Pourquoi auditer son réseau d’entreprise au moins une fois par an ?
Le shadow IT, les imprimantes oubliées, les caméras IP par défaut et les anciens VPS encore en ligne : chaque entreprise a 10 à 30 % de surface d’attaque dont elle ignore l’existence. Un audit annuel structuré (Nmap + revue mots de passe + revue accès + test sauvegardes) prend 1 journée et révèle systématiquement 5 à 15 vulnérabilités exploitables. C’est l’investissement le plus rentable de la sécurité — beaucoup moins cher qu’un pentest externe (300-1500 k FCFA) tout en étant déjà 70 % du chemin.
Pourquoi auditer la sécurité de votre réseau
Un audit de sécurité réseau identifie les failles et vulnérabilités avant qu’un attaquant ne les exploite. En Afrique, où la cybercriminalité croît de 30% par an, c’est devenu une nécessité pour toute entreprise connectée.
Menaces courantes pour les entreprises africaines
- Phishing ciblant les transferts d’argent mobile (Wave, Orange Money)
- Ransomware paralysant des PME sans sauvegardes
- Wi-Fi non sécurisé dans les bureaux et espaces de coworking
- Shadow IT : employés utilisant des outils non approuvés
Les 5 phases d’un audit réseau
| Phase | Objectif | Outils |
|---|---|---|
| 1. Découverte | Cartographier tous les appareils du réseau | Nmap, Angry IP Scanner |
| 2. Scan de vulnérabilités | Identifier les failles connues | OpenVAS, Nessus (gratuit limité) |
| 3. Analyse des configurations | Vérifier les paramètres de sécurité | Audit manuel, CIS Benchmarks |
| 4. Tests d’intrusion | Simuler une attaque réelle | Metasploit, Burp Suite |
| 5. Rapport et recommandations | Documenter et prioriser les corrections | Rapport écrit avec CVSS |
Phase 1 : Découverte du réseau avec Nmap
# Scanner tout le sous-réseau
nmap -sn 192.168.1.0/24
# Scan des ports ouverts sur un hôte
nmap -sV -sC 192.168.1.1
# Scan complet avec détection d’OS
nmap -A -T4 192.168.1.0/24 -oN audit_resultats.txt
Phase 2 : Vérifications essentielles
Sécurité Wi-Fi
- Protocole WPA3 (ou WPA2 minimum) — jamais WEP
- SSID caché pour le réseau d’entreprise
- Réseau invité séparé avec accès limité
- Mot de passe complexe changé chaque trimestre
Pare-feu et routeur
- Mot de passe admin changé (pas admin/admin !)
- Firmware à jour
- Ports inutiles fermés
- Journalisation activée
Postes de travail
- Antivirus à jour sur tous les postes
- Mises à jour système automatiques activées
- Comptes administrateur limités
- Chiffrement du disque (BitLocker/FileVault)
Phase 3 : Analyse des accès
Questions à poser
- Qui a accès à quoi ? (principe du moindre privilège)
- Les anciens employés ont-ils encore des accès ?
- Le MFA est-il activé pour les comptes critiques ?
- Les mots de passe respectent-ils la politique de sécurité ?
- Les accès distants (VPN) sont-ils sécurisés ?
Erreurs fréquentes (audit réseau)
1. Audit déclaratif sans scan technique
Cause : on demande aux employés « dites-moi si vous avez un mot de passe fort » et on coche les cases. Aucun scan réel. L’audit est un théâtre.
Solution : scan technique systématique avec Nmap, OpenVAS ou Nessus Essentials (gratuit). Couplez avec audit déclaratif des accès (RACI matrix). Les deux ensemble seulement.
2. Oublier les imprimantes, NAS et caméras IP
Cause : on audite les serveurs et PC, on oublie les autres équipements connectés. Or les imprimantes (interface web admin/admin), NAS Synology mal configurés, caméras Hikvision avec firmware 2018 sont les portes d’entrée préférées des attaquants.
Solution : Nmap sur tout le sous-réseau (nmap -sn 192.168.1.0/24). Identifiez chaque IP, vérifiez chaque interface web admin. Et changez les mots de passe par défaut systématiquement.
3. Scan en heure de pointe sans préparation
Cause : on lance nmap -A -T4 -p- 10.0.0.0/16 en pleine journée. Le firewall remonte des alertes massives, les outils de détection bloquent l’IP du scanner, certains services anciens crashent.
Solution : planifiez les scans en heures creuses (nuit ou week-end), prévenez l’équipe IT, démarrez avec -T2 (poli) et montez progressivement. Et excluez la production critique du scan agressif.
4. Pas de baseline pour comparer dans le temps
Cause : on fait un audit ponctuel mais on ne sait pas si c’est « mieux ou pire qu’avant ». Pas de mesure de progrès.
Solution : conservez les rapports d’audit dans un dépôt versionné. Comparez année par année : nombre de CVE critiques, % de mots de passe faibles, % de comptes inactifs. Visez une amélioration mesurable trimestrielle.
5. Rapport sans plan de remédiation chiffré
Cause : rapport de 50 pages avec 80 findings sans priorisation. La direction ne sait pas quoi corriger en premier, le rapport finit dans un tiroir.
Solution : rapport en 3 niveaux : résumé exécutif 1 page avec top 5 risques chiffrés en FCFA d’impact, tableau priorité × effort × impact pour la DSI, annexe technique détaillée. Plan de remédiation à 30/90/180 jours.
Grille d’évaluation rapide
Audit express en 30 minutes
- Scanner le réseau avec Nmap pour lister tous les appareils
- Vérifier les mots de passe par défaut sur routeurs et imprimantes
- Tester la sécurité Wi-Fi (protocole, mot de passe)
- Vérifier les mises à jour sur 3 postes de travail
- Contrôler les droits d’accès des 5 derniers employés partis
- Vérifier que les sauvegardes fonctionnent (tester la restauration)
- Documenter les résultats et prioriser les corrections
Pour approfondir
- Scanner les vulnérabilités avec Nmap — outil n°1 de la phase 1.
- Introduction au pentesting éthique — méthodologie complète.
- Créer une politique de sécurité informatique — base juridique et organisationnelle.
- Sécuriser un serveur Linux (VPS) — durcissement après audit.
- Référence officielle : CIS Benchmarks et NIST CSF 2.0.
- Outils gratuits : OpenVAS / Greenbone, Nessus Essentials (16 IPs gratuites), Lynis.
Démarrer en production sur un VPS
Pour passer du local à un serveur réellement accessible en ligne, Hostinger propose des plans VPS abordables avec sauvegarde automatique.
Lien d affiliation. Si vous achetez via ce lien, le blog reçoit une petite commission sans surcoût pour vous.
Etape 1 : adopter un gestionnaire de mots de passe pour toute l’equipe
Le mot de passe reste la premiere ligne de defense et la principale faille. Reutiliser le meme mot de passe sur plusieurs services, c’est offrir tous ses comptes des qu’un seul site est piratee. La solution n’est pas memoriser, c’est outiller. Bitwarden (gratuit en personnel, 3 USD par utilisateur en business soit environ 1 970 FCFA), 1Password ou KeePass auto-hebergé regroupent tous les mots de passe derriere un seul mot de passe maitre tres fort.
# Generation d'un mot de passe fort en ligne de commande
openssl rand -base64 24
# Sortie type
hG7$kPq2nM8vL5xR9wJ4yT3z
# Sous Windows PowerShell
[System.Web.Security.Membership]::GeneratePassword(20, 4)Ce type de mot de passe (24 caracteres alphanumeriques) prend des milliers d’annees a casser par force brute. On en cree un different pour chaque service, on les stocke dans le gestionnaire, on n’a plus qu’a se souvenir du mot de passe maitre, lui-meme une phrase de 5 mots aleatoires.
Etape 2 : activer l’authentification a deux facteurs partout
Le MFA (Multi-Factor Authentication) ajoute une couche : meme si le mot de passe est vole, l’attaquant ne peut pas se connecter sans le second facteur. On l’active sur les comptes critiques en priorite : email principal, banque en ligne, hebergeur, gestionnaire de mots de passe lui-meme, comptes admin Microsoft 365 ou Google Workspace.
On evite le MFA par SMS qui est vulnerable au SIM swapping (technique courante en Afrique de l’Ouest). On prefere une application TOTP comme Aegis (Android, open source), Raivo (iOS) ou les codes integres a Bitwarden. Pour les comptes les plus sensibles, une cle physique YubiKey ou OnlyKey (40 a 60 EUR soit 26 000 a 39 000 FCFA) offre la securite maximale.
Etape 3 : sauvegarder selon la regle 3-2-1
3 copies des donnees, sur 2 supports differents, dont 1 hors site. Pour une PME a Lome ou un freelance a Niamey : copie sur le PC, copie sur un disque externe USB, copie sur un cloud type Backblaze B2 ou pCloud. La sauvegarde doit etre automatique : ce qui depend d’un humain qui se souvient sera oublie.
# Sauvegarde Linux automatique vers cloud
rclone sync ~/Documents pcloud:Backup-Documents --transfers 4 --log-file ~/rclone.log
# Cron quotidien a 22h
0 22 * * * /usr/bin/rclone sync ~/Documents pcloud:Backup-DocumentsLe log rclone permet de verifier que la sauvegarde s’est bien executee. On consulte ce log au moins une fois par semaine. Sans verification, on decouvre un beau matin que la sauvegarde a echoue depuis 3 mois et qu’on n’a plus rien.
Etape 4 : maintenir tous les systemes a jour
La majorite des intrusions exploitent des failles connues et corrigees depuis des mois. WordPress non mis a jour, plugin obsolete, Windows en retard de 2 patchs, routeur avec firmware d’origine : autant de portes ouvertes. La mise a jour automatique est non negociable.
# WordPress : forcer les mises a jour mineures auto
# Dans wp-config.php
define( 'WP_AUTO_UPDATE_CORE', 'minor' );
# Linux serveur : mises a jour securite auto
sudo apt install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgradesPour le routeur, on note la marque et le modele, on s’abonne aux notifications du fabricant, on applique les firmware des qu’ils sortent. Un Mikrotik ou un TP-Link non mis a jour pendant 2 ans est presque garantie d’etre integre dans un botnet.
Etape 5 : chiffrer les disques et les communications sensibles
Un PC vole sans chiffrement, c’est l’ensemble des donnees qui part avec. Sous Windows 11 Pro, BitLocker se configure en 5 minutes. Sous macOS, FileVault est active par defaut. Sous Linux, LUKS s’active a l’installation. Pour un disque externe, VeraCrypt fonctionne sur tous les systemes.
# Activer BitLocker en PowerShell admin
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -RecoveryPasswordProtector
# Sauvegarder la cle de recuperation
Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId (Get-BitLockerVolume -MountPoint "C:").KeyProtector[0].KeyProtectorIdLa cle de recuperation est imprimee et rangee dans un coffre, jamais stockee sur le PC chiffre lui-meme. Sans cette cle, en cas de probleme materiel, les donnees sont perdues a jamais. C’est le prix de la securite reelle.
Etape 6 : segmenter et isoler le reseau professionnel
Le Wi-Fi du bureau qui sert au PC compta, au telephone du visiteur et aux objets connectes (camera, imprimante) est une mauvaise idee. On configure 3 SSID distincts : un pour les machines pro, un pour les invites, un pour l’IoT. Chacun sur un VLAN isole.
Un routeur Ubiquiti UniFi (200 a 400 EUR), un MikroTik hAP ax (150 EUR) ou un OpenWrt sur un boitier compatible permet cette segmentation simplement. Le firmware du fabricant doit etre maintenu a jour comme tout autre composant. Sans cette segmentation, une camera IP compromise donne acces a la compta.
Etape 7 : preparer un plan de reponse a incident
Quand l’incident arrive (rancongiciel, fuite de donnees, intrusion), la panique fait perdre 80% du temps. Un document court, range dans un classeur physique et dans un cloud separe, decrit la marche a suivre : qui prevenir, quels services couper en priorite, quel hebergeur appeler, quel forensic externe contacter.
Plan d'incident type :
1. Isoler la machine infectee (debrancher reseau)
2. Notifier le DSI et la direction
3. Documenter l'incident (heure, symptomes, action)
4. Contacter prestataire securite (numero affiche)
5. Restaurer depuis sauvegarde hors ligne
6. Si fuite donnees : notifier autorite locale sous 72 h
7. Post-mortem 7 jours apres : leçons et actionsCe plan se revoit tous les 6 mois. Les contacts changent, les outils evoluent. Un plan obsolete est inutile au moment ou on en a besoin. Pour la phase de restauration, voir notre guide PRA detaille.
Etape 8 : former l’equipe et tester par des exercices reels
La technique sans la formation est inutile. On organise une session trimestrielle de 30 minutes : actualites securite, cas concrets recents en Afrique francophone, demonstration d’une attaque (phishing, faux SMS Wave ou Mixx by Yas, faux appel). On finit par un quiz court qui permet de mesurer.
Tous les 6 mois, on lance un test de phishing simulé via GoPhish ou KnowBe4. Le faux email pour Microsoft 365 envoye au matin permet de mesurer le taux de clic, sans nommer publiquement les personnes piegees. L’objectif est pedagogique. Pour completer, voir notre fiche sur les malwares et leurs protections. Une PME formee resiste deux a trois fois mieux qu’une PME equipee mais non formee.
Etape 9 : surveiller en continu les indicateurs cles de securite
La securite n’est pas un projet a livrer une fois pour toutes mais un processus continu. On definit 5 a 7 indicateurs simples mesures chaque mois : nombre de tentatives de connexion echouees sur les comptes admin, taux de patch des serveurs, taux de reussite des sauvegardes, taux de clic sur les phishing simulés, nombre d’incidents declares. Ces indicateurs alimentent un tableau de bord court presente a la direction tous les trimestres. La tendance compte plus que la valeur absolue : un taux de clic phishing qui passe de 25 % a 8 % en 6 mois est une excellente nouvelle. Pour la PME africaine, ces metriques tirees mensuellement avec rigueur valent largement plus qu’une certification ISO 27001 cherie et papier qui n’a jamais ete reauditee.