Les incidents récents montrent que l’identité est devenue un point d’entrée central: mots de passe réutilisés, fatigue MFA, faux portails de connexion et sessions volées.
Pour une PME, les contrôles prioritaires restent concrets: MFA robuste, revue des comptes administrateurs, accès conditionnel, alertes sur connexions inhabituelles et suppression rapide des comptes inactifs.
Un audit d’identité devrait aussi vérifier les comptes de service, les accès externes et les appareils qui peuvent se connecter aux outils Microsoft 365, Google Workspace, VPN et applications métier.