PME « ABC SARL » — Réalisé le 25/06/2026
Le réseau de cette entreprise est accessible depuis Internet via plusieurs points d'entrée non protégés. Un attaquant pourrait :
| Équipement | Risque | Statut |
|---|---|---|
| Routeur Orange Livebox 6 | UPnP activé, administration à distance possible | À risque |
| Switch Netgear GS108 | Configuration par défaut, pas de segmentation VLAN | À risque |
| NAS Synology DS220+ | Accessible depuis Internet (port 5001 ouvert) | Critique |
| PC Administratif (Windows 11) | Bureau à distance (RDP) ouvert sur le LAN | À risque |
| Wi-Fi professionnel | WPA2-PSK, pas de séparation invité/pro | À risque |
Concrètement : Le port 5001 (interface d'administration du NAS) est directement ouvert sur Internet via une redirection de port sur la Livebox. N'importe qui peut tenter de se connecter depuis l'extérieur.
Impact : Vol de toutes les données de l'entreprise (factures, contrats, fichiers clients). Un NAS non mis à jour peut être piraté en quelques minutes.
Concrètement : Le PC administratif a le Bureau à distance activé sans authentification réseau (NLA). Un employé malveillant ou un virus sur un autre poste peut prendre le contrôle.
Impact : Un pirate peut voir l'écran en temps réel, voler des fichiers, installer un rançongiciel.
Concrètement : Un seul réseau Wi-Fi pour tout le monde : employés, clients, fournisseurs. Tout le monde est sur le même réseau que les ordinateurs professionnels.
Impact : Un client connecté au Wi-Fi peut tenter de pirater les autres machines sur le réseau. Un fournisseur malveillant peut intercepter les données.
Concrètement : UPnP permet aux appareils du réseau d'ouvrir automatiquement des ports sur la box. Un logiciel malveillant sur un poste peut ouvrir une porte dérobée vers Internet.
Impact : Un virus peut s'ouvrir un accès distant vers Internet sans que personne ne le remarque.
Concrètement : Les employés peuvent accéder à n'importe quel site, y compris les sites de phishing ou de téléchargement illégal.
Concrètement : Les journaux de connexion sont sur chaque machine individuellement. Impossible de retracer une attaque après coup.
Le nom du réseau Wi-Fi ("ABC-SARL-WIFI") permet d'identifier facilement l'entreprise et de cibler une attaque.
Désactiver la redirection de port 5001. Installer un VPN pour l'accès distant.
Fermer les brèches potentielles et protéger l'accès au PC administratif.
Isoler le trafic invité du trafic professionnel.
Mettre en place un suivi régulier de la sécurité réseau.