Le Jeudi 16 Avril 2026, par benjamin Lepeltier
Pas de faille technique. Pas de piratage sophistiqué. Une clé laissée sous le paillasson depuis 18 mois et 40 dollars sur Telegram. Voici comment une PME a été détruite par un processus administratif de 3 minutes non-appliqué.
40 serveurs chiffrés. Production à l'arrêt total. Le responsable IT est formel : "Impossible, on a validé 72 000 € de budget cette année pour des pare-feux de dernière génération."
L'équipe arrive. Elle ignore les pare-feux. Elle demande une seule chose : les logs d'accès VPN.
20 minutes plus tard, le patient zéro est identifié. Une connexion entrante, dimanche à 02h14. Identifiant utilisé : prestataire.nicolas.m
Le DAF fronce les sourcils. "Nicolas ? L'agence web ? Sa mission s'est terminée il y a 18 mois."
L'histoire de Nicolas n'est pas celle d'une négligence grossière. C'est une accumulation de petites erreurs ordinaires, chacune anodine prise isolément, catastrophique une fois enchaînées.
Le compte VPN jamais désactivé À la fin de sa mission, personne n'a communiqué entre les RH et l'IT. Son contrat est clôturé dans le système RH. Ses identifiants VPN, eux, restent actifs 18 mois de plus.
Le mot de passe professionnel sur PC personnel Nicolas utilisait son propre ordinateur pour sa mission. Par habitude, il avait enregistré ses identifiants professionnels dans son navigateur aux côtés de son Spotify et de son Amazon. Un réflexe universel. Une bombe à retardement.
L'infostealer silencieux À un moment inconnu, le PC de Nicolas a été infecté par un malware conçu pour aspirer tous les identifiants stockés dans le navigateur. Sans symptôme visible. Sans alerte antivirus. En silence total.
Le log vendu pour 40 $ Le fichier récupéré contenant l'adresse du portail VPN, le login et le mot de passe s'est retrouvé en vente sur une boucle Telegram criminelle. L'attaquant n'a eu qu'à utiliser la clé fournie avec.
72 000 € de pare-feux. Contournés par une transaction à 40 $. Et c’est normal ! Le pare-feu n’est pas là pour bloquer ce genre d’attaque.
La tentation est de se dire que vous, vous n'auriez pas commis ces erreurs. Que vos processus sont plus rigoureux.
Pesez-vous alors cette question, honnêtement : êtes-vous certain à 100 % que l'agence qui a configuré votre CRM ou refait votre site n'a plus aucun accès à vos serveurs aujourd'hui ?
Pas à 80 %. Pas "probablement". À 100 %.
Si la réponse est "je vais vérifier", vous venez de trouver votre propre Nicolas.
Ce cas illustre une réalité que nous observons dans la quasi-totalité des PME auditées : la sécurité technique est souvent au niveau. La sécurité organisationnelle, elle, est criblée de trous.
Vous pouvez avoir le pare-feu le plus cher du marché. Si votre processus d'offboarding des prestataires externes est inexistant, tout cela ne sert à rien. L'attaquant n'a pas besoin de forcer la porte. Il lui suffit de trouver quelqu'un qui a oublié de rendre ses clés.
L'architecture de sécurité ne sauvera jamais une faille de bon sens.
L'offboarding prestataire : le grand oublié. Dans la plupart des entreprises, le processus de départ existe pour les salariés. Pour les prestataires externes, agences, freelances, intégrateurs, il est quasi inexistant. Ils arrivent, ils travaillent, ils repartent. Leurs accès, eux, restent.
La règle doit être absolue : tout accès créé pour un prestataire doit avoir une date d'expiration définie dès la création. Si la mission se prolonge, on renouvelle. Si elle s'arrête, l'accès expire automatiquement.
Le principe du moindre privilège : jamais appliqué aux externes. Nicolas avait vraisemblablement des droits VPN bien au-delà de ce dont il avait besoin pour refaire un site web. C'est le cas de la majorité des accès prestataires : par facilité, on donne large. Chaque intervenant externe doit avoir uniquement les droits strictement nécessaires à sa mission, rien de plus.
L'inventaire des accès actifs : personne ne le tient à jour. Combien d'identifiants VPN actifs votre entreprise compte-t-elle en ce moment ? Combien correspondent à des personnes qui travaillent encore avec vous ? Dans la plupart des PME, personne ne le sait. C'est pourtant l'indicateur le plus simple du niveau de maturité cyber d'une organisation.
Auditez vos accès externes actifs. Demandez à votre IT la liste complète des comptes VPN et accès distants. Croisez avec vos contrats prestataires en cours. Tout compte sans contrat actif associé : désactivation immédiate.
Formalisez une checklist d'offboarding prestataire. Une page suffit : désactivation VPN, révocation des accès outils métiers, suppression des comptes nominatifs. Elle doit être déclenchée automatiquement à chaque fin de mission sans exception.
Activez le MFA sur tous vos accès distants. Si le VPN de cette PME avait exigé un second facteur d'authentification, les identifiants volés de Nicolas n'auraient pas suffi. C'est la mesure la plus simple et la plus efficace contre ce type d'attaque.
C'est exactement le type de scénario qu’Egide a été conçu pour neutraliser, sans nécessiter d'expertise IT interne, ni de budget de grand groupe.
Dans le cas de cette PME, deux mécanismes auraient changé l'issue de cette histoire.
La gestion et la révocation des accès. Egide centralise la visibilité sur tous les accès actifs au réseau de l'entreprise. Le compte de Nicolas inactif, orphelin, sans contrat associé aurait été identifié lors d'un audit automatique et signalé pour révocation. La porte aurait été fermée bien avant que quelqu'un pense à acheter la clé pour 40 dollars.
La segmentation réseau. Même dans le scénario où la connexion de Nicolas n'aurait pas été détectée immédiatement, la segmentation réseau mise en place par Egide aurait limité ses mouvements à la portion du réseau strictement nécessaire à son ancienne mission. Pas d'accès aux serveurs de production. Pas de propagation du ransomware. Une compromission partielle, contenue au lieu de 40 serveurs chiffrés et d'une entreprise en redressement judiciaire.
La survie de cette entreprise n'a pas été compromise par une défaillance technique. Elle l'a été par un processus administratif de 3 minutes ignoré. 3 minutes contre des semaines d'arrêt, un redressement judiciaire, des dizaines d'emplois menacés.
Faites le test ce matin. Votre Nicolas existe peut-être déjà.
