Au sein d'un système d'information, il peut exister des éléments critiques. C'est-à-dire des programmes, des machines, des utilisateurs, ou encore des fichiers, dont la compromission menace toute l'entreprise.
Par exemple, si vous êtes une petite entreprise de 30 personnes et que vous avez 1 responsable informatique. Ce responsable gère les ordinateurs de tout le monde. Il peut y installer des programmes. Il gère aussi l'allocation des accès ("il faudrait que tu donnes l'accès à Jeanne au dossier Compta stp"). Il octroie des comptes sur le VPN permettant de se connecter à distance. Il possède un accès administrateur sur la console Office365, permettant notamment de voir les courriels de n'importe quelle boite de messagerie (celle du patron, de la RH, etc). Bon ben le compte utilisateur de ce responsable informatique est un Point Unique de Défaillance : s'il est compromis par un pirate (qui découvre son mot de passe), ce dernier peut, par rebond, compromettre tout le reste de l'entreprise : accéder aux courriels de tout le monde, accéder à tous les dossiers, poser des mouchards sur les ordinateurs, etc.

On utilise plus souvent le terme anglais pour parler de ce concept : Single Point of Failure, qu'on abrège en SPOF.
Avoir un SPOF, c'est avoir un élément dont la perte seule est suffisante pour menacer (par rebond) toute l'entreprise. Compromettre cette élément, c'est équivalent à compromettre l'entreprise.
Donc évidemment c'est super intéressant pour les pirates : il suffit de trouver une seule vulnérabilité importante sur cet élément et on gagne instantanément (ou disons avec très peu d'étapes supplémentaires) les clés de tout le chateau.

Les SPOF les plus fréquents sont :

• un employé clé : si je soudoie votre administrateur, je peux faire ce que je veux dans votre réseau ;
• un compte utilisateur : si je trouve le mot de passe du compte de votre administrateur je peux faire ce que je veux ;
• un ordinateur : si le poste de votre administrateur utilise une version de Windows qui est affectée par une vulnérabilité, je peux compromettre ce poste, puis espionner ce que votre administrateur tape au clavier dessus, comme ça je récupère son mot de passe et je fais ce que je veux ;
• un programme : énormément d'entreprise utilise le logiciel Active Directory de Windows, qui permet de fédérer toutes les machines de manière pratique. Sauf qu'il suffit de trouver une seule vulnérabilité grave dans ce programme, pour pouvoir devenir soi même administrateur ;
• un disque dur : par exemple celui où sont stockées toutes les sauvegardes de l'entreprise. Si j'ouvre ces sauvegardes j'ai instantanément accès à toutes les données et à tous les mots de passe enregistrés ;
• un lieu :  si je peux physiquement accéder à la salle où sont situés vos serveurs, je peux les modifier pour en devenir administrateur ;
• etc.

Notons que les SPOF ne sont pas forcément des éléments aussi techniques que ceux-là. 
Si vous êtes un cabinet comptable, accéder seulement à votre logiciel de comptabilité (même si par ailleurs on n'est administrateur de rien sur la partie informatique) peut suffire à compromettre votre activité.
Si vous êtes une entreprise qui fabrique un produit très demandé, accéder au fichier qui détaille le secret de fabrication peut suffire à couler la boite.
Le plus dangereux c'est qu'on ne connait que trop rarement tous les SPOF de notre système d'information.

Quand une entreprise est petite, elle est, par nature, blindée de SPOF (tout et tout le monde est presque irremplaçable).
Quand elle grossit, elle cherche progressivement à les éliminer. Justement pour ne pas pouvoir être trop facilement compromise. Cela passe par le fait de redonder les fonctions critiques, de mettre en place de la contre-vérification, etc.
La montée en maturité en cybersécurité passe forcément par l'identification et la résorption de ses SPOF.