In 2025 hebben 43% van de cyberaanvallen in Frankrijk zich gericht op bedrijven met minder dan 50 werknemers (bron ANSSI). De gemiddelde kosten van een aanval voor een klein bedrijf: 25.000 euro — inclusief bedrijfsuitval, technische herstel en gegevensverlies.
Toch hadden 80% van deze aanvallen kunnen worden voorkomen met basismaatregelen. Je hebt geen beveiligingsbudget van 50.000 euro nodig. 10 eenvoudige acties volstaan.
Maatregel 1: sterke wachtwoorden en een wachtwoordbeheerder
Het wachtwoord "Bedrijf2024!" is niet goed. Het zal in 3 seconden worden gekraakt door een geautomatiseerde tool.
De actie: installeer een wachtwoordbeheerder voor het hele team (Bitwarden in gratis versie, of 1Password voor 4 euro/maand/gebruiker). Elk wachtwoord wordt willekeurig gegenereerd, minimaal 16 tekens, uniek per service.
Het hoofdwachtwoord van de beheerder moet een lange zin zijn die je onthoud: "MijnKatEetGarnalenOpDeTafel" is veel sterker dan "P@ssw0rd!2024".
Maatregel 2: tweefactorauthenticatie (2FA)
Zelfs met een sterk wachtwoord, als een medewerker door phishing wordt bedrogen, heeft de aanvaller het wachtwoord. 2FA voegt een laag toe: naast het wachtwoord is er een tijdelijke code nodig die door de telefoon wordt gegenereerd.
De actie: activeer 2FA op alle kritieke accounts — e-mail, bank, hosting, sociale netwerken, bedrijfstools. Gebruik een app (Google Authenticator, Authy) in plaats van SMS (onderschepbaar).
Maatregel 3: automatische updates
Beveiligingslekken worden door leveranciers dagen na ontdekking gerepareerd. Maar als je niet bijwerkt, blijft het lek open. Ransomware misbruikt massaal bekende Windows- en browserlekken van maanden geleden.
De actie: activeer automatische updates op alle computers (Windows, macOS, browsers, bedrijfssoftware). Een herstart per week is de prijs die je betaalt.
Maatregel 4: de 3-2-1 back-upregel
De regel 3-2-1: 3 kopieën van je gegevens, op 2 verschillende dragers, waarvan 1 off-site.
Concrete actie:
- Kopie 1: je harde schijf (de productiegegevens)
- Kopie 2: een externe harde schijf of NAS (dagelijkse automatische back-up)
- Kopie 3: een cloudservice (Backblaze B2 voor 6$/maand, of Synology C2)
Test het herstel eenmaal per kwartaal. Een back-up die je niet kunt herstellen, is geen back-up.
Maatregel 5: anti-phishing-training
90% van de aanvallen beginnen met een phishing-e-mail. De zwakke schakel is de mens.
De actie: train je team om verdachte e-mails te herkennen. De signalen:
- Kunstmatige urgentie ("Je account wordt in 2 uur opgeschort")
- Onbekende afzender of verdachte domeinnaam
- Links naar vreemde URL's (zweefdoorklik zonder te klikken)
- Onverwachte bijlagen (.exe, .zip, .js)
- Verzoek om inloggegevens per e-mail (geen legitieme service doet dit)
Voer eenmaal per jaar een gesimuleerde phishing-oefening uit. Platforms zoals Gophish (gratis) stellen je in staat nepfishing naar je team te sturen om zwaktes op te sporen.
Maatregel 6: veilig Wi-Fi
Het Wi-Fi van je kantoor is een ingang. Als het wachtwoord "hallo123" is of als je het verouderde WEP-protocol gebruikt (15 jaar geleden obsoleet), kan iedereen op straat je netwerk binnendringen.
De actie: WPA3-protocol (of minimaal WPA2-AES), complex wachtwoord van 20+ tekens, apart gastnetwerk voor bezoekers.
Maatregel 7: versleuteling van laptops
Een gestolen laptop uit een auto, een tas vergeten in de trein — het gebeurt. Als de schijf niet is versleuteld, heeft de dief toegang tot al je gegevens.
De actie: activeer BitLocker (Windows Pro) of FileVault (macOS). Dit is gratis, ingebouwd in het systeem en transparant in gebruik.
Maatregel 8: beperkte toegangsrechten
Niet iedereen hoeft alles te kunnen openen. De boekhouder hoeft geen toegang tot technische bestanden, de stagiair hoeft geen beheerdersrechten.
De actie: pas het principe van minimale bevoegdheden toe. Elke gebruiker heeft alleen toegang tot de middelen die nodig zijn voor zijn werk. En verwijder accounts van mensen die het bedrijf verlaten op dezelfde dag van vertrek.
Maatregel 9: antivirus en firewall
Windows Defender is voldoende voor de meeste kleine bedrijven. Het is niet nodig een betaald antivirusprogramma te kopen als je digitale hygiëne goed is. Controleer echter wel of Defender is ingeschakeld en bijgewerkt op alle computers.
De Windows-firewall moet ingeschakeld blijven. Schakel het niet uit "omdat een programma niet werkt" — zoek de juiste uitzondering in plaats van alles open te zetten.
Maatregel 10: incidentresponsPlan
Op de dag dat het gebeurt (en statistisch gezien zal het gebeuren), moet je weten wat te doen. Een responsplan in 5 punten:
- Isoleer de geïnfecteerde computer (trek de netstekker uit, zet niet uit)
- Stel je IT-leverancier in kennis of bel 3218 (cybermalveillance.gouv.fr)
- Betaal het losgeld niet (dit garandeert geen gegevensbehoud en financiert criminelen)
- Herstel vanuit de back-up
- Dien aangifte in en meld het incident aan de CNIL als persoonsgegevens betrokken zijn
Print dit plan. Hang het op. Op dag X zal niemand op een geïncrypteerde computer naar een digitaal document zoeken.
Cyberbeveiliging is niet onderwerp voorbehouden aan IT-specialisten. Het is een bestuurderszaak. 10 eenvoudige maatregelen, rigoureus toegepast, blokkeren de meerderheid van aanvallen.