Votre PME est-elle cyber-résiliente ? 7 points de contrôle essentiels

Le MFA est le rempart le plus efficace contre le vol d'identifiants. Microsoft estime qu'il bloque plus de 99 % des attaques par compromission de compte. Vérifiez qu'il est actif sur :

• Messagerie (Microsoft 365, Google Workspace)
• VPN et accès distants
• Outils d'administration (hébergeur, cloud, NAS)
• Applications métiers sensibles (CRM, ERP, comptabilité)

Avoir des sauvegardes ne suffit pas. Elles doivent être testées régulièrement et au moins une copie doit être déconnectée du réseau (offline/air-gapped). La règle de base : 3-2-1.

80 % des vulnérabilités exploitées dans les attaques ont un correctif disponible depuis plus de 30 jours. Le patch management est fondamental, surtout pour les systèmes exposés sur Internet (firewall, VPN, serveurs web).

Vous ne pouvez pas protéger ce que vous ne connaissez pas. Un scan de surface d'attaque externe permet d'identifier tous les services visibles depuis Internet : sites web oubliés, panneaux d'administration exposés, serveurs de test abandonnés.

Le phishing reste le vecteur d'attaque n°1. Une campagne de simulation de phishing permet de mesurer le niveau de vigilance de vos équipes et d'identifier les profils à risque. L'objectif n'est pas de piéger mais de former.

Si un ransomware chiffre vos données demain matin, savez-vous quoi faire dans les 30 premières minutes ? Un plan de réponse aux incidents définit les rôles, les contacts, les procédures d'isolation et la communication de crise.

Si votre prestataire IT utilise le même compte pour lire ses mails et administrer votre serveur, vous avez un problème. La séparation des comptes à privilèges est une mesure de base qui limite drastiquement l'impact d'une compromission.