Points clés
- Le rapport SANS 2023 sur la sécurité réseau identifie l'absence de gestion des correctifs sur les équipements réseau (routeurs, switches, appliances VPN) comme la première source de vulnérabilités critiques dans les audits de sécurité — des équipements souvent oubliés dans les cycles de patching qui se concentrent sur les serveurs et postes de travail.
- Fortinet (UE/International, 2023) a révélé que plusieurs milliers de pare-feux FortiOS restaient vulnérables à CVE-2022-40684 (authentication bypass) plus de 12 mois après la publication du correctif — une erreur fréquente de gestion des correctifs sur les appliances réseau critiques.
- La compromission de Citrix NetScaler (CVE-2023-4966, "Citrix Bleed") a exposé des milliers d'organisations dont les appliances VPN n'avaient pas été patchées dans les semaines suivant la divulgation — illustrant que les équipements d'accès distants sont parmi les cibles les plus exploitées et les moins rapidement patchées.
Les erreurs dans la sécurisation des infrastructures réseau suivent des patterns documentés par les investigations post-incident et les audits de sécurité. Ces erreurs ne résultent généralement pas d'une ignorance des risques mais de contraintes opérationnelles (fenêtres de maintenance limitées, dépendances entre systèmes, peur des interruptions de service) qui retardent ou empêchent la mise en œuvre des contrôles appropriés.
Erreurs dans la gestion des équipements réseau
Appliances réseau non intégrées dans les cycles de patching. Les routeurs, switches managés, appliances VPN et firewalls physiques sont des équipements réseau qui contiennent des systèmes d'exploitation logiciels (IOS, FortiOS, PAN-OS, etc.) avec des vulnérabilités régulièrement publiées. Contrairement aux serveurs, ces équipements sont souvent exclus des processus de gestion des vulnérabilités parce qu'ils sont gérés par une équipe réseau distincte qui n'est pas intégrée dans les processus de patching IT.
Services et ports inutiles activés par défaut. Les équipements réseau sortent d'usine avec de nombreux services activés par défaut (Telnet, SNMP v1, HTTP non chiffré, interfaces de gestion sans MFA). Ces services par défaut, rarement nécessaires en production, élargissent la surface d'attaque si le durcissement initial (hardening) n'est pas systématiquement appliqué lors du déploiement.
Configuration trop permissive des règles de filtrage. Les règles de firewall tendent à s'accumuler et à s'élargir au fil des demandes d'ouverture pour les projets et les besoins opérationnels. Les révisions périodiques des règles pour identifier et supprimer les autorisations devenues inutiles sont rarement réalisées — créant un corpus de règles permissives dont personne ne connaît plus entièrement la justification.
Absence de surveillance sur les équipements réseau. Les logs des équipements réseau (syslog, SNMP traps, NetFlow) ne sont souvent pas centralisés dans le SIEM ou traités comme des sources de détection. Un attaquant qui configure une règle persistante dans un firewall ou installe une backdoor dans un routeur peut rester non détecté indéfiniment si les logs de ces équipements ne sont pas analysés.
Erreurs dans la gestion des accès distants
Les accès distants (VPN, RDP exposé, solutions de bureau à distance) concentrent plusieurs erreurs fréquentes : absence de MFA, utilisation de protocoles obsolètes (VPNs basés sur PPTP, SSL VPN sans vérification de l'état du terminal), accounts de service VPN avec des mots de passe non changés depuis des années, et absence de segmentation entre les zones accédées via VPN. Ces erreurs sont à l'origine d'une proportion disproportionnée des incidents documentés.
Cas opérationnel : Pulse Secure VPN — exploitation massive de zero-days (International, 2021)
En avril 2021, le CISA et le FBI américains ont publié une alerte conjointe documentant l'exploitation active de multiples vulnérabilités dans Pulse Secure VPN (CVE-2021-22893 et CVE-2019-11510 non patchée deux ans après sa publication) par des acteurs étatiques ciblant des agences gouvernementales, des contractants de défense et des entreprises financières. L'analyse post-incident a révélé que la majorité des organisations compromises utilisaient des versions vulnérables de Pulse Secure qui n'avaient pas été patchées malgré les alertes répétées des éditeurs et des CERT nationaux. La vulnérabilité CVE-2019-11510, vieille de deux ans lors de la campagne d'exploitation, avait été patchée mais des milliers d'organisations n'avaient pas déployé le correctif. L'incident illustre que les appliances VPN sont souvent les moins bien gérées dans les cycles de patching malgré leur exposition directe sur internet.
Une vulnérabilité critique dans les appliances F5 BIG-IP (CVSS 10.0) permettant l'exécution de code à distance via l'interface de gestion a été exploitée dans les 48 heures suivant sa publication. Les investigations post-incident ont révélé que la majorité des organisations compromises n'avaient pas intégré les appliances réseau dans leurs processus automatisés de gestion des vulnérabilités et avaient donc manqué les alertes de patch critique publiées par F5.
Une vulnérabilité zero-day dans les appliances Email Security Gateway de Barracuda Networks a été exploitée par un groupe lié à la Chine. L'ENISA a documenté plusieurs compromissions d'organisations européennes dont les appliances réseau Barracuda n'avaient pas été incluses dans les processus de supervision de sécurité. Barracuda a recommandé le remplacement (et non le patching) des appliances compromises — une mesure radicale qui illustre la difficulté de remédiation sur les équipements réseau profondément compromis.
La vulnérabilité "Citrix Bleed" a été exploitée dans de nombreuses organisations asiatiques dont les appliances NetScaler/ADC n'avaient pas été patchées dans les semaines suivant la divulgation. L'ACSC australienne et les CERT singapourien et japonais ont publié des alertes coordonnées documentant des compromissions actives, avec des recommandations sur l'audit des équipements réseau dans les cycles de patching prioritaire.