un nouveau type d'attaque émerge : la prompt injection. Un email malveillant contenant des instructions cachées peut détourner l'agent IA pour exfiltrer des données, envoyer de faux emails, ou faire des actions non prévues. Notre article sur les chatbots IA pour TPE aborde la question des garde-fous à mettre en place.
Les 7 principes d'une automatisation bien sécurisée
Voici les principes que nous appliquons systématiquement chez Unyte sur chaque projet, et que vous devriez exiger de tout prestataire ou outil utilisé dans votre PME. Aucun n'est négociable.
1. Le principe du moindre privilège
Chaque automatisation doit avoir un compte de service dédié, avec uniquement les permissions nécessaires à sa tâche. Un workflow qui lit les emails ne doit pas pouvoir en envoyer. Un script qui consulte des factures ne doit pas pouvoir les modifier. Concrètement : créez des utilisateurs API dédiés sur chacun de vos outils (Pennylane, Axonaut, Brevo, Sellsy), donnez-leur un rôle restreint, et ne réutilisez jamais un compte humain pour faire tourner un robot.
2. La gestion centralisée des secrets
Les tokens, clés API, mots de passe et certificats ne doivent jamais être copiés-collés dans les modules d'un workflow. Ils doivent être stockés dans un coffre dédié (1Password Business, Bitwarden, AWS Secrets Manager, Doppler, Infisical) et appelés au moment de l'exécution. Cela permet de les changer en un seul endroit, de les révoquer instantanément, et d'avoir une traçabilité complète.
3. Le chiffrement bout-en-bout des données sensibles
Pour toute donnée sensible (RIB, données de santé, identifiants), exigez un chiffrement en transit (TLS 1.2 minimum) et au repos (AES-256). Si l'outil que vous utilisez ne propose pas ce niveau de chiffrement, changez d'outil. Les principaux acteurs sérieux du marché (Make Enterprise, n8n cloud Europe, Workato) le proposent par défaut.
4. L'hébergement européen et la conformité RGPD
Privilégiez systématiquement les outils hébergés dans l'Union européenne et soumis au RGPD. Cela évite les transferts hors UE, les questions juridiques liées au Cloud Act américain, et facilite les audits. Pour les workflows critiques, n8n self-hosted (sur un serveur que vous contrôlez) reste la solution la plus radicale. Pour aller plus loin, lisez notre guide sur l'automatisation de la conformité RGPD.
5. Les logs et la traçabilité
Chaque exécution doit laisser une trace : quel workflow a tourné, à quelle heure, avec quelles données, avec quel résultat. Ces logs doivent être centralisés (Datadog, Logtail, ou simplement un Google Sheet pour les TPE), et conservés au minimum 12 mois. Cela permet de détecter les comportements anormaux et de répondre aux audits ou demandes RGPD.
6. Les sauvegardes automatiques et testées
Sauvegardez quotidiennement les workflows (export JSON pour n8n, blueprint pour Make), les bases de données associées, et les configurations. Surtout, testez la restauration tous les trimestres : une sauvegarde non testée est une sauvegarde inutile. La règle d'or des sauvegardes reste le 3-2-1 : 3 copies, 2 supports différents, 1 hors site.
7. La revue régulière et la rotation des accès
Tous les 6 mois, refaites le tour de tous les comptes, tokens et automatisations actifs. Désactivez ceux qui ne sont plus utilisés, faites tourner les clés API critiques, et révoquez les accès des prestataires partis. C'est fastidieux mais indispensable. Une heure tous les six mois économise des dizaines de milliers d'euros le jour où ça tourne mal.
Choisir des outils d'automatisation sécurisés
Tous les outils d'automatisation ne se valent pas en matière de sécurité. Voici un comparatif synthétique des principales plateformes, axé sur les critères qui comptent pour une TPE/PME française. Ce tableau complète notre comparatif Make vs n8n vs Zapier en se concentrant sur la dimension sécurité.
| Critère | Make | n8n cloud EU | n8n self-hosted | Zapier |
|---|---|---|---|---|
| Hébergement données | UE (option) | UE | Vous-même | USA |
| Chiffrement repos | AES-256 | AES-256 | À configurer | AES-256 |
| Coffre secrets natif | Partiel | Oui | Oui (variables) | Non |
| SSO / MFA | Plans payants | Tous plans | Selon config | Plans payants |
| Logs détaillés | 30 jours | Configurable | Illimité | 30 jours |
| Audit trail | Plans Enterprise | Oui | À mettre en place | Plans Team+ |
| Conformité RGPD | Bonne | Excellente | Maximale | Acceptable |
| Niveau de risque TPE | Faible | Très faible | Très faible | Modéré |
Notre recommandation pour 90 % des TPE/PME françaises : n8n cloud Europe ou Make avec plan Pro et hébergement UE. Pour les structures qui manipulent des données très sensibles (santé, RH, juridique), n8n self-hosted sur un serveur OVH ou Scaleway reste la meilleure option, à condition d'avoir les compétences pour le maintenir à jour.
Mettre en place une politique de sécurité simple
Vous n'avez pas besoin d'un document de 80 pages écrit par un avocat. Une politique de sécurité utile pour une TPE de 5 à 30 personnes tient en une page. Elle couvre cinq questions.
Qui est responsable de la sécurité ? Désignez une personne (souvent le dirigeant ou un opérationnel senior). Sans responsable nommé, personne ne fait rien.
Quels outils sont autorisés ? Listez les outils approuvés (Pennylane, Brevo, Notion, etc.) et interdisez l'usage d'outils non validés pour des données pro. Cela évite le shadow IT.
Comment sont gérés les comptes et les mots de passe ? Tout le monde utilise le même gestionnaire de mots de passe (1Password, Bitwarden), avec MFA obligatoire sur tous les comptes critiques.
Que faire en cas d'incident ? Un mini-plan de crise : qui appeler, comment couper les accès, comment notifier la CNIL si données personnelles concernées. Imprimez-le et affichez-le.
Comment forme-t-on les équipes ? Une session de sensibilisation phishing par an, avec un test pratique. C'est dix fois plus efficace que toute la technique du monde.
Auditer la sécurité de vos automatisations
Audit gratuit de 15 minutes : nous identifions les failles dans vos workflows actuels et vous donnons un plan correctif chiffré.
Réserver mon audit gratuit →Plan d'action en 30 jours
Si vous voulez sécuriser ce qui existe déjà chez vous sans tout réécrire, voici le plan que nous appliquons pour nos clients sur les 30 premiers jours. Il est dense mais très réaliste pour une PME de 5 à 30 personnes.
Semaine 1 : audit et inventaire
Listez tous les workflows actifs, tous les comptes API utilisés, tous les outils tiers connectés. Pour chacun : qui l'a créé, quelle donnée il manipule, quel accès il a. Sortez tout cela dans un Google Sheet partagé. Vous serez surpris du nombre de zombies que vous allez découvrir.
Semaine 2 : nettoyage et révocation
Désactivez tous les workflows zombies. Révoquez les tokens des prestataires partis. Coupez les accès des comptes qui ne sont plus utilisés. Cette semaine vous fera gagner 60 % du risque d'un coup.
Semaine 3 : centralisation des secrets
Mettez en place un coffre à secrets (1Password Business à 8 €/mois/utilisateur est suffisant pour la plupart des TPE) et migrez-y tous les tokens API encore valides. Activez la MFA partout. Mettez en place le SSO si votre stack le permet.
Semaine 4 : logs, sauvegardes et formation
Configurez l'export régulier des workflows et des bases. Mettez en place un système d'alerte simple (email ou Slack) en cas d'erreur sur un workflow critique. Faites une session de 90 minutes de sensibilisation phishing avec toute l'équipe. Documentez la politique en une page.
À l'issue de ces 30 jours, vous aurez réduit votre exposition de 70 à 80 %, sans avoir refait une seule automatisation. La sécurité, ce n'est pas tout casser pour tout reconstruire, c'est appliquer méthodiquement les bons principes sur ce qui existe.
Le coût de l'insécurité comparé au coût de la prévention
Pour finir, parlons argent. Un dirigeant de TPE nous demande souvent : "Combien ça coûte de sécuriser tout cela ?" La meilleure réponse, c'est de comparer au coût d'un incident. Selon les données du Clusif et de l'ANSSI, le coût moyen d'une cyberattaque pour une PME française se situe entre 40 000 € et 150 000 €, sans compter l'impact réputationnel et la perte de clients.
À l'inverse, les éléments de base d'une bonne hygiène sécurité tiennent dans un budget mensuel modeste : un gestionnaire de mots de passe à 8 €/utilisateur, une politique RGPD documentée à 0 €, un audit annuel à 1 500 € environ, et 4 à 8 heures de configuration par an. Le ratio est sans appel : la sécurité bien faite coûte 50 à 100 fois moins cher qu'un incident.
Pour aller plus loin sur la dimension réglementaire, consultez notre article dédié à l'automatisation de la conformité RGPD, ou notre guide sur comment choisir un prestataire en automatisation IA qui détaille les questions sécurité à poser avant de signer.
Conclusion : la sécurité comme avantage concurrentiel
En 2026, la sécurité n'est plus un sujet "tech" qu'on peut déléguer ou ignorer. C'est un sujet de direction, au même titre que la trésorerie ou le commercial. Les TPE/PME qui prennent ce sujet au sérieux gagnent trois choses : une confiance renforcée des clients (notamment B2B et secteur public), une éligibilité aux marchés qui exigent des garanties, et une résilience qui leur évite des semaines de crise et des dizaines de milliers d'euros à chaque incident.
L'automatisation, faite correctement, n'est pas un risque supplémentaire. Au contraire, elle peut devenir un levier de sécurité : moins de manipulations humaines, plus de standardisation, plus de logs, plus de traçabilité. Tout dépend de qui la conçoit et avec quelle culture sécurité.
Si vous avez aujourd'hui des automatisations en production dont vous ne maîtrisez pas tous les paramètres de sécurité, ou si vous voulez démarrer un projet en partant sur de bonnes bases, parlons-en. Notre audit gratuit de 15 minutes vous donne un état des lieux clair et un plan d'action chiffré, sans engagement.