DÉMONSTRATION

Rapport d'audit — Sécurité réseau

PME « ABC SARL » — Réalisé le 25/06/2026

Client : ABC SARL (démonstration)
Type d'audit : Audit réseau interne + externe
Outils : Nmap, Wireshark, OpenVAS
Référence : RAP-2026-003
7
Vulnérabilités
1
Critique
3
Élevées
2
Moyennes
1
Faible

Résumé pour le chef d'entreprise

Le réseau de cette entreprise est accessible depuis Internet via plusieurs points d'entrée non protégés. Un attaquant pourrait :

Équipements et configuration

ÉquipementRisqueStatut
Routeur Orange Livebox 6UPnP activé, administration à distance possibleÀ risque
Switch Netgear GS108Configuration par défaut, pas de segmentation VLANÀ risque
NAS Synology DS220+Accessible depuis Internet (port 5001 ouvert)Critique
PC Administratif (Windows 11)Bureau à distance (RDP) ouvert sur le LANÀ risque
Wi-Fi professionnelWPA2-PSK, pas de séparation invité/proÀ risque
Critique

1. NAS Synology accessible depuis Internet

Concrètement : Le port 5001 (interface d'administration du NAS) est directement ouvert sur Internet via une redirection de port sur la Livebox. N'importe qui peut tenter de se connecter depuis l'extérieur.

Impact : Vol de toutes les données de l'entreprise (factures, contrats, fichiers clients). Un NAS non mis à jour peut être piraté en quelques minutes.

Recommandation : Désactiver la redirection de port. Utiliser un VPN (ex: WireGuard) pour l'accès distant sécurisé.
Élevée

2. Bureau à distance (RDP) accessible sur le LAN

Concrètement : Le PC administratif a le Bureau à distance activé sans authentification réseau (NLA). Un employé malveillant ou un virus sur un autre poste peut prendre le contrôle.

Impact : Un pirate peut voir l'écran en temps réel, voler des fichiers, installer un rançongiciel.

Recommandation : Activer NLA, changer le port RDP par défaut, ou utiliser un logiciel dédié (AnyDesk, TeamViewer).
Élevée

3. Wi-Fi unique sans séparation (invité/pro)

Concrètement : Un seul réseau Wi-Fi pour tout le monde : employés, clients, fournisseurs. Tout le monde est sur le même réseau que les ordinateurs professionnels.

Impact : Un client connecté au Wi-Fi peut tenter de pirater les autres machines sur le réseau. Un fournisseur malveillant peut intercepter les données.

Recommandation : Activer le réseau invité de la Livebox pour séparer les clients des équipements pro.
Élevée

4. UPnP activé sur la Livebox

Concrètement : UPnP permet aux appareils du réseau d'ouvrir automatiquement des ports sur la box. Un logiciel malveillant sur un poste peut ouvrir une porte dérobée vers Internet.

Impact : Un virus peut s'ouvrir un accès distant vers Internet sans que personne ne le remarque.

Recommandation : Désactiver UPnP dans l'interface de la Livebox.
Moyenne

5. DNS non filtré

Concrètement : Les employés peuvent accéder à n'importe quel site, y compris les sites de phishing ou de téléchargement illégal.

Recommandation : Utiliser un DNS filtrant (OpenDNS Family Shield ou Norton ConnectSafe) pour bloquer les sites malveillants.
Moyenne

6. Pas de journalisation centralisée

Concrètement : Les journaux de connexion sont sur chaque machine individuellement. Impossible de retracer une attaque après coup.

Recommandation : Centraliser les logs sur le NAS ou un serveur dédié.
Faible

7. SSID du Wi-Fi contient le nom de l'entreprise

Le nom du réseau Wi-Fi ("ABC-SARL-WIFI") permet d'identifier facilement l'entreprise et de cibler une attaque.

Plan d'action prioritaire

1

Urgence (24h) — Retirer l'accès Internet au NAS

Désactiver la redirection de port 5001. Installer un VPN pour l'accès distant.

2

Urgence (48h) — Désactiver UPnP + sécuriser RDP

Fermer les brèches potentielles et protéger l'accès au PC administratif.

3

Important — Activer le Wi-Fi invité + changer le SSID

Isoler le trafic invité du trafic professionnel.

4

Souhaitable — Audit mensuel + DNS filtrant

Mettre en place un suivi régulier de la sécurité réseau.

← Retour au portfolio NovaSec