Cas terrain
Cas typique : accès distant mal maîtrisé, de la connexion VPN au rebond dans le SI
Ce cas typique part d'une situation très fréquente : l'entreprise a besoin d'accès distants pour les équipes, l'infogérant ou un éditeur, mais les comptes, la MFA et les journaux ne sont pas revus avec la même rigueur que les applications métier. C'est souvent suffisant pour transformer un accès pratique en point d'entrée.
Le scénario que l'on voit trop souvent
Un prestataire dispose d'un compte VPN créé pour une intervention passée. Le compte n'est pas nominatif ou n'a pas été désactivé à la fin de la mission. Le mot de passe a été réutilisé, capté par hameçonnage ou trouvé dans une fuite. Comme la MFA n'est pas obligatoire sur ce profil, la connexion passe.
L'attaquant ne commence pas forcément par chiffrer. Il observe. Il liste les partages, teste les droits, cherche les serveurs d'administration, tente de récupérer des secrets locaux et regarde si un compte permet d'atteindre l'Active Directory, les sauvegardes ou les consoles de virtualisation.
- compte VPN encore actif
- MFA absente ou limitée
- compte partagé prestataire
- RDP accessible depuis un segment trop large
- logs non centralisés
- pas d'alerte sur horaires anormaux
Les signaux faibles qui doivent parler
Les premiers signaux ne ressemblent pas toujours à une alerte critique. Une connexion depuis une adresse IP inhabituelle, un volume SMB plus élevé, une authentification admin en soirée, une désactivation d'agent de sécurité ou une création de tâche planifiée peuvent suffire à comprendre qu'un accès distant est utilisé à mauvais escient.
Le problème est que ces signaux sont souvent répartis dans plusieurs outils : firewall, VPN, Windows Event Logs, EDR, M365, Entra ID, bastion ou solution de ticketing. Sans procédure de recherche rapide, chaque équipe voit un morceau de l'histoire.
- connexion hors pays ou hors horaires
- échecs MFA répétés
- ajout dans un groupe privilégié
- création de compte local
- désactivation antivirus/EDR
- scan interne ou accès SMB massif
Ce qu'un audit doit vérifier
Le diagnostic doit rester concret. Il faut lister les portes d'entrée, les comptes qui peuvent les utiliser, les preuves de MFA, les exceptions, les prestataires concernés et la capacité à couper un accès en urgence. Un schéma simple vaut mieux qu'un long inventaire si personne ne sait décider.
La revue utile consiste à demander pour chaque accès externe : qui l'utilise, pour quoi faire, avec quel niveau de droits, depuis quand, avec quelle MFA, quelle journalisation et quelle procédure de révocation.
- inventaire VPN/RDP/bastion
- liste des comptes prestataires
- couverture MFA réelle
- logs conservés et consultables
- droits réseau après connexion
- procédure de coupure d'urgence
Plan 30 jours recommandé
En 30 jours, l'objectif n'est pas de reconstruire toute l'identité. Il faut fermer les risques les plus visibles : comptes orphelins, comptes partagés, MFA manquante, règles d'accès trop larges, absence d'alerte sur connexions sensibles et impossibilité de prouver une révocation.
La sortie attendue est une preuve exploitable : liste des accès distants, comptes justifiés, exceptions validées, MFA activée sur les accès sensibles et journal de décision pour ce qui ne peut pas être corrigé immédiatement.
- désactiver les comptes sans propriétaire
- rendre les accès prestataires nominatifs
- forcer MFA sur accès distant et admin
- limiter les flux post-VPN
- activer alertes horaires/IP anormales
- documenter les exceptions
Questions fréquentes
Faut-il supprimer tous les accès distants ?
Non. Le sujet est de les rendre nominatifs, limités, tracés, protégés par MFA et faciles à couper. Un accès distant utile mais maîtrisé reste compatible avec l'exploitation.
Quelle preuve demander à un prestataire ?
Une liste des comptes utilisés, le périmètre d'accès, la MFA appliquée, les horaires ou conditions d'usage, la procédure de révocation et les journaux disponibles en cas d'incident.
Sources publiques
Références utilisées sans copie de contenu
Les liens ci-dessous servent de repères publics. Le contenu de cette page est reformulé, contextualisé et adapté à l'approche terrain d'Adrien Murillo.