Quand on analyse regulierement les reseaux de petites et moyennes entreprises, on retrouve toujours les memes vulnerabilites. Non pas parce que l’informatique est mauvaise, mais parce que les priorites du quotidien prennent le dessus.
Voici les 10 vulnerabilites les plus frequentes qui apparaissent lors des scans de securite des reseaux de PME suisses — et ce que vous pouvez faire pour y remedier.
1. Logiciels obsoletes sans mises a jour de securite
Le probleme le plus courant, de loin. Windows Server 2012, PHP 7.4, Exchange 2013 — des systemes qui ne recoivent plus de correctifs. Ils continuent souvent a fonctionner de maniere fiable, mais ils sont ouverts aux attaques connues.
Que faire : Creer un inventaire de tous les systemes, verifier les dates de fin de support, planifier les migrations.
2. Acces RDP ouverts sur Internet
Le protocole Remote Desktop (port 3389) directement accessible depuis Internet — l’un des points d’entree les plus prises pour les attaques par ransomware.
Que faire : Rendre RDP accessible uniquement via VPN. Si ce n’est pas possible, activer au minimum l’authentification au niveau du reseau (NLA) et imposer des mots de passe forts.
3. Certificats SSL/TLS manquants ou mal configures
Certificats expires, versions TLS obsoletes (TLS 1.0, 1.1), suites de chiffrement faibles. Souvent un certificat valide est en place, mais la configuration du serveur est insuffisante.
Que faire : Configurer tous les services accessibles de l’exterieur en TLS 1.2 ou superieur. Desactiver TLS 1.0 et 1.1. Automatiser le renouvellement des certificats (Let’s Encrypt).
4. Mots de passe par defaut sur les equipements reseau
Routeurs, switches, imprimantes, NAS — de nombreux appareils sont livres avec des mots de passe par defaut et ne sont jamais reconfigures. admin/admin, admin/password ou root/root sont loin d’etre rares.
Que faire : Inventorier tous les equipements reseau, modifier les mots de passe par defaut, mettre en place une authentification centralisee (RADIUS/LDAP) dans la mesure du possible.
5. SNMP avec communaute par defaut
Le protocole Simple Network Management Protocol avec la communaute « public » ou « private » donne aux attaquants des informations detaillees sur l’ensemble de l’infrastructure reseau.
Que faire : Utiliser SNMP v3 avec authentification. Si SNMP v1/v2c est necessaire, changer au minimum la chaine de communaute.
6. Securite e-mail manquante (SPF, DKIM, DMARC)
Sans ces enregistrements DNS, n’importe qui peut envoyer des e-mails en votre nom. Cela facilite grandement les attaques de phishing contre vos clients et vos collaborateurs.
Que faire : Creer un enregistrement SPF, configurer DKIM, definir une politique DMARC. La plupart des hebergeurs fournissent des guides a cet effet.
7. Partages SMB ouverts sur le reseau interne
Des partages de fichiers Windows sans restriction d’acces. Ils contiennent souvent des donnees sensibles — listes de salaires, contrats, identifiants — visibles par tous sur le reseau.
Que faire : Verifier les droits d’acces sur tous les partages. Supprimer « Tout le monde » des autorisations. Auditer regulierement.
8. Installations WordPress et plugins obsoletes
WordPress est le CMS le plus utilise en Suisse. Les plugins obsoletes sont l’une des causes les plus frequentes de compromission de sites web.
Que faire : Activer les mises a jour automatiques. Supprimer les plugins inutilises (pas seulement les desactiver). Verifier regulierement les vulnerabilites connues.
9. En-tetes de securite HTTP manquants
De nombreux serveurs web n’envoient pas les en-tetes de securite comme Content-Security-Policy, X-Frame-Options ou Strict-Transport-Security. Cela facilite les attaques de type cross-site scripting (XSS) et clickjacking.
Que faire : Configurer les en-tetes de securite dans la configuration du serveur web. Des outils comme securityheaders.com permettent de verifier la configuration.
10. Aucun scan de vulnerabilites regulier
La vulnerabilite la plus fondamentale : personne ne verifie jamais de maniere systematique. De nombreuses PME se reposent sur leur prestataire informatique ou leur pare-feu et partent du principe que tout va bien.
Que faire : Mettre en place des scans automatises reguliers. Au minimum mensuels, idealement hebdomadaires.
Conclusion
Aucune de ces vulnerabilites n’est exotique. Et aucune n’est difficile a corriger. Le probleme est presque toujours le meme : personne n’a verifie.
Un scan de vulnerabilites automatise detecte ces problemes en quelques minutes. Sans connaissances specialisees, sans consultant couteux, sans effort considerable.
ExposIQ verifie automatiquement vos systemes pour toutes les vulnerabilites mentionnees ci-dessus et plus de 64’000 CVE supplementaires. Heberge en Suisse, rapports dans votre langue. Essayez gratuitement pendant 14 jours.
