Signes que ton entreprise a dépassé son infrastructure TI

Chaque entreprise en croissance passe par une phase où l'infrastructure TI qui semblait parfaitement adéquate il y a un an commence à montrer des fissures. C'est pas que la mise en place était mauvaise — elle convenait à ce que t'étais à l'époque. Le problème, c'est que faire croître une entreprise sans faire croître son infrastructure TI crée des risques qui s'accumulent. Les lacunes qui sont juste gênantes à 10 employés deviennent de vraies vulnérabilités à 25, et à 40, ce sont des risques opérationnels à part entière.

Voilà les signaux qu'on voit le plus souvent — et pourquoi chacun est plus sérieux qu'il en a l'air.

Des mots de passe d'admin partagés

Si ton équipe a un "mot de passe TI" partagé ou un compte administrateur que plusieurs personnes utilisent, t'as pas de contrôle d'accès significatif. Quand quelque chose tourne mal — et ça va arriver — tu peux pas répondre à la question "qui a fait quoi?" Tu peux pas révoquer l'accès d'une seule personne sans changer les identifiants partagés et notifier tout le monde. Et si ce mot de passe partagé circule depuis assez longtemps, tu sais vraiment pas qui l'a.

Le risque : un ex-employé mécontent, un appareil compromis, ou une attaque de hameçonnage qui capture ces identifiants donne à un attaquant un accès sans restriction à tes systèmes — sans façon facile de savoir ce qu'il a fait.

Pas de gestion centralisée des utilisateurs

À cinq employés, c'est gérable de configurer les comptes de chaque personne individuellement et de tout suivre dans un tableur. À 20 employés, cette approche crée un désordre que tu peux plus contrôler. Des comptes dans Microsoft 365 qui sont pas reflétés dans tes systèmes internes. Des comptes administrateurs locaux sur des postes que personne se souvient d'avoir créés. Des abonnements logiciels où l'identifiant est lié au courriel personnel de quelqu'un.

Active Directory (en local) ou Microsoft Entra ID (cloud) centralise la gestion des identités : un endroit pour créer des comptes, assigner des permissions, appliquer des politiques, et — c'est crucial — désactiver les accès quand quelqu'un quitte. Sans ça, mettre fin aux accès d'un employé qui part devient une chasse au trésor à travers chaque système qu'il aurait pu toucher. Certains de ces systèmes seront pas mis à jour avant des semaines.

Des sauvegardes qu'on n'a jamais restaurées

"On a des sauvegardes" — c'est une des choses les plus dangereuses à croire sans vérification. Un job de sauvegarde qui se termine avec succès chaque nuit, c'est pas la même chose qu'une sauvegarde fonctionnelle. Les jobs de sauvegarde échouent silencieusement. Les destinations de sauvegarde se remplissent et arrêtent d'accepter de nouvelles données. Les versions de logiciels de sauvegarde deviennent incompatibles avec les données qu'elles sont censées restaurer.

Le test qui compte, c'est la restauration : est-ce que tu peux prendre un ensemble de sauvegardes et réellement restaurer un système fonctionnel à partir de lui? Si tu peux pas répondre à cette question avec une date — "notre dernière restauration réussie depuis la sauvegarde, c'était le X" — tu te fies à un système que t'as jamais validé.

Des comptes courriel personnels pour les communications d'affaires

Quand des employés utilisent leur Gmail ou Hotmail personnel pour des communications d'affaires, t'as perdu le contrôle de ces données pour toujours. Tu peux pas les archiver, tu peux pas les récupérer quand cette personne part, tu peux pas les inclure dans une conservation légale si tu te retrouves impliqué dans un litige.

C'est aussi un enjeu de conformité à la Loi 25 pour les entreprises québécoises. Si des renseignements personnels sur tes clients sont dans le Gmail personnel de quelqu'un, ils sont hors de ton contrôle et presque certainement hors de ton inventaire documenté de renseignements personnels.

Pas de gestion des mises à jour

Les systèmes d'exploitation et les applications reçoivent des correctifs de sécurité en continu. Une entreprise sans processus de gestion des mises à jour — quelque chose qui suit ce qui roule dans l'environnement, quels correctifs sont disponibles, et les applique systématiquement — opère un environnement où des vulnérabilités de sécurité critiques peuvent rester sans correctif pendant des mois.

La vulnérabilité Veeam exploitée dans des campagnes de rançongiciels en 2024, les vulnérabilités Exchange ProxyLogon de 2021, le flux continu de correctifs Windows et Chrome — ce sont de vraies exploitations de vraies vulnérabilités qui auraient pu être fermées avec des mises à jour de routine. L'écart entre "correctif disponible" et "correctif appliqué", c'est là que la plupart des compromissions arrivent.

Tout le monde est le soutien TI

Quand la personne la plus à l'aise techniquement au bureau devient le département TI de facto, cette personne arrête de faire son vrai travail chaque fois que quelque chose lâche. Ce qui arrive aux pires moments, au milieu du travail qui compte vraiment. Ça veut aussi dire que les décisions TI se prennent selon ce qui semble fonctionner, plutôt que selon des standards documentés.

Plus important encore : cette personne est probablement pas une spécialiste en sécurité. Elle peut réinitialiser des mots de passe et redémarrer des serveurs. Elle surveille pas ton environnement pour des menaces, elle révise pas les journaux du pare-feu, et elle pense pas à ce qui arrive quand elle part elle-même.

Des appareils personnels sans politique

Apporter son propre appareil, c'est pas intrinsèquement un problème — beaucoup d'organisations bien gérées le supportent. Le problème, c'est le BYOD sans politique de gestion des appareils mobiles (MDM) : des employés qui accèdent au courriel et aux fichiers de l'entreprise depuis des appareils personnels qui n'ont aucune exigence de chiffrement, aucune capacité d'effacement à distance, aucune vérification de conformité avant que l'accès soit accordé.

Quand le téléphone de cet employé est perdu ou volé — ou quand il part et ne retourne pas l'appareil — il n'y a aucun mécanisme pour révoquer l'accès aux données de l'entreprise qui sont déjà dessus.

Pas de plan de réponse aux incidents

Demande-toi : si ton serveur de fichiers était chiffré par un rançongiciel demain matin à 9h, qui appellerais-tu? Quelles seraient les trois premières étapes? Qui a l'autorité de décider si on paie la rançon ou si on tente une récupération? Qui notifie les clients si leurs données ont été exposées?

Si la réponse c'est "on se débrouillerait", c'est pas un plan. La réponse aux incidents sous stress, sans procédure documentée, sans contacts pré-établis (assureur cyber, conseiller juridique, fournisseur TI), prend deux à trois fois plus de temps qu'elle le devrait et génère systématiquement des décisions qui semblent mauvaises avec le recul.

Quoi faire quand tu te reconnais ici

Les signaux d'alarme ci-dessus apparaissent rarement un à la fois. Ils s'accumulent graduellement, et chacun individuellement semble gérable. Le problème, c'est qu'ils se renforcent mutuellement : pas de gestion centralisée des utilisateurs rend la gestion des départs plus difficile, ce qui veut dire que les comptes d'ex-employés restent actifs plus longtemps, ce qui veut dire que ta surface d'attaque reste plus grande qu'elle devrait.

Le bon point de départ, c'est une évaluation structurée — pas une conversation vague sur "où t'en es aujourd'hui", mais un inventaire documenté de ton infrastructure, de tes comptes, de tes logiciels et de l'état de tes sauvegardes. Ça te donne un portrait de référence à partir duquel prioriser, plutôt que d'essayer de tout régler simultanément ou, pire, de continuer à reporter jusqu'à ce que quelque chose te force la main.

On voit ce qui arrive quand les entreprises attendent l'événement forceur. C'est une façon coûteuse d'apprendre la leçon.