Pourquoi les attaquants n’ont plus besoin de forcer l’entrée
Les gens considèrent souvent une cyberattaque comme le fait pour un pirate d’exploiter une faille de sécurité ou de déployer un logiciel malveillant sophistiqué. Ces techniques existent toujours, mais aujourd’hui de nombreuses attaques commencent de manière beaucoup plus discrète.
Au lieu de forcer l’entrée, les attaquants utilisent fréquemment des comptes légitimes volés. Des identifiants Microsoft 365 compromis, des accès VPN dérobés ou des sessions détournées peuvent leur donner un accès direct aux ressources de l’entreprise.
Avec le développement du cloud et du télétravail, un seul compte peut désormais donner accès aux e-mails, documents partagés, applications métier et données sensibles.
Les cybercriminels se concentrent donc souvent sur le vol d’identifiants plutôt que sur l’exploitation de failles techniques. Une fois connectés, leurs actions peuvent ressembler à celles d’un utilisateur légitime, ce qui rend leur détection plus difficile.
Pour les petites et moyennes entreprises (PME), la cybersécurité ne se limite plus aux pare-feu, antivirus et réseaux sécurisés. Elle consiste aussi à :
- S’assurer que seules les bonnes personnes ont accès aux ressources
- Protéger les comptes avec des mots de passe robustes et l’authentification multifactorielle (MFA)
- Surveiller les connexions et comportements inhabituels
Le principal risque aujourd’hui n’est plus le piratage des systèmes, mais le vol d’identifiants. Les attaquants entrent souvent par la porte principale en utilisant les clés de quelqu’un d’autre.
Microsoft 365 : la nouvelle porte d’entrée des cybercriminels
Microsoft 365 est devenu une cible privilégiée pour les attaquants, car il constitue le centre des activités de l’entreprise, regroupant e-mails, documents, conversations Teams, données SharePoint et identités utilisateurs dans une seule plateforme.
Plutôt que d’attaquer des appareils individuels, de nombreux attaquants ciblent directement les comptes Microsoft 365.
Le phishing reste une méthode courante, mais les attaques modernes vont souvent plus loin que le simple vol de mots de passe. Les attaquants peuvent abuser des permissions OAuth, détourner des sessions actives ou contourner les processus d’authentification.
Leur objectif est simple : prendre le contrôle d’un compte légitime et passer inaperçus.
Une fois à l’intérieur, ils peuvent lire les e-mails, suivre les conversations, accéder à des fichiers sensibles, lancer des campagnes de phishing internes et identifier d’autres cibles. Comme l’activité provient d’un compte fiable, elle
est souvent plus difficile à détecter que les logiciels malveillants classiques.
Pour de nombreuses organisations, Microsoft 365 est devenu la nouvelle porte d’entrée. Sa protection nécessite plus que des mots de passe robustes : l’authentification multifactorielle (MFA), les politiques d’accès conditionnel, les revues d’accès et la surveillance continue sont désormais essentielles.
VPN : un outil de confiance qui peut devenir un risque de sécurité
Pourquoi les VPN restent essentiels pour l’accès à distance
Les réseaux privés virtuels (VPN) jouent toujours un rôle important dans les organisations modernes. Ils permettent aux employés, administrateurs et partenaires externes de se connecter de manière sécurisée aux ressources internes, depuis pratiquement n’importe où. Avec la généralisation du télétravail, les VPN sont devenus un élément clé de l’infrastructure informatique de nombreuses entreprises.
Pourquoi les attaquants ciblent-ils souvent les accès VPN ?
Le problème est que les VPN représentent aussi une cible intéressante pour les cybercriminels. Un compte VPN compromis peut donner un accès direct aux systèmes internes, aux applications et aux ressources du réseau. Du point de vue d’un attaquant, voler des identifiants VPN est souvent plus simple que d’exploiter une faille technique.
Comment les identifiants VPN sont-ils volés ?
Les attaquants utilisent plusieurs méthodes :
- campagnes de phishing
- réutilisation de mots de passe issus de fuites de données
- attaques par credential stuffing
- malwares et infostealers
- exploitation d’équipements VPN vulnérables
Une fois des identifiants valides obtenus, la connexion VPN semble généralement légitime.
Le vrai risque ne vient pas du VPN lui-même
La technologie VPN n’est pas intrinsèquement vulnérable.
Le risque provient plutôt d’une authentification faible, de permissions excessives, de configurations obsolètes et d’un manque de visibilité sur les accès à distance.
Lorsque les VPN sont considérés comme des accès “de confiance par défaut”, les attaquants peuvent se déplacer dans le réseau avec peu de résistance.
Réduire le risque de compromission VPN
Les organisations devraient considérer les accès VPN comme des actifs critiques.
L’authentification multifactorielle, la segmentation du réseau, la vérification des appareils et la surveillance des connexions inhabituelles permettent de réduire fortement les risques et l’impact d’une compromission.
RDP : une exposition encore largement sous-estimée par les entreprises
Pourquoi le RDP reste largement utilisé
Le protocole de bureau à distance (RDP – Remote Desktop Protocol) est encore l’un des outils les plus couramment utilisés pour l’administration à distance, le support technique et l’accès aux systèmes de l’entreprise.
Sa simplicité explique pourquoi il reste présent dans des organisations de toutes tailles.
Pourquoi le RDP attire toujours les attaquants
Malheureusement, la même accessibilité qui rend le RDP pratique en fait aussi une cible pour les cybercriminels.
Les services RDP exposés sur Internet peuvent souvent être détectés en quelques heures grâce à des scans automatiques.
Comment les attaquants exploitent le RDP exposé
Une fois un service RDP identifié, les attaquants tentent généralement :
- des attaques par devinette de mots de passe
- du credential stuffing
- l’utilisation d’identifiants fuités
- l’exploitation de vulnérabilités connues
Une seule connexion réussie peut donner un accès immédiat à une machine.
Ce qui se passe après une connexion RDP réussie
Contrairement à d’autres techniques d’attaque, le RDP donne accès à une session interactive sur la machine cible.
Les attaquants peuvent consulter les fichiers, désactiver les outils de sécurité, se déplacer latéralement dans le réseau et, dans certains cas, déployer un ransomware directement depuis la session compromise.
Pourquoi les PME sous-estiment souvent le RDP
Beaucoup d’organisations pensent que les services RDP anciens ou peu utilisés ne représentent pas un risque important.
Cependant, les accès oubliés apparaissent fréquemment lors des analyses de compromission. Un serveur configuré il y a plusieurs années pour un projet temporaire peut devenir un point d’entrée inattendu.
Sécuriser l’accès RDP en 2026
Les entreprises doivent régulièrement vérifier où le RDP est activé, qui peut y accéder et s’il est encore nécessaire.
Au minimum, le RDP ne doit jamais être exposé directement à Internet sans authentification forte et contrôles de sécurité supplémentaires.
En 2026, tout service d’accès à distance exposé doit être considéré comme une cible potentielle.
Les points d’accès cachés que les attaquants aiment trouver
Lorsque les organisations pensent aux risques cyber, elles se concentrent souvent sur Microsoft 365, les VPN ou les services RDP.
Les attaquants, eux, pensent différemment.
Un compte utilisateur inactif, un ancien profil VPN, un service RDP oublié ou une application tierce qui a encore des accès peut offrir un chemin plus facile pour entrer dans l’organisation.
La montée du télétravail, des services cloud et des fournisseurs externes a augmenté le nombre de points d’entrée potentiels. Chaque connexion mérite de l’attention.
Les équipes de sécurité auditent régulièrement les systèmes principaux, mais à quelle fréquence les anciens comptes VPN sont-ils vérifiés ?
À quelle fréquence les accès distants inutilisés sont-ils désactivés ?
Combien d’applications tierces ont encore accès aux données de l’entreprise des années après leur installation ?
Dans de nombreux incidents, le problème n’est pas une exploitation sophistiquée. C’est un chemin d’accès qui aurait dû être supprimé depuis longtemps.
Les organisations ne peuvent pas protéger ce dont elles ne savent pas l’existence. Des revues régulières des comptes utilisateurs, des services d’accès à distance et des connexions externes peuvent aider à identifier les expositions cachées avant les attaquants.
Les points d’accès cachés que les attaquants adorent exploiter
Ce que les incidents réels nous disent sur les compromissions modernes Lorsque l’on lit des enquêtes de compromission, la même histoire revient encore et encore. Les attaquants commencent rarement par des techniques sophistiquées. Plus souvent, ils obtiennent l’accès via un compte Microsoft 365 compromis, des identifiants VPN volés, un e-mail de phishing ou un service d’accès à distance exposé.
Pour les PME, la leçon est simple : les attaquants empruntent généralement le chemin le plus facile disponible. S’ils peuvent se connecter avec un compte légitime, il n’est pas nécessaire d’exploiter une vulnérabilité complexe.
Une autre réalité est la vitesse. Une fois l’accès obtenu, les attaquants peuvent rapidement identifier les systèmes importants, les données sensibles et les comptes à privilèges. Ce qui commence par un seul compte compromis peut devenir un incident majeur en quelques heures.
Peut-être que la leçon la plus importante est que de nombreuses compromissions commencent par une activité qui semble légitime. Une connexion réussie. Une connexion à distance. Une application de confiance.
C’est pourquoi les PME doivent se concentrer non seulement sur la prévention des accès non autorisés, mais aussi sur la détection des comportements inhabituels avant qu’ils ne deviennent un problème sérieux.
Comment les PME peuvent réduire leurs points d’entrée les plus courants
La bonne nouvelle est que la plupart des points d’entrée évoqués dans cet article peuvent être considérablement réduits sans investissements majeurs ni grande équipe informatique.
La première priorité est de sécuriser les identités. Chaque compte Microsoft 365, connexion VPN et service d’accès à distance doit être protégé par une authentification multi-facteurs. Un mot de passe volé ne devrait jamais suffire à accéder aux ressources de l’entreprise.
La deuxième priorité est la visibilité. Beaucoup de PME connaissent leurs systèmes critiques mais ont une visibilité limitée sur les anciens comptes utilisateurs, les accès de tiers, les profils VPN inutilisés ou les services d’accès à distance oubliés. Des revues régulières des accès peuvent aider à identifier les risques avant les attaquants.
L’accès à distance doit également être soigneusement examiné. Si RDP est activé, il doit être restreint et surveillé. Si un VPN est utilisé, l’accès doit être limité aux personnes qui en ont réellement besoin. Moins il y a de points d’entrée exposés à Internet, plus la surface d’attaque est réduite.
Enfin, les organisations doivent partir du principe que certaines attaques finiront par contourner les mesures préventives. La surveillance des activités de connexion suspectes, des schémas d’accès inhabituels et des modifications des comptes utilisateurs peut aider à détecter une intrusion avant qu’elle ne devienne un incident majeur.
La cybersécurité est souvent perçue comme un problème technologique. En réalité, de nombreuses attaques réussies commencent par une simple connexion. Pour les PME, réduire les risques commence souvent par savoir qui a accès, pourquoi ils y ont accès, et si cet accès est toujours nécessaire.
Conclusion : L’identité est le nouveau périmètre
La plupart des cyberattaques ne commencent plus par des attaquants franchissant des barrières de sécurité. Elles commencent par l’accès.
Qu’il s’agisse d’un compte Microsoft 365 compromis, d’identifiants VPN volés ou d’un service RDP exposé, l’objectif est souvent le même : utiliser un accès légitime pour entrer dans l’organisation.
Pour les PME, la réduction du risque commence par le contrôle de ces points d’entrée. Une authentification forte, des revues régulières des accès, un accès distant sécurisé et une visibilité sur l’activité des utilisateurs peuvent réduire considérablement les opportunités disponibles pour les attaquants.
La technologie reste importante, mais en 2026, la protection des identités est devenue tout aussi critique que la protection des réseaux et des appareils.
