Contexte : PME informatique en PACA, 15 salariés, double activité revente et atelier. Vulnérabilités : segmentation réseau inexistante (PC client en réparation sur le même VLAN que les serveurs métier), 12 ports inutiles ouverts en façade (RDP, ancien webmin, vieux Samba), 7 logiciels métier obsolètes avec CVE critiques publiques, mots de passe partagés par post-it. Remédiation : segmentation VLAN (atelier / bureaux / serveurs), fermeture des ports inutiles, plan de mise à jour, déploiement de KeePass équipe. Délai : 6 semaines, budget mineur, effet majeur sur la posture.
Le contexte
Une PME informatique des Alpes-Maritimes, environ 15 salariés. Deux activités complémentaires : revente de matériel (postes, serveurs, accessoires) pour des clients TPE/PME locales, et service de réparation en atelier pour des PC particuliers et professionnels. L'entreprise existe depuis une quinzaine d'années, le SI s'est construit par couches successives, sans schéma directeur, et il n'y a personne en interne qui ait le temps ou la mission de faire l'inventaire des risques cyber.
L'audit est commandé suite à un quasi-incident chez un confrère local — une PME informatique voisine s'est fait ransomwarée à la même période, payée la rançon (15 000 €), et l'histoire a circulé dans le tissu local. Le dirigeant veut savoir où il en est, sans présupposé.
Périmètre cadré : audit infrastructure (réseau, serveurs, postes), revue des accès distants, audit organisationnel léger (gestion des mots de passe, procédures de prise en main de PC client). Pas de pentest applicatif, pas de Red Team. 5 jours-homme étalés sur 2 semaines.
Jour 1 : cartographie et premiers signaux faibles
Première demi-journée sur place : inventaire physique, photo du baie réseau, schéma du câblage, lecture rapide de la config du firewall périmétrique et du switch principal. À ce stade, on cherche les signaux faibles, pas encore les vulnérabilités confirmées.
Trois signaux émergent rapidement :
- Un seul VLAN sur tout le site. Tout est sur le même réseau plat : les serveurs, les postes bureautiques, l'imprimante, le Wi-Fi guest, et — c'est ce qui frappe — la zone atelier où des PC inconnus arrivent en permanence pour être diagnostiqués ou réparés.
- Une douzaine de ports apparemment ouverts sur Internet, à confirmer en scan externe.
- Plusieurs notes manuscrites collées aux écrans avec des identifiants : compte admin du serveur de fichier, accès au routeur, login d'un logiciel métier partagé. Symptôme évident d'absence de gestionnaire de mots de passe.
Jour 2 : la confirmation qui glace
Avec l'autorisation écrite du dirigeant, on simule une situation très simple : un PC client en réparation, branché au réseau atelier comme c'est l'usage chez eux (« on a besoin de le tester, qu'il prenne une IP, qu'il accède à Internet pour faire les mises à jour »). On utilise un poste de test apporté pour la mission, qui simule le PC client inconnu.
Une fois branché et IP attribuée par le DHCP du switch, on lance un simple scan réseau interne avec nmap. Réponse en quelques secondes :
- Le serveur de fichier de l'entreprise, ouvert en SMB sur le port 445, accessible.
- Le serveur SQL qui héberge la base client de l'ERP, ouvert sur le port 1433, accessible.
- Le contrôleur de domaine Active Directory, accessible sur tous les ports AD habituels.
- Le NAS de sauvegarde, accessible.
- L'imprimante multifonction qui contient l'historique des derniers fichiers scannés, accessible.
- Le routeur, accessible avec une interface d'admin sur l'IP de gateway.
En clair, n'importe quel PC client en réparation, posé sur la table d'atelier pendant que le technicien va chercher un café, avait tous les voyants verts pour atteindre le cœur du SI métier. Une éventuelle compromission d'un PC client (rançongiciel dormant, malware, post-infection client précédent qui « ressort » dès qu'on rebranche le poste au réseau) se serait propagée immédiatement à toute l'infrastructure de la PME.
Jour 2 (suite) : les autres trouvailles
Scan externe depuis Internet :
- RDP exposé sur le port 3389 vers le serveur de l'ERP (l'admin l'avait ouvert « pour pouvoir bosser de chez lui » pendant le Covid, jamais refermé).
- Webmin obsolète exposé sur 10000, version vulnérable à CVE-2019-15107 (RCE non authentifié, exploitation triviale).
- Samba exposé sur 139/445 vers Internet (oui, oui, le NAS de sauvegarde était joignable de partout dans le monde).
- NextCloud auto-hébergé en version 22 (les 23, 24, 25, 26 sont sorties depuis, plusieurs CVE corrigées entre).
- FTP en clair sur 21 (« pour qu'un fournisseur dépose ses fichiers »).
Audit des serveurs internes : 7 logiciels métier dont les versions installées sont 18 à 30 mois en retard sur les patchs critiques. Antivirus présent mais consoles non centralisées, donc impossible de savoir à un instant T si tous les postes sont à jour. Backup quotidien actif mais jamais testé en restauration depuis 3 ans.
Le rapport et la restitution
Rapport double : une synthèse pour le dirigeant (6 pages, sans jargon, classée par criticité business), et un rapport technique pour le prestataire IT régulier de la PME (qui assurera la mise en œuvre). Restitution orale en présentiel sur 2 heures avec le dirigeant, le responsable atelier, et le prestataire IT externe.
Le moment le plus parlant de la restitution : la démo en direct du scan réseau depuis la zone atelier. Quand le dirigeant a vu apparaître sur l'écran le nom des serveurs, des contrats clients accessibles, et son propre compte admin listé, l'urgence du dossier s'est dessinée en 30 secondes.
La remédiation, en 3 leviers principaux
Levier 1 : segmentation réseau. Création de 3 VLAN sur le switch principal :
- VLAN 10 — Atelier : isolé du reste du SI. Les PC clients en réparation ont accès à Internet (port 80/443 seulement, via le routeur) mais ne peuvent atteindre aucun serveur ou poste de l'entreprise. Si un PC client est infecté, l'infection reste contenue à ce VLAN.
- VLAN 20 — Bureaux : postes salariés authentifiés en AD. Accès contrôlé aux serveurs métier via règles firewall explicites (qui accède à quoi, qui n'accède pas).
- VLAN 30 — Serveurs : SI critique (ERP, AD, NAS, fichiers). Accès strict, journalisé, deny par défaut.
Le firewall entre les VLAN applique une règle simple : tout ce qui n'est pas explicitement autorisé est bloqué. Le Wi-Fi guest est mis sur un 4ème VLAN encore plus isolé, sans accès au reste.
Levier 2 : durcissement de l'exposition Internet. Fermeture des 5 ports critiques (RDP, Webmin, Samba, NextCloud V22, FTP) en façade. Mise en place d'un VPN OpenVPN pour les rares accès distants légitimes (le dirigeant et 2 commerciaux), avec authentification multi-facteur. Plan de mise à jour des 7 logiciels métier sur 4 semaines, priorisé par CVSS. Sauvegardes testées en restauration tous les mois (planifié et exécuté).
Levier 3 : gestionnaire de mots de passe d'équipe. Déploiement de KeePass partagé via le serveur de fichiers interne, avec une base par périmètre fonctionnel (admin SI, commercial, atelier). Suppression de tous les post-it. Génération de mots de passe forts (25+ caractères, aléatoires) pour tous les comptes admin et tous les comptes de service. Procédure de rotation à la sortie d'un collaborateur.
Délai et budget
Tout déployé en 6 semaines. Décomposition :
- Audit : 5 jours-homme HackHeart (commandés en amont).
- Reconfiguration switch et firewall : 2 jours du prestataire IT habituel, soit ~1 600 € HT.
- Mise à jour des logiciels obsolètes : 4 jours répartis sur 3 semaines (mise à jour, test de non-régression, mise en prod), avec un peu d'arrêt programmé hors heures de bureau.
- Mise en place VPN + MFA : 1 jour, OpenVPN gratuit en logiciel, MFA par application Microsoft Authenticator gratuite.
- KeePass : licence Free, déploiement en 2 heures, 1 atelier d'une heure de formation pour l'équipe.
Budget total complémentaire (hors audit HackHeart) : moins de 3 000 € HT, étalés sur 6 semaines. À comparer aux 15 000 à 80 000 € d'une rançon ransomware moyenne sur une PME française en 2024-2026, sans compter l'arrêt d'activité (5 à 21 jours d'inactivité en moyenne) et la perte de confiance des clients qui constateraient la fuite de leurs données.
Ce que cette mission illustre
1. Les vulnérabilités les plus graves sont souvent les plus simples. Aucune des failles identifiées chez cette PME ne demandait un attaquant sophistiqué. Un simple branchement réseau, un nmap, ou un scan Internet public révélaient l'ensemble. Le problème n'était pas la technique, c'était l'absence d'œil extérieur pour les voir.
2. Une PME informatique n'est pas immunisée. Cette structure VEND de l'informatique et de la maintenance à ses propres clients. Elle a pourtant les mêmes angles morts qu'une PME de menuiserie ou de comptabilité. La compétence technique sur le métier ne se traduit pas mécaniquement en compétence cyber sur sa propre infrastructure.
3. La remédiation a été rapide et peu coûteuse — parce qu'elle a été cadrée. Sans le rapport priorisé qui distinguait l'urgent (segmentation, fermeture des ports critiques) du tactique (mises à jour étalées, KeePass), le dirigeant aurait pu être tenté de tout faire à la fois et de tout casser. La méthode change le résultat.
Audit infrastructure PME : réseau, serveurs, segmentation, exposition Internet, comptes admin, sauvegardes. Intervention présentiel PACA. À partir de 3 500 € HT.