Schéma de l'épiphanie de mission, PC client en atelier connecté au réseau interne de l'entreprise
Le schéma qu'on a posé en restitution : aucune barrière entre l'atelier où passent les PC inconnus et le réseau qui contient l'ERP, les fichiers clients, le NAS et l'Active Directory.
TL;DR du cas

Contexte : PME informatique en PACA, 15 salariés, double activité revente et atelier. Vulnérabilités : segmentation réseau inexistante (PC client en réparation sur le même VLAN que les serveurs métier), 12 ports inutiles ouverts en façade (RDP, ancien webmin, vieux Samba), 7 logiciels métier obsolètes avec CVE critiques publiques, mots de passe partagés par post-it. Remédiation : segmentation VLAN (atelier / bureaux / serveurs), fermeture des ports inutiles, plan de mise à jour, déploiement de KeePass équipe. Délai : 6 semaines, budget mineur, effet majeur sur la posture.

Le contexte

Une PME informatique des Alpes-Maritimes, environ 15 salariés. Deux activités complémentaires : revente de matériel (postes, serveurs, accessoires) pour des clients TPE/PME locales, et service de réparation en atelier pour des PC particuliers et professionnels. L'entreprise existe depuis une quinzaine d'années, le SI s'est construit par couches successives, sans schéma directeur, et il n'y a personne en interne qui ait le temps ou la mission de faire l'inventaire des risques cyber.

L'audit est commandé suite à un quasi-incident chez un confrère local — une PME informatique voisine s'est fait ransomwarée à la même période, payée la rançon (15 000 €), et l'histoire a circulé dans le tissu local. Le dirigeant veut savoir où il en est, sans présupposé.

Périmètre cadré : audit infrastructure (réseau, serveurs, postes), revue des accès distants, audit organisationnel léger (gestion des mots de passe, procédures de prise en main de PC client). Pas de pentest applicatif, pas de Red Team. 5 jours-homme étalés sur 2 semaines.

Jour 1 : cartographie et premiers signaux faibles

Première demi-journée sur place : inventaire physique, photo du baie réseau, schéma du câblage, lecture rapide de la config du firewall périmétrique et du switch principal. À ce stade, on cherche les signaux faibles, pas encore les vulnérabilités confirmées.

Trois signaux émergent rapidement :

Jour 2 : la confirmation qui glace

Avec l'autorisation écrite du dirigeant, on simule une situation très simple : un PC client en réparation, branché au réseau atelier comme c'est l'usage chez eux (« on a besoin de le tester, qu'il prenne une IP, qu'il accède à Internet pour faire les mises à jour »). On utilise un poste de test apporté pour la mission, qui simule le PC client inconnu.

Une fois branché et IP attribuée par le DHCP du switch, on lance un simple scan réseau interne avec nmap. Réponse en quelques secondes :

En clair, n'importe quel PC client en réparation, posé sur la table d'atelier pendant que le technicien va chercher un café, avait tous les voyants verts pour atteindre le cœur du SI métier. Une éventuelle compromission d'un PC client (rançongiciel dormant, malware, post-infection client précédent qui « ressort » dès qu'on rebranche le poste au réseau) se serait propagée immédiatement à toute l'infrastructure de la PME.

Jour 2 (suite) : les autres trouvailles

Scan externe depuis Internet :

Audit des serveurs internes : 7 logiciels métier dont les versions installées sont 18 à 30 mois en retard sur les patchs critiques. Antivirus présent mais consoles non centralisées, donc impossible de savoir à un instant T si tous les postes sont à jour. Backup quotidien actif mais jamais testé en restauration depuis 3 ans.

Le rapport et la restitution

Rapport double : une synthèse pour le dirigeant (6 pages, sans jargon, classée par criticité business), et un rapport technique pour le prestataire IT régulier de la PME (qui assurera la mise en œuvre). Restitution orale en présentiel sur 2 heures avec le dirigeant, le responsable atelier, et le prestataire IT externe.

Le moment le plus parlant de la restitution : la démo en direct du scan réseau depuis la zone atelier. Quand le dirigeant a vu apparaître sur l'écran le nom des serveurs, des contrats clients accessibles, et son propre compte admin listé, l'urgence du dossier s'est dessinée en 30 secondes.

La remédiation, en 3 leviers principaux

Schéma de la nouvelle segmentation VLAN, atelier isolé, bureaux et serveurs séparés, firewall entre les VLAN
La cible : 3 VLAN cloisonnés, communication contrôlée par firewall avec un principe de deny par défaut, et exposition Internet drastiquement réduite.

Levier 1 : segmentation réseau. Création de 3 VLAN sur le switch principal :

Le firewall entre les VLAN applique une règle simple : tout ce qui n'est pas explicitement autorisé est bloqué. Le Wi-Fi guest est mis sur un 4ème VLAN encore plus isolé, sans accès au reste.

Levier 2 : durcissement de l'exposition Internet. Fermeture des 5 ports critiques (RDP, Webmin, Samba, NextCloud V22, FTP) en façade. Mise en place d'un VPN OpenVPN pour les rares accès distants légitimes (le dirigeant et 2 commerciaux), avec authentification multi-facteur. Plan de mise à jour des 7 logiciels métier sur 4 semaines, priorisé par CVSS. Sauvegardes testées en restauration tous les mois (planifié et exécuté).

Levier 3 : gestionnaire de mots de passe d'équipe. Déploiement de KeePass partagé via le serveur de fichiers interne, avec une base par périmètre fonctionnel (admin SI, commercial, atelier). Suppression de tous les post-it. Génération de mots de passe forts (25+ caractères, aléatoires) pour tous les comptes admin et tous les comptes de service. Procédure de rotation à la sortie d'un collaborateur.

Coffre KeePass partagé d'équipe, fin des post-it et mots de passe forts par compte
Le coffre KeePass partagé : fin des mots de passe griffonnés, traçabilité des accès, rotation possible en 5 minutes le jour où un salarié quitte la PME.

Délai et budget

Tout déployé en 6 semaines. Décomposition :

Budget total complémentaire (hors audit HackHeart) : moins de 3 000 € HT, étalés sur 6 semaines. À comparer aux 15 000 à 80 000 € d'une rançon ransomware moyenne sur une PME française en 2024-2026, sans compter l'arrêt d'activité (5 à 21 jours d'inactivité en moyenne) et la perte de confiance des clients qui constateraient la fuite de leurs données.

Ce que cette mission illustre

1. Les vulnérabilités les plus graves sont souvent les plus simples. Aucune des failles identifiées chez cette PME ne demandait un attaquant sophistiqué. Un simple branchement réseau, un nmap, ou un scan Internet public révélaient l'ensemble. Le problème n'était pas la technique, c'était l'absence d'œil extérieur pour les voir.

2. Une PME informatique n'est pas immunisée. Cette structure VEND de l'informatique et de la maintenance à ses propres clients. Elle a pourtant les mêmes angles morts qu'une PME de menuiserie ou de comptabilité. La compétence technique sur le métier ne se traduit pas mécaniquement en compétence cyber sur sa propre infrastructure.

3. La remédiation a été rapide et peu coûteuse — parce qu'elle a été cadrée. Sans le rapport priorisé qui distinguait l'urgent (segmentation, fermeture des ports critiques) du tactique (mises à jour étalées, KeePass), le dirigeant aurait pu être tenté de tout faire à la fois et de tout casser. La méthode change le résultat.

Faites auditer votre SI avant qu'un attaquant le fasse

Audit infrastructure PME : réseau, serveurs, segmentation, exposition Internet, comptes admin, sauvegardes. Intervention présentiel PACA. À partir de 3 500 € HT.