De nombreuses PME pensent que leur infrastructure informatique est correctement sécurisée simplement parce qu’aucun incident majeur ne s’est encore produit. Pourtant, lors d’un audit informatique, les mêmes problèmes reviennent régulièrement : configurations incomplètes, manque de supervision, sauvegardes peu fiables ou sécurité insuffisante des accès.
Ces faiblesses ne provoquent pas toujours des pannes immédiates, mais elles augmentent fortement les risques de cyberattaque, d’interruption d’activité ou de perte de données.
Les recommandations publiées par l’ANSSI montrent d’ailleurs que de nombreuses entreprises présentent encore des vulnérabilités importantes sur des éléments pourtant essentiels de leur système d’information.
Voici les principaux problèmes détectés lors d’un audit informatique PME.
1. L’absence de MFA sur les accès critiques
L’authentification multifacteur, aussi appelée MFA, reste l’un des points faibles les plus fréquents dans les PME. De nombreux comptes Microsoft 365, VPN ou accès administrateurs sont encore protégés uniquement par un mot de passe.
Cette situation représente un risque majeur. Une simple compromission d’identifiants peut permettre à un attaquant d’accéder à la messagerie, aux fichiers de l’entreprise ou à certains équipements critiques.
L’ANSSI recommande aujourd’hui d’activer systématiquement le MFA sur tous les accès sensibles afin de réduire considérablement le risque de compromission.
| Élément concerné | Niveau de risque sans MFA |
|---|---|
| Microsoft 365 | Très élevé |
| VPN | Très élevé |
| Comptes administrateurs | Critique |
| Applications SaaS | Élevé |
2. Des sauvegardes jamais testées
Beaucoup d’entreprises possèdent des sauvegardes, mais très peu vérifient réellement leur capacité de restauration. Lors d’un audit informatique, il est fréquent de constater que les sauvegardes existent… sans certitude qu’elles fonctionnent correctement.
Dans certains cas, les sauvegardes sont même accessibles directement depuis le réseau principal. Lors d’une attaque ransomware, elles peuvent alors être chiffrées en même temps que les serveurs de production.
Une sauvegarde non testée reste un risque important pour la continuité d’activité.
3. Un firewall mal configuré
Le firewall constitue l’un des équipements les plus stratégiques du système d’information. Pourtant, les audits révèlent souvent des configurations incomplètes ou trop permissives.
Certaines PME utilisent encore des règles ouvertes inutilement, des accès distants peu sécurisés ou des équipements dont les mises à jour de sécurité ne sont plus effectuées régulièrement.
Ces mauvaises configurations augmentent fortement la surface d’attaque de l’entreprise.
| Problèmes fréquents sur les firewalls | Conséquences possibles |
|---|---|
| Règles trop permissives | Intrusion réseau |
| Firmware obsolète | Exploitation de vulnérabilités |
| VPN mal sécurisé | Accès externe compromis |
| Absence de filtrage | Propagation plus rapide des attaques |
4. Des comptes administrateurs partagés
Dans de nombreuses PME, plusieurs collaborateurs utilisent encore le même compte administrateur. Cette pratique complique fortement la traçabilité et augmente les risques de sécurité.
Lors d’un audit informatique, l’absence de séparation des comptes utilisateurs et administrateurs représente souvent un indicateur d’un manque global de gouvernance IT.
L’ANSSI recommande de limiter strictement les privilèges administrateurs et d’utiliser des comptes nominatifs.
5. Un réseau Wi-Fi non segmenté
Le Wi-Fi d’entreprise est souvent mal isolé du reste du système d’information. Il n’est pas rare qu’un réseau invité permette indirectement d’accéder à des équipements internes ou à des ressources sensibles.
L’absence de segmentation réseau reste un problème fréquent lors des audits informatiques PME.
Un réseau correctement segmenté permet pourtant de limiter les mouvements latéraux en cas de compromission.
6. L’absence de VLAN sur l’infrastructure
De nombreuses infrastructures PME reposent encore sur un réseau plat où tous les équipements communiquent librement entre eux.
Sans VLAN ni segmentation, une compromission sur un poste utilisateur peut rapidement se propager à l’ensemble du système d’information.
Les audits informatiques mettent régulièrement en évidence cette absence d’isolation entre :
- les postes utilisateurs ;
- les serveurs ;
- le Wi-Fi invité ;
- la téléphonie ;
- les équipements critiques.
7. Un PRA inexistant ou jamais testé
Le Plan de Reprise d’Activité reste encore absent dans beaucoup de PME. Pourtant, un incident majeur peut immobiliser totalement une entreprise pendant plusieurs jours.
Lors d’un audit informatique, il est fréquent de constater qu’aucune procédure claire n’existe concernant :
- la restauration des serveurs ;
- les priorités métier ;
- les responsabilités ;
- les délais de reprise.
Sans PRA, même une panne relativement simple peut provoquer une interruption d’activité importante.
| Situation | Impact possible |
|---|---|
| Absence de PRA | Arrêt prolongé de l’activité |
| Sauvegardes incomplètes | Perte de données |
| Aucun test de reprise | Temps de restauration inconnu |
| Dépendance à un seul prestataire | Risque organisationnel élevé |
8. Des équipements réseau non mis à jour
Switches, bornes Wi-Fi, firewalls ou contrôleurs réseau nécessitent des mises à jour régulières. Pourtant, de nombreux audits révèlent des équipements utilisant encore des versions vulnérables.
Certaines failles critiques publiées ces dernières années ont touché directement des équipements Cisco, Fortinet, Sophos ou VMware largement utilisés dans les PME.
Une politique de mise à jour insuffisante représente aujourd’hui un risque important pour la sécurité du système d’information.
9. Une supervision inexistante
Beaucoup de PME découvrent les incidents uniquement lorsqu’un utilisateur signale un problème. L’absence de supervision empêche d’anticiper les dysfonctionnements ou de détecter rapidement une anomalie.
Un audit informatique permet souvent d’identifier :
- l’absence de monitoring ;
- le manque d’alertes ;
- l’absence de suivi des performances ;
- le manque de visibilité sur les sauvegardes ou les équipements critiques.
Sans supervision, les incidents deviennent plus difficiles à diagnostiquer et à corriger rapidement.
10. Une documentation informatique incomplète
La documentation reste un point souvent négligé dans les PME. Pourtant, elle devient essentielle lors d’un incident, d’un changement de prestataire ou d’une évolution de l’infrastructure.
Lors des audits informatiques, il est fréquent de constater l’absence :
- de schéma réseau ;
- d’inventaire matériel ;
- de documentation des accès ;
- de cartographie des sauvegardes ;
- de suivi des licences.
Cette situation augmente fortement la dépendance à certaines personnes ou prestataires.
Conclusion
Un audit informatique permet d’identifier des problèmes souvent invisibles au quotidien mais susceptibles d’avoir un impact majeur sur l’activité d’une PME.
Les audits révèlent régulièrement des faiblesses liées à la cybersécurité, aux sauvegardes, à l’organisation IT ou à la segmentation réseau. Dans la majorité des cas, ces problèmes peuvent être corrigés rapidement dès lors qu’ils sont clairement identifiés et priorisés.
Dans un contexte où les cybermenaces augmentent continuellement, réaliser un audit informatique devient un véritable levier pour sécuriser, structurer et fiabiliser durablement le système d’information de l’entreprise.
A lire également
Audit informatique PME : pourquoi il est devenu indispensable pour les entreprises
