1. Pourquoi ce guide existe

Quand un dirigeant nous appelle, c’est rarement par anticipation. C’est souvent après un incident : un ransomware qui a failli tout bloquer, un compte piraté, une perte de données, ou simplement l’angoisse grandissante de ne plus maîtriser son système d’information.

Ce qu’on constate à chaque fois, ce sont les mêmes failles :

• des systèmes jamais patchés,
• des comptes admin partout,
• des sauvegardes jamais testées,
• aucune visibilité sur ce qui se passe réellement sur les postes.

2. Ce que vous allez obtenir en 90 jours

À la fin de ce plan, votre parc ne sera pas invulnérable. Personne ne l’est. Mais vous aurez :

• Une vision claire de vos actifs : qui utilise quoi, quel matériel, quelles versions, quels accès.
• Des failles critiques corrigées : serveurs patchés, EDR déployé, comptes nettoyés.
• Des sauvegardes testées et isolées : vous saurez que vous pouvez restaurer, pas juste sauvegarder.
• Une authentification renforcée : MFA sur les accès sensibles.
• Une supervision active : vous verrez ce qui se passe, en temps réel.
• Des équipes formées : vos collaborateurs sauront reconnaître une attaque et réagir correctement.

3. Semaine 0 : le diagnostic (on pose tout à plat)

Avant d’agir, on doit savoir sur quoi on travaille. Pas un inventaire théorique Excel vieux de trois ans. Un état des lieux réel, précis, et exploitable.

3.1. Ce qu’on vérifie concrètement

Inventaire du parc

• Postes : combien, quels OS, quelles versions, quel niveau de patch, chiffrement activé ou non.
• Serveurs : rôles, exposition internet, versions, criticité métier.
• Réseau : routeurs, switches, Wi-Fi, configurations actuelles.
• Comptes : Active Directory, groupes, admins locaux, comptes orphelins.
• Cloud et SaaS : Microsoft 365, outils métiers, droits d’accès.

On utilise des outils automatisés (RMM, scanners) pour éviter les erreurs et gagner du temps. Résultat : un tableau clair de ce qui existe vraiment.

Repérage des vulnérabilités critiques

• OS en fin de support ou très en retard.
• Correctifs de sécurité critiques manquants (Exchange, VPN, Windows, navigateurs…).
• Ports exposés dangereusement (RDP, SMB, SQL).
• Absence de MFA sur les accès sensibles.
• Comptes administrateurs trop nombreux ou partagés.

Test réel des sauvegardes

Beaucoup d’entreprises “ont” des sauvegardes. Peu les ont testées. On vérifie :

• la restauration d’un fichier isolé,
• la restauration d’un dossier complet,
• la restauration d’une machine critique (serveur ou poste).

Et on regarde si les sauvegardes sont isolées, protégées contre la suppression, et adaptées aux besoins métier (RPO/RTO).

3.2. Livrable de fin de semaine

Vous recevez un rapport structuré avec trois listes :

• Rouge : failles exploitables immédiatement, absence de sauvegardes fiables, comptes admins non maîtrisés.
• Orange : patchs à rattraper, EDR à déployer, MFA à généraliser.
• Vert : améliorations structurelles à planifier (segmentation, documentation, formation continue).

4. Mois 1 : colmater les brèches (on empêche le pire)

Le premier mois sert à éliminer les portes grandes ouvertes. L’objectif est simple : qu’un attaquant ne puisse plus entrer en trois clics via une faille évidente.

4.1. Rattrapage massif des mises à jour

Les ransomwares exploitent presque toujours des failles déjà connues. Ce qui fait la différence, ce n’est pas la sophistication de l’attaque, c’est votre retard dans les patchs.

Notre méthode de déploiement

• Serveurs et équipements exposés en priorité (messagerie, VPN, pare-feu).
• Postes utilisateurs par vagues : groupe pilote d’abord, puis généralisation.
• Équipements réseau : firmware à jour sur switches, routeurs, bornes Wi-Fi.
• Logiciels métiers : en coordination avec les éditeurs si nécessaire.

On utilise nos outils RMM pour pousser les patchs de manière centralisée, avec des rapports de conformité automatiques. Vous savez en permanence où vous en êtes.

4.2. Déploiement d’un EDR sur tous les postes

Un antivirus classique cherche des signatures connues. Un EDR observe les comportements : scripts suspects, élévations de privilèges, chiffrement massif, connexions anormales.

Ce qu’on met en place

• EDR installé et configuré sur 100 % des postes et serveurs.
• Supervision centralisée des alertes (pas juste des logs qu’on ne regarde jamais).
• Capacité d’isoler un poste compromis à distance.
• Règles adaptées à vos usages métiers (pas de faux positifs paralysants).

4.3. Nettoyage des accès et des privilèges

Dans beaucoup de PME, tout le monde (ou presque) est “admin de quelque chose”. C’est le paradis des attaquants.

Actions concrètes

• Suppression des comptes inactifs, inconnus ou orphelins.
• Réduction drastique des comptes administrateurs (principe du moindre privilège).
• Nettoyage des groupes AD empilés au fil des ans.
• Audit et limitation des accès distants (RDP, VPN).
• Révision des partages de fichiers : qui a accès à quoi, et pourquoi.

Un seul compte admin oublié peut suffire à compromettre tout votre SI.

4.4. Sécurisation et test des sauvegardes

Une PME peut encaisser un incident si elle sait restaurer. Elle ne survit pas si les données sont chiffrées et les sauvegardes détruites.

Notre approche

• Isolation des sauvegardes du réseau de production (règle 3-2-1 minimum).
• Mise en place de sauvegardes immuables quand c’est possible.
• Documentation et test réel d’une procédure de restauration complète.
• Définition de RPO/RTO réalistes avec vous.

4.5. Activation systématique de la MFA

L’authentification multi-facteurs bloque une immense partie des attaques par vol d’identifiants. Elle doit être activée partout où c’est possible :

• Comptes Microsoft 365 (tous, sans exception).
• Comptes administrateurs.
• Accès VPN.
• Outils financiers, RH, ERP.

Oui, ça ajoute quelques secondes de friction. Mais ça bloque la majorité des tentatives de connexion frauduleuse.

5. Mois 2 : structurer et stabiliser (on construit du solide)

Les urgences sont traitées. Maintenant, on structure l’environnement pour qu’il ne retombe pas dans le chaos dès le prochain recrutement ou départ.

5.1. Centralisation de la gestion des postes

Un parc géré “poste par poste” finira toujours par dériver. On met en place une gestion centralisée (Intune, RMM, ou combinaison des deux).

Vous gagnez en contrôle et en temps. Vos équipes aussi.

5.2. Hardening (durcissement des configurations)

On ferme toutes les petites portes laissées ouvertes par défaut :

• Désactivation des protocoles anciens (SMBv1, Telnet…).
• Blocage des macros Office par défaut.
• Limitation de l’exécution de scripts (PowerShell, WMI).
• Activation du chiffrement partout.
• Désinstallation des logiciels inutiles ou obsolètes.

Chaque porte fermée est une attaque en moins.

5.3. Mise en place d’une supervision active

Vous ne pouvez pas sécuriser un parc si vous ne voyez pas ce qui s’y passe. On déploie une supervision qui remonte :

• Alertes EDR.
• Échecs répétés d’authentification.
• Baisses de performances anormales.
• Changements de configuration imprévus.
• Volumes réseau atypiques (signe d’exfiltration).

5.4. Formalisation de procédures simples

La sécurité ne repose pas que sur la technique. Elle repose sur ce que font vos équipes quand quelque chose d’inhabituel se produit.

On rédige avec vous des procédures courtes, claires, actionnables :

• Que faire face à un mail suspect.
• Que faire si un poste semble infecté.
• Comment lancer une restauration d’urgence.
• Qui prévenir, comment, en cas d’incident.

Ces procédures sont diffusées, accessibles, et testées.

5.5. Formation continue des équipes

Même avec les meilleurs outils, un clic au mauvais endroit peut tout mettre à plat. Vos collaborateurs sont votre première ligne de défense.

6. Mois 3 : consolider et préparer l’avenir

Votre parc est désormais propre, protégé, supervisé. Le troisième mois transforme cet état en trajectoire : vous passez d’un parc “remis à niveau” à un parc “piloté”.

6.1. Audit de progression

On reprend le diagnostic initial. On mesure les progrès :

• Nombre de vulnérabilités critiques corrigées.
• Taux de conformité des postes (patchs, EDR, chiffrement).
• Couverture de la MFA.
• Fiabilité des sauvegardes (tests réussis).
• Efficacité de la supervision (incidents détectés et résolus).

Vous voyez noir sur blanc le chemin parcouru.

6.2. Documentation de l’architecture de sécurité

Pour piloter votre sécurité sur la durée, l’architecture doit être claire. On documente :

• Les flux entre zones (postes ↔ serveurs ↔ cloud).
• L’emplacement des données sensibles.
• Les niveaux de privilèges par rôle.
• Les solutions en place (EDR, sauvegardes, supervision, MFA).
• Les dépendances critiques (si X tombe, que se passe-t-il ?).

Cette documentation devient votre référentiel. Elle évolue avec vous.

6.3. Construction d’une roadmap 12-24 mois

Les 90 jours ont traité l’urgent. La roadmap organise l’important :

• Renouvellement du matériel réellement en fin de vie.
• Segmentation réseau (production, invités, IoT, téléphonie).
• Amélioration continue des sauvegardes (rétention, immutabilité, PRA).
• Projets cloud et impact sécurité.
• Éventuelles solutions avancées (SIEM, Zero Trust…).

Cette roadmap est réaliste, budgétée, alignée avec votre stratégie.

6.4. Installation de rituels simples

La sécurité ne tient pas sur un gros projet. Elle tient sur des petits rituels répétés :

• Revue mensuelle : incidents, alertes, anomalies.
• Revue trimestrielle : inventaire, droits, MFA, conformité.
• Test semestriel : restauration complète, simulation de crise.
• Revue annuelle : bilan, roadmap actualisée, objectifs.

Chez Poweriti, on anime ces rituels avec vous. Vous restez aux commandes, on s’assure que rien ne dérive.

6.5. Organisation de la veille

Les menaces évoluent. Votre dispositif doit suivre. On organise pour vous :

• Veille sur les alertes CERT-FR.
• Suivi des failles critiques (Microsoft, VPN, navigateurs, M365…).
• Analyse des tendances de cybermenaces ciblant les PME.

7. Les outils qu’on déploie (et pourquoi)

On ne vend pas d’outils pour vendre des outils. On déploie ce qui fonctionne, ce qu’on supervise nous-mêmes, et ce qui s’adapte à votre taille.

7.1. RMM (Remote Monitoring & Management)

Le cerveau de l’infogérance. Il permet :

• Supervision en temps réel de tous les postes et serveurs.
• Déploiement automatique des mises à jour.
• Exécution de scripts à distance.
• Inventaire permanent et à jour.
• Génération de rapports de conformité.

C’est l’outil qui nous évite (et vous évite) de traiter chaque incident manuellement.

7.2. EDR / XDR

Votre radar anti-intrusion. Il détecte les comportements suspects, bloque, isole, alerte. Sans lui, vous êtes aveugle.

On supervise vos EDR 24/7. Quand une alerte remonte, on analyse, on qualifie, on agit. Vous n’avez pas besoin d’un analyste SOC en interne.

7.3. Gestionnaire de mots de passe

Il élimine les mots de passe faibles, réutilisés, partagés. Il facilite l’usage de la MFA. Il réduit drastiquement le risque de compromission par credential stuffing.

7.4. Solution de sauvegarde professionnelle

On ne parle pas de copier un dossier sur un disque externe. On parle de sauvegardes :

• Structurées (3-2-1 minimum).
• Monitorées (on sait si ça marche ou pas).
• Testées régulièrement (restauration complète).
• Isolées et immuables quand c’est possible.

Vos sauvegardes sont supervisées par Poweriti. Si quelque chose dysfonctionne, on vous prévient avant qu’il ne soit trop tard.

7.5. Plateforme de sensibilisation

La formation ponctuelle ne suffit pas. On déploie des modules courts, des simulations de phishing, des rappels réguliers. Les bons réflexes s’ancrent par la répétition, pas par un PowerPoint annuel de trois heures.

8. Les erreurs qu’on voit (et qu’on vous évite)

8.1. Vouloir tout faire en même temps

C’est le meilleur moyen de ne rien finir. On priorise, on avance bloc par bloc, on valide chaque étape avant de passer à la suivante.

8.2. Négliger la communication interne

Si vos équipes ne comprennent pas pourquoi on change les règles, elles cherchent à les contourner. Chaque contournement devient une faille. On vous aide à cadrer le discours et à embarquer les collaborateurs.

8.3. Ne pas tester ce qu’on déploie

Patchs, sauvegardes, MFA, procédures : tout doit être testé. Un plan théorique ne protège personne. On teste, on valide, on ajuste.

8.4. Ignorer les retours terrain

Vos équipes voient ce qui coince : lenteurs, blocages, comportements à risque. On les écoute. C’est souvent là qu’on trouve les meilleures pistes d’amélioration, sans acheter un nouvel outil.

8.5. Croire que 90 jours suffisent “pour de bon”

Les 90 jours créent la base. Mais si vous arrêtez tout ensuite, le système se dégrade rapidement. Il faut maintenir, améliorer, adapter. C’est pour ça qu’on reste à vos côtés après.

9. Et après les 90 jours ?

Le plan est déployé. Mais comment garder ce niveau sans que la cybersécurité ne devienne un métier à plein temps ?

9.1. On automatise tout ce qui peut l’être

• Mises à jour via RMM.
• Rapports de conformité automatiques.
• Alertes en cas d’anomalie.
• Sauvegardes et vérification de leur bon déroulement.

Vous recevez les synthèses. On gère l’opérationnel.

9.2. On suit quelques indicateurs clés

Pas besoin de 40 KPI. Quelques indicateurs suffisent :

• % de postes à jour.
• % de postes protégés par EDR.
• Résultats des tests de restauration.
• Taux de participation aux formations.
• Nombre d’incidents détectés et résolus.

9.3. On fait évoluer les protections progressivement

On ne change pas de solution tous les ans. On améliore ce qui est en place : extension de la MFA, segmentation plus fine, nouvelles règles de supervision, durcissement progressif.

9.4. On capitalise sur ce qui fonctionne

Vous aurez testé des choses qui marchent bien, et d’autres moins. On garde les premières, on simplifie ou abandonne les secondes. Votre objectif reste le même : sécuriser sans alourdir inutilement le quotidien.

10. Pourquoi Poweriti ?

Parce qu’on fait ça tous les jours. Parce qu’on connaît les PME, leurs contraintes budgétaires, leurs impératifs métier, leur manque de temps.

11. Conclusion

Sécuriser un parc informatique en 90 jours, ce n’est pas une promesse marketing. C’est une méthode qu’on applique régulièrement, avec succès, auprès de PME comme la vôtre.

• Votre risque n’a pas disparu (personne n’est invulnérable).
• Mais votre parc n’est plus une cible facile.
• Vos données sont mieux protégées.
• Vos équipes savent réagir.
• Vous avez une trajectoire claire pour continuer à progresser.

La sécurité ne se décrète pas. Elle se construit, bloc par bloc, décision après décision. Ce plan 90 jours est une façon de reprendre la main, sans tout casser, sans tout racheter, sans attendre l’attaque de trop.

Prêt à commencer ? On est là pour ça.

12. Bibliographie