Points clés
- Le CIS (Center for Internet Security) publie des benchmarks de configuration pour plus de 100 types d'équipements réseau — leur vérification automatisée constitue un premier niveau de détection des configurations insuffisantes sans nécessiter de test de pénétration complet.
- Shodan, le moteur de recherche des appareils connectés, indexe en permanence les services exposés sur internet avec leurs versions logicielles et vulnérabilités connues — un outil utilisé par les équipes sécurité pour vérifier leur propre exposition et par les attaquants pour identifier leurs cibles.
- Le CERT-FR (France) a documenté en 2023 que 45 % des signalements d'incidents réseaux dans les organisations françaises impliquaient des services exposés sur internet qui n'étaient pas connus ou répertoriés par les équipes sécurité — le shadow IT réseau comme principal signal d'un réseau insuffisamment maîtrisé.
Identifier les signaux d'un réseau insuffisamment maîtrisé ne requiert pas un audit de sécurité complet : plusieurs indicateurs directement observables permettent d'évaluer rapidement si le niveau de maîtrise d'une infrastructure réseau correspond aux standards attendus. Ces signaux sont à la fois techniques (état des configurations, services exposés) et organisationnels (existence et application des procédures de gestion réseau).
Signaux techniques d'un réseau insuffisamment maîtrisé
Services exposés sur internet non inventoriés. Si une analyse externe du périmètre internet de l'organisation (scan de ports, vérification des DNS) révèle des services que l'équipe sécurité ne connaissait pas, c'est le signe que le réseau n'est pas maîtrisé. Chaque service exposé doit être documenté, justifié et surveillé.
Équipements réseau avec des versions obsolètes de firmware. La vérification des versions de firmware des appliances réseau (firewalls, switches managés, appliances VPN, routeurs) révèle régulièrement des équipements avec des versions ayant des CVE critiques non patchées. L'inventaire des versions de firmware avec croisement des bases de vulnérabilités est un signal direct sur le niveau de maîtrise.
Règles de firewall sans owner identifié et sans date d'expiration. Un audit des règles de firewall qui révèle des centaines ou milliers de règles sans documentation, sans owner identifié et sans revue récente est un signal d'une gestion réseau dégradée. Les règles de firewall doivent être documentées, justifiées et périodiquement révisées.
Authentification par mot de passe seul sur les équipements réseau. Les équipements réseau accessibles via SSH, console ou interface web avec une authentification par mot de passe simple (sans MFA, sans certificat) sont des cibles standard pour les attaques de credential stuffing et de force brute. Ce signal est facilement détectable lors d'un audit de configuration.
Signaux organisationnels d'un réseau insuffisamment maîtrisé
Les signaux organisationnels complémentaires incluent : absence d'inventaire réseau à jour (l'équipe ne peut pas répondre en moins d'une heure à "quels services sont exposés sur internet ?"), absence de processus de changement réseau documenté (des modifications de configuration sont réalisées sans ticket, sans approbation et sans validation post-changement), et absence de surveillance des logs des équipements réseau dans le SIEM (les équipements réseau génèrent des logs mais ceux-ci ne sont pas analysés).
Cas opérationnel : Akumin — services RDP exposés et ransomware (États-Unis, 2023)
Akumin, prestataire américain de services d'imagerie médicale, a subi en octobre 2023 une attaque ransomware qui a compromis les systèmes de 18 hôpitaux partenaires. L'investigation post-incident a révélé que le vecteur d'entrée était un service Remote Desktop Protocol (RDP) exposé directement sur internet sans MFA — un service créé lors d'une opération de maintenance et non documenté dans l'inventaire réseau. Ce service, non connu de l'équipe sécurité, avait été indexé par les scanners d'attaquants et exploité via credential stuffing. L'incident est un exemple canonique du signal "service exposé non inventorié" : un équipement hors de la connaissance de l'équipe sécurité qui devient le point d'entrée d'une attaque majeure.
Le catalogue CISA Known Exploited Vulnerabilities, maintenu en temps réel, liste les CVE activement exploitées dans la nature. Sur les 1 000+ CVE du catalogue, environ 25 % concernent des équipements réseau (Cisco, Fortinet, Palo Alto, Citrix, SonicWall). La présence d'équipements réseau vulnérables à des CVE du catalogue CISA KEV est l'un des signaux les plus fiables d'un réseau insuffisamment maîtrisé.
Le rapport ENISA Threat Landscape 2023 identifie les équipements réseau exposés non patchés comme la catégorie de vulnérabilités la plus exploitée dans les incidents documentés en Europe sur l'année. L'ENISA recommande comme premier signal d'évaluation d'un réseau la vérification des versions firmware de tous les équipements réseau périmétriques contre les bases de vulnérabilités — une mesure accessible sans outils spécialisés.
La Cyber Security Agency de Singapour a publié en 2023 les résultats d'une évaluation de la sécurité réseau de 150 PME singapouriennes. 73 % présentaient au moins un service exposé non documenté sur internet, 61 % avaient des équipements réseau avec des vulnérabilités critiques non patchées, et 48 % n'avaient pas de processus de revue périodique des règles de firewall — des proportions qui illustrent la prévalence des signaux de réseaux insuffisamment maîtrisés même dans une juridiction réputée pour sa maturité cybersécurité.