RMM Informatique 2026 : Guide Sécurisation MSP Cyber

Le RMM informatique — Remote Monitoring & Management — est le système nerveux d'un MSP moderne. C'est aussi sa plus grande vulnérabilité systémique. Un seul compte technicien compromis donne accès à des centaines, parfois des milliers d'endpoints chez des dizaines de clients. Les attaques contre Kaseya VSA (REvil, 2021, 1 500 entreprises chiffrées), SolarWinds N-central (Nobelium 2024), SimpleHelp (décembre 2024), ScreenConnect (février 2025), CPanel/WHM (mai 2026) et le récent malware Venomous Helper observé sur les chaînes SimpleHelp + ScreenConnect en mai 2026 forment un pattern clair : la supply chain MSP est désormais une cible prioritaire des groupes ransomware et APT. Ce guide opérationnel détaille les 12 contrôles à mettre en place pour sécuriser un RMM informatique, qu'il s'agisse de NinjaOne, ConnectWise Automate, Datto RMM, N-able N-central, Atera, Kaseya VSA X ou Pulseway. Méthodologie issue de 40+ audits MSP français menés entre 2024 et 2026.

1. Pourquoi le RMM est devenu la cible #1

Comprendre la surface d'attaque d'un RMM informatique est le point de départ. Un RMM expose typiquement quatre interfaces critiques : (1) la console web (HTTPS, généralement *.example.com) consultée par les techniciens depuis n'importe quel poste ; (2) l'API REST utilisée pour automation et intégrations (PSA, EDR, SIEM) ; (3) le canal agent → serveur sur les endpoints supervisés (MQTT, gRPC ou WebSocket chiffré TLS) ; (4) les scripts stockés dans la library, exécutables à distance avec privilèges SYSTEM ou root. Chaque interface a son propre modèle de menace : credentials stuffing sur console, abus de jeton API, attaque MitM sur canal agent, exfiltration ou modification de scripts. À cela s'ajoute la dimension multi-tenant — un RMM SaaS héberge souvent dizaines à centaines de MSP, et une faille de cloisonnement tenant peut, en théorie, exposer plusieurs MSP simultanément (cas SolarWinds 2024).

2. Contrôle 1 — MFA FIDO2 ou TOTP sur tous les comptes

Le contrôle de base, non-négociable. 100 % des comptes de la console RMM doivent porter une Authentication">MFA, sans exception. La hiérarchie de robustesse : FIDO2/WebAuthn (Yubikey, Solokey, Passkey) > TOTP (Google Authenticator, Authy, Microsoft Authenticator) > push notification (Duo, Microsoft Authenticator push) >> SMS (à proscrire absolument depuis NIST SP 800-63B révision 4). Les MSP français en 2026 doivent viser FIDO2 pour les comptes admin et super-admin, TOTP minimum pour les techniciens. Configuration recommandée : activation MFA au niveau tenant (forcée pour tout nouveau compte créé), pas en option utilisateur ; durée session courte (8 heures max) ; rotation des codes de récupération annuelle ; alerte sur ajout d'un nouveau device MFA. NinjaOne, Datto, N-able, ConnectWise et Atera supportent tous TOTP nativement ; FIDO2 est en GA chez NinjaOne, ConnectWise, Atera (Entra ID SSO) et en preview chez Datto/N-able. Voir MFA résistant au phishing : FIDO2, Passkeys et au-delà.

3. Contrôle 2 — Conditional Access par IP et pays

Restreindre l'accès à la console RMM aux IP du bureau MSP + VPN technicien. Les éditeurs proposent cette fonctionnalité sous différents noms : IP allowlist (NinjaOne), Login Source Restriction (ConnectWise), Trusted Networks (Atera), Allowed Locations (Datto). Pour les MSP n'ayant pas de VPN ou opérant en full-remote, alternative : passage par un IdP (Entra ID, Okta) avec policies Conditional Access géo-restrictives (France + UE, blocage VPN/Tor connus, blocage IP impossible travel). Pour les MSP ETI ayant un SOC 24/7, un proxy CASB type Netskope ou Zscaler entre techniciens et console RMM ajoute une couche d'audit et de blocage automatique sur exfiltration suspecte.

4. Contrôle 3 — Séparation des tiers et principe du moindre privilège

Le compte technicien moyen accède en lecture/écriture à 340 endpoints (médiane sur 12 MSP audités 2024-2026). Sa compromission est l'équivalent d'un domain admin à l'échelle du portefeuille clients. Implémenter une séparation des tiers stricte : (T0) super-admin RMM — 1 à 2 personnes max, MFA FIDO2 hardware, pas d'accès email/web standard depuis le poste de travail, accès depuis PAW (Privileged Access Workstation) ; (T1) admin technique — 3 à 5 personnes, scripts privilégiés, configuration tenants ; (T2) technicien niveau 2/3 — accès remote, exécution scripts approuvés, lecture-écriture endpoints, pas de configuration RMM globale ; (T3) technicien niveau 1 + commercial — lecture seule, vue inventaire, pas d'exécution. La granularité dépend des fonctionnalités RBAC du RMM ; NinjaOne, ConnectWise et Datto offrent un RBAC fin, Atera et Action1 sont plus limités.

5. Contrôle 4 — Journalisation immuable exportée vers SIEM externe

La console RMM journalise en interne mais ces journaux sont accessibles aux admins du tenant — donc potentiellement modifiables ou supprimables en cas de compromission. Exporter en temps réel vers un SIEM externe est critique : Microsoft Sentinel, Splunk, Wazuh, Graylog, Elastic Security ou un service managé MDR. Évenements à exporter en priorité : connexions console (succès, échecs), changements de configuration tenant, ajout/suppression d'utilisateur, modification MFA, exécution de scripts (avec contenu hashé), accès remote interactif (sessions ScreenConnect/MeshCentral), modification de politiques de patching, désactivation d'agent endpoint. Rétention minimale recommandée par ANSSI : 365 jours chaud + 5 ans froid pour les MSP gérant des OIV/OSE. La journalisation immuable s'obtient avec S3 Object Lock, Azure Blob immutable storage, ou Wazuh Indexer avec ILM en read-only post-écriture.

6. Contrôle 5 — Revue trimestrielle des scripts library

La library de scripts est l'arme la plus puissante d'un RMM — et la plus dangereuse. Un script PowerShell signé peut désinstaller un EDR, désactiver Defender, modifier ASR rules, exfiltrer des credentials LSASS, déployer un loader. Une revue trimestrielle structurée : (1) lister tous les scripts (custom + builtins), (2) vérifier signature + auteur dernier modification, (3) lire le contenu (au moins ceux modifiés au trimestre), (4) identifier scripts contenant Invoke-WebRequest, iex, DownloadString, WMI Win32_Process, SeImpersonate, accès LSASS ou Defender, (5) déprécier scripts non utilisés depuis 6 mois, (6) consigner la revue en PV horodaté contre-signé par le responsable sécurité. Pour les MSP matures : versionner les scripts dans un Git interne avec PR review obligatoire avant publication dans la library RMM.

7. Contrôle 6 — Segmentation stricte des tenants clients

Un RMM informatique mature héberge des dizaines de tenants clients. La segmentation doit garantir qu'un script déployé pour le client A ne touche jamais le client B. Vérifications : (1) chaque endpoint est rattaché à un et un seul tenant, (2) les groupes d'endpoints ne traversent jamais les frontières tenants, (3) les schedulers de scripts ciblent toujours un tenant explicite (jamais all clients), (4) les credentials machine sont stockés par tenant et chiffrés séparément, (5) les sessions remote sont audit-traceable par tenant et par technicien. Test périodique : tentative d'exécution croisée tenants par un compte technicien — l'attendu est un refus avec log d'alerte. NinjaOne, ConnectWise, Datto et N-able passent ce test ; Atera et Action1 demandent une configuration manuelle stricte.

8. Contrôle 7 — Hardening des agents endpoint

L'agent RMM sur l'endpoint est un service privilégié (SYSTEM/root) qui exécute des commandes envoyées par la console. Trois hardening clés : (1) vérification de signature de l'agent à l'installation et à chaque update (binaire signé éditeur, hash vérifié contre référentiel) ; (2) communication agent → serveur uniquement, jamais l'inverse (l'agent pull les commandes via long-polling ou WebSocket, le serveur ne push pas directement) ; (3) certificate pinning sur le canal TLS quand supporté par l'éditeur (NinjaOne et Datto le proposent). Côté Windows : protéger le service contre la désinstallation par utilisateur local (tamper protection), restreindre la modification de la clé Registry, et alerter sur arrêt du service. Côté Linux/macOS : intégrité service via systemd hardening (ProtectSystem=strict, NoNewPrivileges=true) et alerte sur kill du process.

9. Contrôle 8 — VPN technicien dédié + PAW

Les techniciens accèdent à la console RMM, à l'EDR client, au PSA, à la documentation, à la messagerie depuis un seul et même poste — typiquement un laptop Windows ou Mac avec navigateur et outils standards. C'est la plus grosse erreur architecturale des MSP. Recommandation : un PAW (Privileged Access Workstation) physique ou virtuel dédié aux opérations privilégiées (RMM, EDR, ScreenConnect, Active Directory clients), accessible uniquement via VPN MSP (WireGuard, Tailscale Business, Pangolin, Cloudflare Access). Sur ce PAW : navigation web restreinte à une allowlist (consoles fournisseurs), pas d'email personnel, pas d'applications grand public, lecteur USB désactivé, BitLocker activé, audit complet logs vers SIEM. Coût : un Windows 11 Pro VM dans Azure ou Proxmox avec image durcie, 15-30 €/mois/technicien — négligeable comparé au risque.

10. Contrôle 9 — Rotation et coffre-fort des credentials machines

Le RMM stocke des centaines de credentials : comptes locaux Windows, admin domaine client, comptes ESXi, comptes pfSense, comptes Synology, comptes Office 365 admin de transition. Ces credentials sont chiffrés dans la base RMM (côté éditeur en SaaS), mais accessibles en clair à tout admin du tenant via la console. Trois recommandations : (1) déporter les credentials sensibles vers un PAM externe (CyberArk Privilege Cloud, Bravura Security, Delinea Secret Server, ITGlue/Hudu, ou pour les petits MSP : Bitwarden Business + intégration via API key éphémère) ; (2) rotation trimestrielle des credentials machine via script automatique ; (3) JIT access sur les credentials privilégiées — un technicien doit demander l'accès, sa requête est journalisée, expiration auto en 4h max.

11. Contrôle 10 — Détection des bypass MFA

Même avec MFA activé, des techniques de contournement existent : AiTM phishing (Evilginx, Modlishka, Tycoon 2FA), vol de cookies de session via infostealer (Redline, Lumma), abuse de fonctionnalités remember this device, exploitation de comptes service sans MFA. La détection passe par : (1) corrélation impossible travel entre événements de login dans le SIEM ; (2) alerte sur connexion depuis un nouveau device avec MFA validée silencieusement ; (3) inspection des cookies de session côté EDR pour repérer une exfiltration via processus non-navigateur ; (4) hardening de l'IdP avec policies token binding, device compliance check, continuous access evaluation. Voir EvilGinx 2026 : Phishing AiTM, Bypass MFA & Défense SOC.

12. Contrôle 11 — Surveillance supply chain RMM

Le RMM étant lui-même une dépendance critique, surveiller l'éditeur : (1) abonnement aux security advisories de l'éditeur, (2) monitoring du Security Page (NinjaOne Security Center, ConnectWise Trust Center, Datto Trust portal), (3) alerte sur publications CVE concernant l'éditeur (CVE-Search, Vulners), (4) suivi des incidents publics (status page, communications presse), (5) clauses contractuelles : SLA notification < 24h en cas d'incident, droit d'audit, accès aux rapports SOC 2 Type II et ISO 27001. Construire un plan de continuité RMM : si l'éditeur est compromis, comment basculer en 72h vers un RMM secondaire (idéalement déjà déployé en mode dormant) ou un mode de gestion dégradé (PowerShell remoting + ScreenConnect autonome).

13. Contrôle 12 — Pentest annuel du RMM en mode hybride

Une fois les 11 premiers contrôles en place, valider la posture par un pentest annuel ciblé RMM. Périmètre : (1) test de phishing AiTM contre les comptes techniciens, (2) tentative de compromise de la console via credentials stuffing dataset, (3) test de bypass MFA (Modlishka/Evilginx en lab), (4) tentative d'élévation de privilèges depuis un compte T2 vers T0, (5) tentative d'exfiltration des credentials machines, (6) audit configuration tenants (cloisonnement, RBAC), (7) revue scripts library (search secrets, search anomalies), (8) test de basculement en mode dégradé. Livrables : rapport technique anonymisé, plan de remédiation priorisé, scénario de remédiation testé. Budget indicatif : 8 000 à 22 000 € HT pour un MSP 5-50 techniciens. Voir Pentest interne 2026 : Méthodologie & Livrables.

Sources : ANSSI guide PSSI MSP édition 2025 ; CISA Joint Cybersecurity Advisory AA24-313A (MSP) ; CrowdStrike Global Threat Report 2026 ; NIST SP 800-63B révision 4 ; Microsoft Defender Security Operations Guide v3.

13. Articulation avec NIS2, DORA et ISO 27001 — comprendre les obligations 2026

Le sujet du rmm informatique s'inscrit en 2026 dans un cadre réglementaire européen et français dense qui structure les obligations des organisations. Trois textes majeurs encadrent désormais la posture cyber. (1) Directive NIS2 (UE 2022/2555) transposée en droit français par la loi de novembre 2024 — élargit considérablement le périmètre par rapport à NIS1 : passage de ~300 à ~10 000 entités françaises classées soit Entités Essentielles (EE), soit Entités Importantes (EI). Les obligations centrales (article 21.2) incluent l'analyse de risques annuelle, la gestion des incidents avec notification ANSSI < 24h, la continuité d'activité, la sécurité de la chaîne d'approvisionnement, la sécurité de l'acquisition/développement/maintenance, l'évaluation de l'efficacité, la formation cyber, les politiques cryptographie et contrôle d'accès, l'authentification multifacteur. Les pratiques liées à RMM informatique et la sécurisation des outils de supervision MSP touchent directement plusieurs de ces obligations. (2) Règlement DORA (UE 2022/2554) applicable depuis janvier 2025 — concerne les entités financières (banques, assurances, sociétés de gestion, fintechs). Cinq piliers : gestion des risques ICT, gestion des incidents, tests de résilience opérationnelle (TLPT triennal pour entités critiques), gestion des risques tiers ICT, échange d'informations. (3) ISO 27001:2022 — norme internationale du SMSI avec 10 clauses de management et 93 contrôles Annexe A organisés en 4 thèmes : organisationnel, personnel, physique, technologique. La certification ISO 27001 fournit un cadre robuste qui couvre l'essentiel des exigences NIS2 et DORA, avec mapping documenté. Voir ISO 27001:2022 Guide Complet Certification Expert et NIS2, DORA et RGPD : Cartographie des Exigences Croisées.

14. KPI et indicateurs de pilotage — mesurer l'efficacité

Au-delà de la mise en œuvre initiale, le pilotage des sujets relatifs au rmm informatique exige des indicateurs mesurables et révisés mensuellement ou trimestriellement. Cinq familles d'indicateurs structurent un tableau de bord cyber moderne 2026. (1) Couverture : pourcentage d'actifs couverts par la mesure (endpoints sous EDR, comptes en MFA, applications avec WAF, etc.) avec cible >= 95 % pour les mesures critiques. (2) Performance opérationnelle : MTTD (Mean Time To Detect) cible < 4h pour incident critique, MTTR (Mean Time To Respond) cible < 24h, taux de remédiation des vulnérabilités critiques dans le SLA (cible > 90 % patchés J+15 du Patch Tuesday). (3) Conformité : score d'audit interne ou externe (cible > 75/100), nombre de non-conformités majeures (cible 0 par trimestre), avancement plan d'action (cible > 80 % à 6 mois). (4) Maturité : score CMMI par domaine (Initial / Managed / Defined / Quantitatively Managed / Optimizing), évolution annuelle attendue +1 niveau par domaine prioritaire. (5) Risque résiduel : nombre de risques résiduels élevés non traités, valeur en € des risques résiduels selon analyse EBIOS RM, vraisemblance / gravité moyennes. Ces KPIs alimentent les revues de direction trimestrielles (ISO 27001 clause 9.3) et les rapports COMEX trimestriels. Voir Tableau de Bord KPI ISMS ISO 27004 : Excel.

15. Retour d'expérience terrain — 3 missions anonymisées

Trois cas concrets observés sur missions 2024-2026 illustrent les enjeux pratiques autour du rmm informatique. Cas A — ETI industrielle 1 800 postes multi-sites (anonymisée) : initiative de modernisation de la posture cyber lancée en 2024 à la demande du COMEX après tentative de ransomware (chiffrement partiel évité grâce à EDR). Périmètre : 5 sites France + 2 Allemagne, AD complexe avec 3 forêts, mix Windows/Linux/OT. Démarche : audit complet (12 jours), pentest externe + interne (15 jours), pentest applicatif sur 2 apps métier critiques (10 jours), plan d'action 18 mois. Investissement total accompagnement : 380 000 € HT sur 18 mois (audits + remédiation + formation). Résultats à 18 mois : score posture cyber passé de 48/100 à 84/100, certification ISO 27001 obtenue, posture NIS2 conforme, 0 incident critique post-remédiation. Cas B — PME services 220 salariés (anonymisée) : remplacement d'un ancien prestataire d'audit jugé trop superficiel, demande pour audit complet en première intention. Périmètre : 1 site principal + 3 antennes commerciales, M365 + AD basique, 1 application web SaaS interne. Démarche : audit cybersécurité PME 15 contrôles (8 jours), pentest externe léger (4 jours), accompagnement remédiation 60 jours. Investissement : 22 000 € HT total. Résultats : MFA déployée 100 %, EDR en place sur 100 %, sauvegardes 3-2-1 testées trimestriellement, conformité cyber-assurance obtenue avec réduction de prime 18 %. Cas C — Collectivité 8 000 agents (anonymisée) : préparation à homologation RGS renforcée d'une plateforme de téléservices avec 1,2 M usagers. Périmètre : portail web, back-office, base de données, intégrations multiples (FranceConnect, INSEE, ANTAI). Démarche : analyse EBIOS RM (3 mois), audit PASSI architecture + configuration + tests d'intrusion (6 semaines), constitution dossier d'homologation, commission, signature. Investissement : 145 000 € HT. Résultats : homologation niveau renforcé délivrée fin 2025, validité 3 ans avec revue annuelle, intégration smooth avec FranceConnect+, fréquentation usagers en croissance +27 %.

16. Erreurs fréquentes et bonnes pratiques 2026

Six erreurs récurrentes observées sur les sujets liés au rmm informatique en 2024-2026, et leurs contournements. Erreur 1 — démarrage sans cadrage : se lancer dans la mise en œuvre sans phase préalable d'analyse de contexte, d'inventaire et de cartographie. Conséquence : périmètre mal défini, budget dérapant, livrable inadapté. Bonne pratique : 5-10 % du temps total en cadrage, ateliers contradictoires avec parties prenantes, RACI clair. Erreur 2 — copier-coller des bonnes pratiques sans adaptation : appliquer une checklist générique sans contextualiser à la taille, secteur, contraintes de l'organisation. Conséquence : surinvestissement ou sous-investissement, démotivation équipe. Bonne pratique : référentiel proportionné au profil (CIS Implementation Group 1 pour PME, IG2 pour ETI, IG3 pour grands comptes). Erreur 3 — focus sur l'outil au détriment du processus : acheter une solution technique (EDR, SIEM, IAM) sans définir au préalable les processus opérationnels et les rôles. Conséquence : outil sous-exploité, alertes ignorées, ROI faible. Bonne pratique : processus avant outil, formation équipes, runbooks documentés. Erreur 4 — absence de plan post-projet : finaliser la mise en œuvre sans plan de continuité opérationnelle, de revue périodique, de mise à jour. Conséquence : dérive lente de la posture, retour à l'état initial en 12-24 mois. Bonne pratique : plan annuel de mise à jour, revue trimestrielle KPI, audit annuel externe. Erreur 5 — sous-estimation de la conduite du changement : déployer techniquement sans accompagner les utilisateurs et opérationnels. Conséquence : résistance, contournements (post-it mots de passe, désactivation MFA, etc.). Bonne pratique : 15-25 % du budget projet en communication, formation, support. Erreur 6 — pas d'évaluation indépendante : s'auto-évaluer sans regard externe critique. Conséquence : angle mort persistants, biais de confirmation. Bonne pratique : audit externe annuel par prestataire différent de l'intégrateur, alternance des auditeurs tous les 2-3 ans.

17. Écosystème des acteurs cyber français 2026

L'écosystème cyber français en 2026 comporte plusieurs catégories d'acteurs complémentaires à mobiliser selon les besoins liés au rmm informatique. (1) Cabinets de conseil cyber généralistes : Big 4 (Deloitte, EY, KPMG, PwC), Capgemini, Sopra Steria, Atos Eviden, Wavestone, Mazars, Beijaflore. Forces : couverture globale, références grands comptes, méthodologies normalisées. Limites : prix élevés, parfois trop pyramidal. (2) Cabinets cyber spécialisés : Synacktiv, Wallix, Stormshield Audit, Almond, Devoteam Cyber Trust, Wavestone Cybersecurity, Algosecure, Itrust, HarfangLab Services, et acteurs régionaux. Forces : expertise technique pointue, agilité, prix compétitifs. Limites : ressources limitées sur très gros projets. (3) Cabinets d'expertise pure-players souvent < 30 consultants, spécialisés (AD, cloud, OT, IA security) — typiquement ce que nous représentons. Forces : profondeur d'expertise, contact direct expert, flexibilité. Limites : capacité limitée projet très grande taille. (4) MSSP et MDR managés : Orange Cyberdefense, Thales Cyber Solutions, Atos Big Fish, Sopra Steria CyberSecurity Services. Forces : opérations 24/7, SLA, mutualisation. (5) Solutions software éditeurs : Wallix (PAM), Stormshield (UTM), Tehtris (XDR), HarfangLab (EDR), Datadog (observability), Snyk (DevSecOps). (6) Acteurs publics : ANSSI (autorité nationale), CERT-FR, Cybermalveillance.gouv.fr, France 2030 / Plan France Relance cyber, BPI France Diag Cyber, régions (BoosterCyber Île-de-France). (7) Communautés et écosystème : Clusif, Hexatrust, FIC (Forum International de la Cybersécurité, devenu InCyber Forum), Le Hack, BSides Paris, OSSIR, Cesin. Construire un écosystème de prestataires complémentaires plutôt que dépendre d'un acteur unique réduit le risque et améliore la couverture expertise.

FAQ

Combien de temps prend une sécurisation complète d'un RMM informatique ?

Pour un MSP français de 5-15 techniciens et 500-2 000 endpoints supervisés, la mise en œuvre complète des 12 contrôles s'étale sur 4 à 8 semaines. Phase 1 (urgence) : MFA + IP allowlist + revue comptes en 5 jours. Phase 2 (structure) : RBAC + journalisation SIEM + PAW en 3 semaines. Phase 3 (excellence) : PAM externe + pentest + plan continuité en 4 semaines.

Quel SIEM choisir pour exporter les logs RMM ?

Pour un MSP <300 endpoints supervisés : Wazuh auto-hébergé (gratuit, open source) ou Microsoft Sentinel en mode pay-as-you-go (50-200 €/mois). Pour 300-3000 endpoints : Sentinel ou Splunk Cloud (1 000-5 000 €/mois). Pour > 3 000 endpoints : Splunk Enterprise, Elastic Security ou Wazuh Cluster avec ingénierie dédiée. Voir Audit de Sécurité Cloud.

Le RMM open source Tactical RMM est-il sécurisable au même niveau ?

Oui, avec plus d'efforts. Tactical RMM (Python/Django/Vue.js, MIT license) supporte MFA TOTP natif, RBAC, journalisation, signature des scripts. Avantages : code auditable, déploiement on-premise souverain, pas de tenant partagé. Inconvénients : maintenance, patching et hardening reposent sur l'équipe interne (charge équivalente à 0,3-0,5 ETP). Recommandé pour MSP techniques < 1 000 endpoints ou DSI internes.

Quelles sont les obligations NIS2 spécifiques aux MSP en France ?

La directive NIS2 (UE 2022/2555) classe les MSP comme entités importantes au sens de l'annexe II. Obligations : analyse de risques annuelle, MFA sur tous les accès admin, journalisation 365 jours, plan de gestion d'incidents, notification ANSSI < 24h en cas d'incident significatif, formation cyber pour techniciens. Pour les MSP servant OIV/OSE : exigences renforcées + qualification PASSI recommandée. Voir Qualification PASSI ANSSI.

Faut-il assurer son MSP contre les risques RMM ?

Oui, fortement recommandé. Souscrire une cyber-assurance professionnelle couvrant : responsabilité civile pro étendue (préjudices clients en cascade), frais de remédiation, frais juridiques, perte d'exploitation. Plafonds usuels : 2-10 M€ selon CA et taille. Préalables exigés par les assureurs en 2026 : MFA sur 100 % comptes, EDR sur 100 % endpoints, sauvegardes immutables 3-2-1, audit cyber < 24 mois, plan de continuité testé.

Pour aller plus loin

• Top 10 Outils RMM 2026 : Comparatif MSP & Sécurité
• ConnectWise Templates Cybersec MSP 2026 : Hardening
• MSP : faille en cascade et attaques 2026
• MFA résistant au phishing : FIDO2, Passkeys et au-delà
• EvilGinx 2026 : Phishing AiTM, Bypass MFA & Défense SOC
• Notre service Audit Cybersécurité MSP