RDP sous feu : pourquoi les PME/ETI européennes ne peuvent plus déléguer leur sécurité d'accès distant à des solutions américaines

RDP : un protocole vieillissant devenu le vecteur d'entrée privilégié des attaquants

Le chiffre revient dans chaque rapport d'incident traité par les CERT européens en 2025-2026 : le protocole RDP (Remote Desktop Protocol) est impliqué dans une écrasante majorité des compromissions initiales touchant les PME/ETI. Ports exposés, mots de passe faibles, absence de MFA, sessions non monitorées — la surface d'attaque est connue, documentée, et pourtant toujours exploitée. Les attaquants, qu'ils opèrent des ransomwares ou des intrusions ciblées, n'ont pas besoin d'être sophistiqués : un scanner automatisé et une liste de credentials suffit.

Pour un DSI de PME ou d'ETI, le problème n'est pas technique dans sa compréhension. Il l'est dans sa résolution, surtout quand le parc d'accès distant repose sur des briques dont la gouvernance échappe à l'entreprise. C'est ici que la question souverainiste devient opérationnelle, pas idéologique.

Fermer l'exposition RDP directe sur Internet, imposer un bastion d'accès, segmenter les flux — ce triptyque de base est non négociable. Mais derrière chaque brique technique se pose la question du fournisseur : où sont journalisés les accès ? Qui peut légalement y accéder ? Sous quelle juridiction les logs transitent-ils ?

NIS2, DORA, Cloud Act : la conformité impose de choisir ses fournisseurs d'accès distant avec rigueur

Les directives NIS2 et DORA ne laissent plus de marge d'interprétation : la traçabilité des accès, la gestion des identités privilégiées et la capacité à auditer en temps réel les connexions distantes sont des exigences opposables. Un incident RDP non journalisé, ou dont les logs sont hébergés dans une infrastructure soumise au Cloud Act américain, expose l'entreprise à un double risque : sanction réglementaire et exfiltration de données sans notification possible.

Le Cloud Act autorise les autorités américaines à requérir des données hébergées par des acteurs américains, y compris hors du territoire américain. Une solution de bastion ou de gateway d'accès distant opérée par un acteur américain — même hébergée en région européenne — reste juridiquement exposée à cette extraterritorialité. Ce n'est pas une hypothèse d'école : c'est le cadre légal en vigueur.

Des acteurs européens proposent aujourd'hui des solutions de PAM (Privileged Access Management) et de bastion d'accès certifiées, hébergées sur infrastructure souveraine, auditables et conformes aux exigences NIS2. Wallix, éditeur français dont la solution est qualifiée ANSSI, est l'une des références du marché européen sur ce segment précis. Le sujet n'est pas de dresser un catalogue, mais de poser le principe : la sécurisation des accès distants est un périmètre où le choix du fournisseur a des conséquences réglementaires directes.

Pour le DSI, le message est simple : corriger RDP ne suffit pas. Il faut reconstruire la couche d'accès distant sur des fondations dont vous maîtrisez la chaîne de responsabilité juridique. En 2026, c'est une exigence de conformité autant qu'une posture de sécurité.