{ "uuid": "6e3e5ac6db684bbee4d714276ec6b60d", "slug": "network-device-equipment", "lang": "fr", "audience": null, "count": 12, "conseils": [ { "uuid": "d9c4d3975e6a426b93a35829f241c47a", "category": "safety", "audience": [ "technician", "manager" ], "severity": "critical", "title": "Changer les identifiants par défaut de tous les équipements réseau", "content": "Les switches, routeurs et points d'accès sont livrés avec des identifiants par défaut publiquement documentés (admin/admin, cisco/cisco, ubnt/ubnt, etc.). Ces équipements sont activement scannés et exploités par des bots dans les heures suivant leur mise en ligne. Changer le mot de passe admin immédiatement à l'installation, désactiver le compte par défaut si possible, et stocker les identifiants dans un gestionnaire de mots de passe centralisé. Un routeur avec le mot de passe par défaut est une porte ouverte sur tout le réseau interne." }, { "uuid": "6dcaa325b15d48a2a599d65c4770c787", "category": "operational", "audience": [ "technician" ], "severity": "mandatory", "title": "Maintenir les firmwares à jour et surveiller les bulletins de sécurité", "content": "Les équipements réseau sont des cibles prioritaires des attaquants : une vulnérabilité sur un switch coeur permet d'intercepter tout le trafic de l'entreprise. S'abonner aux bulletins de sécurité du constructeur (Cisco PSIRT, Fortinet PSIRT, Ubiquiti Security, etc.). Les correctifs critiques doivent être appliqués dans les 7 jours suivant leur publication, idéalement lors d'une fenêtre de maintenance planifiée. Ne jamais utiliser un équipement dont le firmware n'est plus maintenu par le constructeur." }, { "uuid": "9582a3c018b34dcfb8a5431c57d281f8", "category": "operational", "audience": [ "technician", "manager" ], "severity": "recommended", "title": "Segmenter le réseau par VLAN selon les usages", "content": "Un réseau plat (sans VLAN) place les postes utilisateurs, les serveurs, les imprimantes, les cameras IP et les équipements IoT sur le même segment. Une infection sur un poste utilisateur peut ainsi atteindre directement les serveurs de production. Créer au minimum 3 VLAN : utilisateurs, serveurs/NAS, et IoT/invités. Le VLAN invités (Wi-Fi public) doit être strictement isolé du réseau interne par une règle de firewall. La segmentation est exigée par les normes PCI-DSS et recommandée par l'ANSSI." }, { "uuid": "6c993b22a19642cd948ef7edaf3a8d19", "category": "safety", "audience": [ "technician" ], "severity": "critical", "title": "Sécuriser le réseau Wi-Fi avec WPA3 ou WPA2-Enterprise", "content": "Le protocole WEP est crackable en moins d'une minute, WPA/TKIP en quelques heures. WPA2-Personal avec un mot de passe faible est vulnérable aux attaques par dictionnaire. Configurer tous les points d'accès en WPA3 si les clients le supportent, ou en WPA2-Enterprise avec authentification RADIUS (certificats ou LDAP) pour les réseaux d'entreprise. Le réseau Wi-Fi professionnel ne doit jamais partager le mot de passe par affichage ou dans les signatures d'e-mail." }, { "uuid": "c260530e2df340caa77816ec405db6bd", "category": "maintenance", "audience": [ "technician" ], "severity": "recommended", "title": "Sauvegarder la configuration des équipements réseau", "content": "La perte de configuration d'un switch coeur ou d'un firewall peut immobiliser l'entreprise pendant plusieurs heures, voire plusieurs jours. Exporter la configuration de chaque équipement réseau critique après chaque modification et stocker les fichiers dans un dépôt versionné (Git ou équivalent). La restauration d'une configuration sauvegardée prend 10 minutes ; sa reconstruction de mémoire peut prendre une journée. Automatiser l'export de configuration hebdomadaire via SNMP, SSH ou l'API du constructeur." }, { "uuid": "78106fe9e9ab4970a25cb9bf97a39b45", "category": "regulatory", "audience": [ "manager", "auditor" ], "severity": "mandatory", "title": "Journaliser les connexions réseau et conserver les logs 12 mois", "content": "La loi pour la confiance dans l'économie numérique (LCEN, 2004) et le Code pénal imposent aux entreprises qui fournissent un accès internet (y compris Wi-Fi interne) de journaliser les connexions et de les conserver 12 mois. En cas d'incident de sécurité ou de réquisition judiciaire, l'absence de logs est une infraction. Le routeur ou le proxy doit logger les connexions sortantes avec horodatage, IP source et destination. Vérifier annuellement que les logs sont bien collectés et accessibles." }, { "uuid": "51bf15d54e6f463f99768ffd36f56391", "category": "safety", "audience": [ "end_user" ], "severity": "critical", "title": "Signaler immédiatement tout câble réseau arraché ou endommagé", "content": "Un câble réseau dont la gaine est tranchée ou dont le connecteur est cassé peut causer une interruption de service pour toute la zone. Ne pas tenter de le rebrancher avec des moyens de fortune : un mauvais raccord peut provoquer des conflits réseau invisibles. Signalez le problème au service informatique, qui interviendra avec le bon matériel." }, { "uuid": "2d86067a133649f9bc25885472abef82", "category": "operational", "audience": [ "end_user" ], "severity": "recommended", "title": "Ne pas brancher d'appareils personnels sur le réseau de l'entreprise", "content": "Brancher un téléphone, une tablette personnelle ou une clé Wi-Fi sur le réseau de l'entreprise peut introduire des virus ou compromettre la sécurité du réseau. La politique de sécurité de la plupart des entreprises l'interdit. Si vous avez besoin d'accès internet pour un appareil personnel, demandez le mot de passe du réseau Wi-Fi invité." }, { "uuid": "86c5673aaecc45609cc348ee81283857", "category": "safety", "audience": [ "end_user" ], "severity": "recommended", "title": "Signaler tout équipement réseau qui clignote de manière anormale ou émet une alarme", "content": "Un switch ou routeur dont tous les voyants clignotent rapidement en rouge, ou qui émet un signal sonore, signale un problème (surcharge, panne de ventilateur, température excessive). Ne pas éteindre l'appareil vous-même : contactez le service informatique immédiatement pour éviter une interruption de réseau planifiée." }, { "uuid": "04f39d8608a542e8837be8c115c927e6", "category": "safety", "audience": [ "public_display" ], "severity": "critical", "title": "Ne pas entrer dans le local technique", "content": "Ce local contient des équipements informatiques critiques. Accès interdit aux personnes non autorisées. En cas de fumée ou d'alarme sonore, évacuez et appelez le 18." }, { "uuid": "47cb0aae91934d7da0d867240ab8a4ae", "category": "safety", "audience": [ "public_display" ], "severity": "mandatory", "title": "Ne pas débrancher ni manipuler les équipements de cette armoire", "content": "Les équipements réseau de cette baie alimentent tous les postes informatiques du bâtiment. Toute manipulation non autorisée peut couper le réseau de l'ensemble du site. Contactez le service informatique." }, { "uuid": "3abdd39a44e643698e06ad67aeb2b090", "category": "safety", "audience": [ "public_display" ], "severity": "info", "title": "Appeler le support en cas de panne", "content": "En cas de perte de connexion réseau ou Wi-Fi, contacter le support informatique interne. Ne pas tenter de redémarrer vous-même les équipements de cette baie." } ] }