Contenu de l'article
Audit de sécurité PME : Ce qu'on découvre dans 9 cas sur 10
Introduction
Chaque semaine, nos équipes réalisent des audits de sécurité dans des PME d'Île-de-France. Et vous savez quoi ? On découvre toujours les mêmes problèmes. Pas des cyberattaques complexes ou des failles zero-day. Non. Des failles simples, connues, mais largement négligées. Et c'est justement pour ça qu'elles sont dangereuses.
Les PME se sentent souvent « trop petites pour être ciblées ». C'est faux. Les attaquants adorent les PME : peu de défenses, beaucoup de données, pas d'équipe IT dédiée. Elles pensent aussi que la sécurité, c'est compliqué et cher. Faux aussi. En réalité, 80% des problèmes qu'on découvre pourraient être évités avec un peu de discipline et un petit budget.
Dans cet article, on vous montre les 9 problèmes qu'on voit dans 90% des PME, pourquoi c'est dangereux, et surtout : comment les corriger sans exploser votre budget. Parce qu'attendre le problème coûte toujours plus cher que le prévenir.
Problème #1 : Pas de MFA (Multi-Factor Authentication)
Ce qu'on voit :
L'accès se fait uniquement par mot de passe : email + password, c'est tout. Pas de 2FA sur les outils critiques comme la messagerie, le logiciel RH, ou la comptabilité. Et quand il y en a une, c'est généralement sur un compte qui n'est utilisé que par l'administrateur. Pour les autres ? « C'est trop compliqué pour les employés. »
Pourquoi c'est dangereux :
85% des compromissions commencent par un mot de passe volé ou faible, pas par une attaque sophistiquée. Les attaquants lancent des attaques par password spray : des milliers de tentatives par jour sur votre infrastructure. Avec MFA activée, c'est bloqué instantanément. Sans MFA ? Un seul mot de passe compromis suffit pour accéder à vos données complètes.
Ça arrive plus souvent qu'on le pense : phishing, réutilisation de password suite à une fuite ailleurs, ancien employé qui garde le mot de passe. Prenons l'exemple d'une agence immobilière que nous avons auditée. Un commercial reçoit un mail de phishing qui ressemble à un mail officiel, avec une signature correcte. Il clique sans réfléchir. Son mot de passe est compromis. L'attaquant accède à sa boîte mail, puis aux données clients : adresses, documents immobiliers sensibles, prix négociés. Le coût du breach : dépôt de plainte CNIL, notification des clients, perte de confiance, et clients qui migrent vers la concurrence.
La solution simple :
Activez la MFA sur email. C'est gratuit avec Microsoft Authenticator, Google Authenticator, Authy, ou Passbolt si vous cherchez une solution open-source. L'installation prend environ 10 minutes par personne.
Pour l'accès à distance (VPN, RDP), mettez en place une MFA. Selon votre infrastructure, cela peut être gratuit (TOTP) ou coûter quelques euros par mois pour une solution complète. L'installation demande 1 à 2 heures.
La résistance des employés ? Elle disparaît en une semaine quand ils comprennent que c'est pour les protéger.
Métrique clé : Avec MFA, vous bloquez 99,9% des attaques par brute-force.
Problème #2 : Mots de passe partagés et accès administrateur collectif
Ce qu'on voit :
Un compte administrateur local identique sur tous les serveurs. Le mot de passe ? « Admin123 » ou « Entreprise2024 ». Parfois écrit sur un post-it collé à côté de l'écran.
Une boîte mail partagée pour les notifications système : tout le monde connaît le mot de passe.
Des mots de passe écrits dans un mail ou un document Word partagé.
Et puis il y a l'ancien employé qui a quitté la boîte il y a 3 ans et qui a toujours accès à tout parce qu'on a oublié de le désactiver.
Pourquoi c'est dangereux :
Avec des mots de passe partagés, vous perdez la traçabilité complète. Quelqu'un a supprimé un fichier critique ? Vous ne savez pas qui. Un serveur a été reconfiguré ? Impossible à dire. En cas d'incident, vous êtes bloqués.
Pire encore : si un employé part (licenciement, démission, départ à la retraite), vous devez changer le mot de passe administrateur sur chaque serveur, chaque logiciel, chaque outil. Cela prend 2 jours de travail. Et ce qu'on voit souvent ? L'ancien employé garde l'accès, soit par oubli, soit volontairement.
Voici un cas réel qui nous a marqués : une PME IT de 20 personnes avec un bon développeur. Il part en mauvais termes avec le patron. Six mois plus tard, toujours dépité, il utilise ses anciens identifiants (jamais révoqués) pour supprimer la base de données de production. Zéro backup. Perte totale des données. L'entreprise n'a jamais récupéré.
La solution simple :
Appliquez le principe fondamental : un compte pour une personne. Chaque employé a ses propres identifiants. Tout est tracé automatiquement : qui a fait quoi, quand.
Utilisez un gestionnaire de mots de passe. Bitwarden et KeePass sont gratuits et open-source si vous préférez l'autonomie. Passbolt est également gratuit et spécialement conçu pour la gestion d'équipe : traçabilité complète, partage sécurisé, audit des accès. C'est notre recommandation pour les PME. Chez Novicore, nous pouvons mettre en place et configurer Passbolt selon votre infrastructure. L'installation demande quelques heures et l'usage devient immédiat pour les équipes.
L'accès administrateur doit rester l'exception, totalement tracé. Par défaut, les employés n'y ont pas accès.
Mettez en place un processus d'offboarding explicite. Quand quelqu'un part, vous révoquez tous les accès. Pas d'exceptions.
Métrique clé : Traçabilité 100%, sécurité renforcée, conformité RGPD garantie.
Problème #3 : Pas de sauvegarde (ou des sauvegardes « à l'arrache »)
Ce qu'on voit :
« On sauvegarde sur un disque dur externe... quelque part. » C'est la situation classique : une personne, un vieux disque dur, une fois par mois, stocké dans un tiroir. Jamais testé. Personne ne sait vraiment si ça marche.
Les serveurs critiques ? Zéro backup. « On n'a jamais eu de problème, donc... »
Ou pire : backup sur la même machine que les données. Ransomware attaque le serveur ? Zéro backup utilisable car il est aussi chiffrée.
Pourquoi c'est dangereux :
Trois scénarios réalistes vous menacent.
Scénario 1 : Ransomware. Un employé ouvre une pièce jointe malveillante. Le ransomware verrouille vos données et demande une rançon. Vos données ne sont pas accessibles. Backup sur la même machine ? Aussi verrouillé. Vous perdez tout.
Scénario 2 : Panne matérielle. Le disque dur du serveur critique meurt. On est en 2025, les disques durs tombent régulièrement en panne. Aucune backup ? Vous avez perdu toutes les données depuis la dernière sauvegarde. Et c'était quand, exactement ?
Scénario 3 : Sinistre physique. Incendie, inondation, vol. Votre infrastructure disparaît du jour au lendemain.
Un cas réel nous a particulièrement marqués : un cabinet comptable de 8 personnes a été touché par un ransomware. Ils pensaient avoir une backup, mais elle n'avait jamais été testée et était corrompue. Les données clients étaient verrouillées. Ils ont refusé de payer la rançon. Les clients ont découvert qu'ils ne pouvaient pas accéder à leurs données comptables. Le cabinet a perdu tous ses clients en 2 mois. Disparition de l'entreprise.
La solution simple :
Appliquez la règle 3-2-1 : trois copies de vos données, sur deux supports différents, avec une copie hors-site.
Mettez en place des sauvegardes automatiques chaque jour. Utilisez Proxmox Backup Server (si vous avez des VMs) ou Nextcloud (si vous avez des fichiers)
Testez la restauration chaque trimestre. Ce n'est pas optionnel. Si vous ne l'avez jamais testé, votre backup n'existe pas vraiment.
Le coût ? Quelques euros par mois en cloud (S3, OVH Object Storage, etc.).
Métrique clé : Zéro donnée perdue, même après ransomware.
Problème #4 : Accès historiques jamais révoqués
Ce qu'on voit :
Lors d'un audit des accès, on fait la liste de tous les comptes actifs et on la compare avec la liste des employés actuels. Résultat ? 15 à 20% de comptes « fantômes ».
Ancien employé licencié il y a 2 ans ? Toujours accès au serveur.
Ancien consultant parti il y a 18 mois ? Toujours accès à la base de données.
Ancien stagiaire de 2022 ? Toujours dans les groupes Active Directory.
Et là, les responsables se demandent comment c'est possible. « Ah oui, c'est vrai, on devrait le désactiver... »
Pourquoi c'est dangereux :
Risque de sabotage. Un ancien employé licencié qui n'a pas bien vécu la séparation peut accéder à votre infrastructure et causer des dégâts : supprimer des données, configurer un backdoor, exfiltrer des infos clients.
Risque involontaire. Cet ancien compte, c'est comme une porte oubliée. Si le mot de passe a été compromis ailleurs (LinkedIn leak, autre boîte où l'employé a travaillé), un attaquant peut l'utiliser pour accéder à votre infrastructure.
Audit externe. Quand un auditeur (CNIL, ISO 27001, etc.) découvre des comptes dormants, c'est une non-conformité immédiate.
Cas réel : une PME IT. Un développeur part à la concurrence directe. Il garde sa clé SSH (jamais révoquée). Trois mois plus tard, il exfiltre les données de plusieurs clients. Procès en cours. Coût : plus de 100 000 € en frais juridiques, perte de clients, réputation endommagée.
La solution simple :
Créez un offboarding = checklist obligatoire. Quand quelqu'un part, vous révoquez tous les accès le même jour. Email, serveurs, VPN, bases de données, logiciels SaaS. Tout.
Menez un audit annuel des accès. Une fois par an, vérifiez : qui a accès à quoi ? Comparez avec l'organigramme. Supprimez les comptes dormants.
Coût : 1 à 2 jours de travail par an. Zéro euros.
Métrique clé : Zéro compte dormant = zéro risque legacy.
Problème #5 : Pas de segmentation réseau
Ce qu'on voit :
Tous les appareils sont sur le même réseau. L'imprimante, le serveur, l'ordinateur du boss, le laptop du stagiaire. Même WiFi pour tout le monde. Même VLAN, mêmes droits.
Si quelqu'un se connecte au réseau visiteur avec sa clé USB infectée ? Accès complet à tout.
Pas de pare-feu interne. Tout peut communiquer avec tout.
Pourquoi c'est dangereux :
Lateral movement. Un attaquant compromet une machine (via phishing, malware, etc.). Il n'est maintenant « que » sur cet ordinateur. Mais comme il n'y a pas de segmentation réseau, il peut accéder à tout le reste. C'est comme oublier les portes de sécurité dans un immeuble.
Ransomware qui se propage. Ransomware. Une machine. Puis deux. Puis toute l'infrastructure.
Prenons l'exemple d'une PME manufacturing. Un employé ouvre un email de phishing. La machine est infectée. Le ransomware se propage au réseau serveur. La production s'arrête pendant 48 heures. Perte : 200 000 € en production non réalisée, clients fâchés.
La solution simple :
Mettez en place une segmentation basique (gratuit) :
- WiFi visiteurs ≠ WiFi employés
- Réseau critique (serveurs) = accès restreint
- Pas d'imprimante connectée au même réseau que les serveurs
Installez un pare-feu interne : des règles simples. « Les serveurs peuvent communiquer avec X, Y, Z. Le reste ? Non. »
Installation : quelques heures de configuration. Installation des équipements : peut être faite progressivement.
Métrique clé : Containment = limitez l'impact à 1 machine au lieu de toute l'infra.
Problème #6 : Pas de monitoring / Logs inexistants
Ce qu'on voit :
« On ne sait pas qui a accédé à quoi. »
Zéro alertes en cas de problème. Zéro visibilité sur ce qui se passe.
L'incident est découvert par... les clients. « Hey, votre site est down ! » ou « On ne peut plus accéder à nos données ! »
Les logs ? Supprimés après 2 jours faute de stockage. Ou jamais activés. « À quoi ça sert ? »
Pourquoi c'est dangereux :
Vous ne savez pas si vous avez été hacké. Une découverte tardive crée un impact énorme.
Cas réel : une SaaS B2B. Brèche de sécurité non détectée pendant 8 mois. Découverte par un chercheur qui publie les données sur le dark web. CNIL : amende 750 000 €. Clients : départ massif. Entreprise : quasi-ruinée.
Conformité. RGPD, HDS, ISO 27001 demandent tous des logs. Audit externe : « Où sont vos logs ? » Aucune réponse = non-conformité.
Incident response. Vous avez détecté une anomalie. Mais sans logs, vous ne pouvez pas enquêter. Vous êtes aveugles.
La solution simple :
Mettez en place des alertes basiques (quelques heures de configuration) :
- CPU > 80% pendant plus de 10 minutes ? Alerte.
- Disque > 90% ? Alerte.
- 5 tentatives de login échouées en 5 minutes ? Alerte.
- Service critique down ? Alerte.
Centralisez vos logs avec une solution appropriée à votre taille. Pour les PME, nous recommandons de conserver les logs 3 à 6 mois dans un stockage sécurisé. Le coût dépend de votre volume : quelques euros par mois pour S3, OVH Object Storage, ou une stack open-source (ELK, Graylog) selon votre infrastructure.
Pour votre serveur mail : monitorez le SMTP, le taux d'erreur, les tentatives d'authentification.
Coût : variables selon la solution. Quelques heures pour la configuration initiale.
Métrique clé : Détection d'incident = 1 heure au lieu de 8 mois.
Problème #7 : Mises à jour jamais faites
Ce qu'on voit :
Un serveur Windows Server 2008 qui tourne toujours. C'est du début des années 2010. Le support s'est terminé en 2020.
« On va patcher la semaine prochaine. » Ça fait 2 ans qu'on dit ça.
Des logiciels critiques avec des vulnérabilités connues depuis des mois.
Le firmware d'équipements réseau (routeur, pare-feu) n'est jamais mis à jour.
Pourquoi c'est dangereux :
Les mises à jour, c'est des correctifs pour des failles de sécurité. Si vous ne patchifiez pas, vous gardez les failles.
99% des exploits utilisent des vulnérabilités connues et patchifiées. Pas des zero-day. Des failles qu'on peut fixer en 10 minutes.
Prenons l'exemple d'une PME avec des serveurs non patchifiés. Un attaquant exploite la faille Log4Shell (CVE-2021-44228). C'est une vulnérabilité critiquement connue depuis 2021. Accès complet au serveur. Données exfiltrées.
La solution simple :
Activez le patch automatique sur tous les serveurs. Windows : c'est l'activation par défaut. Linux : « apt upgrade » une fois par semaine.
Établissez un calendrier clair : mardi/mercredi 23h = update Windows. Tout le monde sait quand ça va se passer. Pas de surprise.
Pour centraliser la gestion des patchs, Novicore utilise Ninja One, un outil qui offre une visibilité complète sur l'état des mises à jour de vos serveurs et ordinateurs. Cette solution permet de déployer les patches automatiquement, de programmer les redémarrages, et de générer des rapports de conformité pour les audits. C'est d'ailleurs l'une des briques de notre offre d'infogérance complète du SI : nous gérons vos mises à jour, votre monitoring, vos backups et votre sécurité au quotidien, avec beaucoup d'efficacité et pour un coût maîtrisé.
Testez d'abord en test avant la production : appliquez les patches sur une machine de test d'abord. Vérifiez que rien ne casse.
Coût : 0 € pour l'auto-patch natif. Quelques euros par mois pour une solution de gestion centralisée.
Métrique clé : 99,9% des exploits = vulnérabilités connues et patchifiées.
Problème #8 : Pas de politique de données / RGPD « à la sauce PME »
Ce qu'on voit :
Les données clients sont stockées n'importe comment. Sur des fichiers Excel dans les Dropbox personnels. Sur des serveurs sans chiffrement.
Backup public par accident. Quelqu'un configure mal un bucket S3 et voilà : 300 clients exposés.
Zéro politique de suppression. Des données clients de 2015 sont toujours stockées pour aucune raison.
Pourquoi c'est dangereux :
RGPD : amende jusqu'à 4% du chiffre d'affaires. Pour une PME de 1 million €, c'est 40 000 €. Pour une de 5 millions €, c'est 200 000 €.
Data breach + données non chiffrées = problème doublé. Non seulement vous avez une brèche, mais les données n'étaient pas protégées = amende encore plus importante.
Clients = perte de confiance. Vous leur dites « On a eu une brèche ». Ensuite : perte de clients, réputation endommagée.
Cas réel : une agence immobilière. Backup cloud mal configurée. Données clients (300 personnes : adresses, emails, téléphones) accessibles publiquement. Découverte par un chercheur en sécurité. Notification CNIL. Amende 50 000 €. Clients fâchés.
La solution simple :
Mettez en place un chiffrement basique : les données sensibles = AES-256. C'est gratuit (OpenSSL) ou quelques euros par mois (managed).
Les backups = privés. Pas d'accès public. Vérification une fois par trimestre.
Créez une politique de suppression : supprimez les données clients 6 mois ou 1 an après fin de contrat. Automatisé, pas manuel.
Coût : quasi-zéro si infrastructure déjà moderne.
Métrique clé : RGPD compliant + client trust = valorisation de votre boîte.
Problème #9 : Pas de plan d'incident / Zéro formation
Ce qu'on voit :
« On n'a jamais eu de problème de sécurité, donc on n'en aura jamais. »
Zéro procédure. Zéro documentation. « Si ça pète, on verra. »
Les employés cliquent sur phishing sans réfléchir. Aucune formation. Aucune sensibilisation.
Manager : « La cybersécurité, c'est pas mon problème, c'est celui de l'IT. »
Pourquoi c'est dangereux :
Quand un incident arrive, c'est le chaos. Tout le monde panique. Le délai de réaction s'exprime en heures. Le containment ? Inexistant. L'impact ? Énorme.
Les employés sont votre première ligne de défense. Ou votre première brèche de sécurité. Un email de phishing ? 80% des compromissions commencent par un employé qui clique.
Réputation. Incident public = impact énorme. « Cette boîte s'est fait hacker » = clients qui partent.
Prenons un cas réel : une PME reçoit un email de phishing. « Confirmez votre accès ici ». Un employé clique. Le ransomware se déclenche. L'infrastructure est verrouillée. Pas de backup. Panique. « Faut payer la rançon ? » Coût : 500 000 € de perte, clients fâchés, réputation détruite.
La solution simple :
Créez un plan d'incident : 1 page. « Si ransomware, faire X. Si data breach, faire Y. Si serveur down, faire Z. » Tout le monde sait. Pas de panique.
Mettez en place une formation de 30 minutes par an. Phishing, mots de passe forts, social engineering. Ce n'est pas compliqué.
Testez mensuellement : envoyez des emails de phishing de test à tous. Qui clique ? Training supplémentaire. Zéro culpabilité, juste du learning.
Coût : 0 €. C'est internal.
Métrique clé : Formation + plan = -80% incidents évités.
Récapitulatif : Les 9 problèmes en un coup d'œil
| Problème | Risque | Priorité | Solution Simple | Coût |
|---|---|---|---|---|
| Pas de MFA | Accès compromis | ⚠️⚠️⚠️ CRITIQUE | MFA sur email (Authenticator, Authy, Passbolt) | Gratuit |
| Mots de passe partagés | Sabotage/vol | ⚠️⚠️⚠️ CRITIQUE | Gestionnaire (Bitwarden, KeePass, Passbolt) | Gratuit à faible |
| Pas de backup | Perte totale | ⚠️⚠️⚠️ CRITIQUE | Backup automatique 3-2-1 | ~50€/mois |
| Accès historiques | Sabotage/vol | ⚠️⚠️ HAUTE | Audit + offboarding | Gratuit |
| Pas de segmentation | Propagation attaque | ⚠️⚠️⚠️ CRITIQUE | Segmentation réseau basique | Gratuit/Faible |
| Pas de monitoring | Découverte tardive | ⚠️⚠️ HAUTE | Alertes + logs centralisés | Variable |
| Pas de mises à jour | Vulnérabilités exploitables | ⚠️⚠️⚠️ CRITIQUE | Auto-patch + Ninja One/N-Central | Gratuit à faible |
| Pas de politique RGPD | Amende CNIL | ⚠️⚠️ HAUTE | Chiffrement + politique | Gratuit/Faible |
| Pas de plan d'incident | Chaos en crise | ⚠️⚠️ HAUTE | Plan 1 page + formation | Gratuit |
La Bonne Nouvelle
Aucun de ces 9 problèmes n'est insurmontable.
La majorité des solutions coûte zéro ou très peu cher.
Vous n'avez pas besoin d'être un expert en cybersécurité pour implémenter ces correctifs.
Les PME qui agissent maintenant réduisent leur risque de 90% par rapport à avant.
Et voici le détail important : une fois que ces 9 bases sont en place, votre infrastructure est déjà plus sécurisée que 80% des PME françaises.
Par où commencer ? Priorités réalistes
Semaine 1-2 (Gratuit, zéro impact opérationnel)
✅ MFA sur email : 30 minutes de setup, 10 minutes par employé.
✅ Audit des accès : qui a accès à quoi ? Liste simple.
✅ Plan d'incident : 1 page, partagée avec tout le monde.
Mois 1-2 (Petit budget, impact moyen)
✅ Backup automatique : quelques heures de setup, puis automatisé.
✅ Segmentation réseau basique : WiFi visiteur ≠ WiFi interne.
✅ Formation phishing : 30 minutes, 1 fois par mois.
Mois 3-6 (Consolidation, vision long-terme)
✅ Monitoring + alertes : visibilité complète sur votre infrastructure.
✅ Politique RGPD : où sont les données, qui y accède, combien de temps on les garde.
✅ Mise à jour de tous les systèmes : calendrier clair, testé.
Vous reconnaissez votre PME dans ces 9 problèmes ?
C'est normal. 80% des PME sont dans la même situation.
Mais voilà : contrairement à beaucoup d'autres, vous pouvez agir maintenant.
Chez Novicore, on propose un audit de sécurité gratuit de 2 à 3 heures. On vient, on analyse votre infrastructure, on vous dit exactement ce qui faut corriger en priorité.
Pas de vente agressif. Pas de rapport de 200 pages que personne ne lit.
Juste : diagnostic clair + roadmap réaliste + priorités claires.
Vous allez découvrir :
✅ Quels sont VOS 3 risques prioritaires (pas les 9 génériques, mais LES VÔTRES)
✅ Combien ça va coûter réellement (pas d'estimations farfelues)
✅ Par où commencer sans énorme investissement (quick wins d'abord)
✅ Comment Novicore peut vous accompagner (ou pas, on vous le dira honnêtement)
Réserver votre audit gratuit
**Cliquez ici pour réserver →**
Ou simplement : dites-nous votre taille d'entreprise et ce qui vous inquiète le plus. On vous contacte dans 24h.
À propos de cet article
Cet article synthétise les audits réalisés par les équipes de Novicore depuis notre création. Les données et cas présentés sont anonymisés mais représentent des situations réelles rencontrées auprès de PME et TPE en Île-de-France. Aucun client n'a été identifié.
Vous avez d'autres questions sur la sécurité de votre PME ? On est là pour répondre. Contactez-nous à contact@novicore.fr
Cet article vous a-t-il été utile ?
Votre retour nous aide à améliorer nos contenus