La majorité des incidents de sécurité graves ne résultent pas d'attaques sophistiquées — ils exploitent des erreurs basiques de gestion des accès qui auraient pu être évitées. Voici les 7 erreurs les plus fréquentes que nous observons dans les PME et ETI françaises, avec leurs corrections concrètes.
Pourquoi les accès privilégiés concentrent les risques
Un compte administrateur compromis donne accès à l'ensemble de votre infrastructure. C'est précisément pour cela que les attaquants cherchent en priorité à obtenir des droits élevés — par escalade de privilèges, vol de credentials, ou exploitation de comptes mal gérés. Et c'est pour cela que chaque erreur dans la gestion de ces accès a un impact potentiellement catastrophique.
"Admin / Admin123" ou un compte "root" partagé entre l'équipe IT : c'est l'une des erreurs les plus répandues et les plus dangereuses. Si quelqu'un utilise ce compte pour une action malveillante ou accidentelle, il est impossible de savoir qui était connecté. En cas d'incident, vous n'avez aucune attribution.
Au-delà de la traçabilité, un compte partagé signifie que le départ d'un employé ne suffit pas à couper son accès — le mot de passe reste valide pour tous les autres.
Créez un compte nominatif par administrateur. Désactivez les comptes génériques dès que possible. Avec un bastion PAM, chaque connexion est associée à une identité précise — l'audit trail devient exploitable et la révocation individuelle devient triviale.
Des millions de serveurs Windows exposent le port 3389 directement sur internet. Shodan en indexe plus de 3 millions en permanence. Les scanners automatiques les détectent en quelques minutes après l'exposition. Ce qui suit : des milliers de tentatives de brute-force quotidiennes, jusqu'à ce que l'une réussisse.
Cette configuration est souvent le résultat d'un "on a ouvert le port pour dépanner rapidement" qui n'a jamais été refermé.
Fermez le port 3389 sur internet immédiatement. Configurez l'accès RDP exclusivement via un bastion PAM : seul le bastion (port 443/HTTPS) est exposé, et lui seul établit les connexions RDP vers vos machines internes. La surface d'attaque se réduit à un seul point, correctement sécurisé.
Le consultant qui a travaillé sur votre migration cloud il y a 18 mois a toujours ses credentials VPN. L'infogérant précédent a conservé son accès après le changement de contrat. Ces "accès fantômes" représentent une porte d'entrée permanente vers votre SI — et vous l'ignorez souvent jusqu'à l'incident.
Une étude de 2025 révèle que 58 % des organisations ont des accès prestataires actifs non utilisés depuis plus de 6 mois.
Adoptez le principe d'accès Just-in-Time : les accès prestataires ont une date d'expiration automatique dès leur création. Avec Remsek, vous définissez une durée (ex. : 4 heures, 1 semaine, fin de contrat) — l'accès expire automatiquement sans action manuelle. Revue mensuelle des comptes actifs en complément.
Un mot de passe seul, même complexe, peut être volé. Phishing, fuite de données, keylogger, credential stuffing : les vecteurs de compromission sont nombreux. Sans second facteur d'authentification, le vol du mot de passe suffit à compromettre un compte administrateur.
NIS2 exige explicitement le MFA sur les accès aux systèmes critiques. Mais au-delà de la conformité, c'est une mesure dont l'efficacité est mesurée : le MFA bloque 99,9 % des attaques par credential stuffing selon Microsoft.
Activez le MFA sur toutes les connexions administrateurs sans exception. Si vous avez un IdP (Azure AD, Okta, Google Workspace), connectez votre bastion PAM via SSO OIDC ou SAML pour centraliser l'authentification et le MFA. Évitez les solutions de contournement ("machine de confiance", exception temporaire) qui deviennent permanentes.
La croissance rapide d'une équipe IT conduit souvent à accorder les droits administrateurs "pour faire simple". Résultat : 15 personnes ont des droits admin complets alors que 3 en ont réellement besoin. La surface de compromission se multiplie proportionnellement au nombre de comptes privilégiés.
Chaque compte administrateur inutilement actif est une cible potentielle. Et les comptes de collaborateurs qui n'utilisent plus ces droits restent rarement aussi vigilants que les administrateurs actifs.
Appliquez le principe de moindre privilège : chaque utilisateur n'a accès qu'aux ressources nécessaires à sa fonction. Avec un bastion PAM, vous définissez précisément quel utilisateur peut se connecter à quel serveur. Revue semestrielle des droits pour supprimer les accès devenus inutiles.
Un serveur de production tombe en panne. La veille, trois administrateurs s'y sont connectés. Lequel a fait quoi ? Sans enregistrement des sessions, vous ne savez pas. L'investigation prend des jours, les reproches pleuvent, et parfois l'incident reste inexpliqué.
Ce scénario se répète aussi pour les incidents de sécurité : sans enregistrement, vous ne pouvez pas reconstituer l'attaque, identifier l'étendue de la compromission ou prouver aux assureurs et à l'ANSSI ce qui s'est passé.
Activez l'enregistrement automatique de toutes les sessions via votre bastion PAM. Avec Remsek, chaque session RDP, SSH et VNC est enregistrée en vidéo et rejouable depuis le navigateur. Le stockage est configurable (rétention, compression) et l'accès aux enregistrements est contrôlé par rôle.
Un compte administrateur accessible 24h/24 depuis n'importe quelle IP dans le monde est une cible idéale. Si ce compte est compromis à 3h du matin depuis une IP en Asie du Sud-Est, cela ne déclenche aucune alerte. La connexion s'établit normalement.
Les restrictions d'accès temporelles et géographiques ne sont pas infaillibles (les attaquants peuvent utiliser des proxies), mais elles élèvent significativement le coût d'une attaque et permettent de détecter des anomalies.
Configurez des restrictions d'accès dans votre bastion PAM : plages horaires autorisées par utilisateur (ex. : lun-ven 8h-20h), liste blanche d'IP sources pour les comptes les plus sensibles. Combinez avec des alertes sur les tentatives de connexion hors plage pour détecter les anomalies en temps réel.
Par où commencer pour corriger ces erreurs ?
Ces 7 erreurs peuvent toutes être corrigées avec un bastion PAM correctement déployé. La priorité dépend de votre contexte, mais voici l'ordre recommandé par criticité :
- Immédiat (semaine 1) — Fermer les ports RDP/SSH exposés sur internet, activer le MFA sur tous les accès administrateurs
- Court terme (mois 1) — Déployer un bastion PAM, créer des comptes nominatifs, activer l'enregistrement de sessions
- Moyen terme (mois 2-3) — Réviser les droits (moindre privilège), migrer les accès prestataires vers JIT, configurer les restrictions temporelles et IP
- En continu — Revue trimestrielle des comptes actifs, vérification des accès prestataires, analyse des logs
Conclusion
Aucune de ces 7 erreurs n'est technique au sens complexe du terme. Elles résultent de pratiques héritées, de manque de temps ou de priorisation insuffisante de la sécurité. Pourtant, chacune peut être la porte d'entrée d'un incident majeur.
La bonne nouvelle : un bastion PAM moderne corrige structurellement la majorité de ces erreurs, sans alourdir le quotidien des équipes. Les administrateurs se connectent toujours en RDP et SSH — simplement via un point d'accès sécurisé, avec leur compte personnel, leur MFA, et une trace de chaque session.
Corrigez ces erreurs en moins d'une journée
Remsek se déploie en une heure et élimine structurellement les 7 erreurs listées dans cet article.
Demander une démo