Pendant des années, le firewall était la forteresse. On renforçait les systèmes internes, on segmentait les réseaux, on déployait des EDR sur les endpoints — mais les équipements réseau eux-mêmes étaient considérés comme des composants de confiance. Cette époque est révolue. En 2026, les firewalls, les concentrateurs VPN, les appliances de sécurité réseau sont devenus les têtes de pont favorites des groupes APT étatiques et des opérateurs de ransomware. La raison est simple et brutale : ils sont puissants, ils voient tout le trafic, et personne ne les surveille.

CYBERSÉCURITÉ GÉNÉRALE Vos firewalls ne sont plus des boucliers : pourquoi APT et… ARCHITECTURE / COMPOSANTS Le paradoxe de l'équipement de… Living on the edge : la technique qui… Le catalogue des compromissions… Pourquoi les équipes sécurité ratent… CONCEPTS CLÉS Aucun endpoint à surveiller. Le trafic malveillant ressemble à du… La persistance est structurellement… La position stratégique est maximale. Palo Alto Networks L'angle mort de la surveillance des… ayinedjimi-consultants.fr

Le paradoxe de l'équipement de sécurité devenu vecteur d'attaque

Il y a une ironie profonde dans le fait que les équipements déployés pour protéger les réseaux soient devenus les vecteurs d'intrusion les plus efficaces. Mais cette ironie est compréhensible dès lors qu'on analyse la situation avec un regard attaquant plutôt que défenseur.

Un firewall de périmètre présente un profil d'attaque exceptionnel. Il est, par définition, exposé directement sur Internet — c'est sa fonction première d'être le point de contact entre le réseau interne et l'extérieur. Il tourne sur un système d'exploitation propriétaire souvent opaque, avec un cycle de mise à jour lent imposé par des contraintes opérationnelles : une mise à jour de firewall en production nécessite une fenêtre de maintenance, une approbation, un test de non-régression. Il possède des droits réseau maximaux — il voit l'intégralité du trafic qui traverse le réseau. Et surtout, il n'est quasiment jamais surveillé par les outils de sécurité traditionnels : les EDR ne tournent pas sur les firewalls, les agents SIEM ne collectent souvent que les logs de flux, pas les processus système de l'appliance elle-même.

La conséquence logique est que compromettre un firewall donne à un attaquant une position idéale : accès persistant, visibilité totale sur le trafic réseau, et quasi-invisibilité pour les défenseurs. Cette réalité n'est pas nouvelle dans le monde de la recherche en sécurité, mais elle est devenue opérationnellement dominante dans les campagnes d'attaque observées en 2025-2026.

Les chiffres parlent d'eux-mêmes. Selon le rapport Verizon Data Breach Investigations Report 2026, les équipements réseau (firewalls, VPN, load balancers) représentent désormais 23% des vecteurs d'accès initial dans les incidents documentés — contre 8% en 2022. La progression est spectaculaire. Dans les incidents attribués à des groupes APT étatiques, ce chiffre monte à 47%. Les attaquants ont rationalisé leur approche : pourquoi essayer de pénétrer un réseau en compromettant un endpoint surveillé par un EDR, quand on peut entrer directement par la porte principale en compromettant le gardien lui-même ?

Cette évolution s'explique aussi par l'amélioration de la détection sur les endpoints. Les EDR modernes sont devenus suffisamment performants pour rendre difficile la persistance sur les systèmes Windows et Linux surveillés. Face à cet obstacle, les groupes APT et les opérateurs de ransomware les plus sophistiqués ont pivoté vers les équipements réseau, zone de relative impunité. C'est une conséquence directe du succès de la sécurité endpoint — un succès qui crée un déséquilibre dangereux dans le modèle de sécurité global des organisations.

Living on the edge : la technique qui rend les intrusions invisibles

La technique "living on the edge" — par analogie avec le "living off the land" qui consiste à utiliser les outils légitimes du système pour éviter la détection — désigne l'établissement durable d'un attaquant sur des équipements réseau périmétriques plutôt que sur des systèmes internes. C'est l'approche documentée dans la campagne FortiBleed révélée en juillet 2026, mais aussi dans les opérations de Volt Typhoon, de Salt Typhoon, et de nombreux autres acteurs étatiques et criminels ces dernières années.

Aucun endpoint à surveiller. Les EDR (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint) ne tournent pas sur les firewalls Fortinet, Cisco ou Palo Alto. Les outils de détection comportementale standards sont structurellement aveugles sur ces équipements. L'attaquant peut opérer sans risque de détection par les solutions que la majorité des organisations considèrent comme leur première ligne de défense.

Le trafic malveillant ressemble à du trafic légitime. Les données exfiltrées depuis un firewall peuvent être intégrées dans le flux réseau ordinaire de l'équipement. Un sniffer qui relaie des credentials vers un serveur C2 génère du trafic sortant qui ressemble au trafic de gestion normal de l'appliance — HTTPS vers des services cloud, requêtes DNS, mises à jour de signatures. Distinguer ce trafic malveillant du trafic légitime nécessite une analyse approfondie que peu d'organisations réalisent sur leurs équipements réseau.

La persistance est structurellement garantie. Un implant installé dans les mécanismes de démarrage d'un firewall survit aux redémarrages. Les firewalls redémarrent rarement — certaines organisations ont des équipements avec des uptimes de plusieurs années entre deux maintenances. La persistance de plusieurs mois est réaliste sans effort particulier, contrairement aux endpoints où des mécanismes de détection de la persistance existent.

La position stratégique est maximale. Un firewall voit tout : les connexions internes-externes, les authentifications VPN, les flux applicatifs, les requêtes DNS. Un attaquant patient peut collecter des credentials de centaines d'utilisateurs et de services en quelques semaines, cartographier l'architecture réseau interne, et identifier les systèmes les plus précieux — tout cela sans jamais interagir avec un seul système interne.

Salt Typhoon, le groupe APT attribué aux services de renseignement chinois, a utilisé cette technique pour compromettre les réseaux de neuf grands opérateurs télécom américains en 2024-2025, accédant pendant des mois aux communications de responsables gouvernementaux américains. Volt Typhoon a prépositionné des accès dans des infrastructures critiques américaines via la même approche sur des équipements Cisco et Fortinet, dans une logique de pré-positionnement en vue d'un conflit potentiel. FortiBleed représente l'application de ces mêmes techniques par des groupes criminels ransomware — la professionnalisation du cybercrime continue, copiant les méthodes des acteurs étatiques.

Le catalogue des compromissions majeures d'équipements réseau (2024-2026)

Pour mesurer l'ampleur du phénomène, voici un inventaire des incidents majeurs impliquant des équipements réseau comme vecteur d'attaque sur les deux dernières années.

Fortinet cumule plusieurs incidents de premier plan. CVE-2024-21762 (CVSS 9.8), une faille d'exécution de code à distance dans FortiOS SSL-VPN, a été exploitée activement dès sa divulgation en février 2024. CVE-2024-55591 (CVSS 9.8), un bypass d'authentification dans FortiOS, a été exploité par des attaquants pour compromettre des firewalls d'organisations de secteurs critiques avant même la publication du patch en janvier 2025. En juillet 2026, FortiBleed a ciblé 430 000 appareils avec un sniffer réseau personnalisé, lié à INC Ransom et Lynx. Fortinet est devenu, malgré lui, le terrain d'exercice favori des attaquants sur équipements réseau.

Palo Alto Networks : CVE-2024-3400 (CVSS 10.0), une injection de commandes OS dans PAN-OS GlobalProtect VPN, a été exploitée en zero-day par le groupe UTA0218 dès mars 2024, avant la publication du patch. Des milliers d'instances ont été compromises avec déploiement d'un backdoor baptisé Upstyle par les chercheurs de Unit 42. L'exploitation a débuté environ dix jours avant la divulgation publique, confirmant que la faille était connue des attaquants bien avant Palo Alto Networks.

Ivanti a vécu 2024 comme une annus horribilis. CVE-2023-46805 (CVSS 8.2) et CVE-2024-21887 (CVSS 9.1) sur Ivanti Connect Secure VPN, puis CVE-2024-21893 (CVSS 8.2) quelques semaines plus tard — une chaîne de failles exploitées en zero-day par des groupes APT chinois ayant compromis des dizaines d'organisations gouvernementales et de défense dans le monde. CISA a émis une directive d'urgence obligeant les agences fédérales américaines à déconnecter leurs équipements Ivanti Pulse Secure.

Cisco : CVE-2023-20198 (CVSS 10.0) sur IOS XE exploité massivement en octobre 2023, avec plus de 50 000 équipements compromis en quelques jours. CVE-2026-20182 (CVSS 10.0) sur Cisco SD-WAN a été exploité activement en 2026 avec des conséquences majeures pour les organisations concernées.

Ce catalogue révèle un pattern clair : les vulnérabilités critiques dans les équipements réseau exposés sur Internet sont systématiquement exploitées dans des délais très courts après leur divulgation, souvent en zero-day. Les attaquants investissent massivement dans la recherche de vulnérabilités sur ces équipements parce que le rapport bénéfice/effort est exceptionnel : une seule faille donne accès à des dizaines de milliers d'instances dans le monde entier.

Pourquoi les équipes sécurité ratent ces compromissions

Comment des compromissions d'une telle ampleur peuvent-elles passer inaperçues pendant des semaines, voire des mois ? La réponse réside dans une combinaison de facteurs structurels.

L'angle mort de la surveillance des équipements réseau. La plupart des programmes de sécurité sont centrés sur les endpoints et les applications. Les équipements réseau sont souvent perçus comme de la "plomberie" dont la sécurité est supposée être assurée par le fabricant. Les équipes NetOps et SecOps fonctionnent en silos dans beaucoup d'organisations : résultat, personne ne surveille vraiment ces équipements sous l'angle sécurité.

Les logs disponibles sont insuffisants. Les firewalls génèrent des logs de flux mais exposent rarement des logs de processus système détaillés par défaut. Un implant installé sur un firewall n'apparaît pas dans les logs de flux — il faut des logs de type "diagnostic" ou "system process" qui ne sont généralement pas collectés par les SIEM et dont la collecte doit être explicitement configurée.

Le cycle de mise à jour est structurellement défaillant. Mettre à jour le firmware d'un firewall en production nécessite une fenêtre de maintenance, une sauvegarde, des tests, et souvent une approbation formelle. Ce processus peut prendre plusieurs semaines — une fenêtre d'exploitation largement suffisante pour des attaquants qui scannent activement dès la publication des CVE.

La difficulté de la forensique sur équipements propriétaires. Les systèmes d'exploitation des appliances réseau sont propriétaires et ne disposent pas des mêmes outils de forensique que Linux ou Windows. Quand une compromission est suspectée, la capacité d'analyse est souvent très limitée, et peu d'organisations ont les procédures en place pour réaliser cette analyse efficacement.

Hardening des équipements réseau : ce qui fonctionne vraiment

Face à ce tableau, voici les mesures défensives concrètes que les organisations peuvent mettre en place. Je vais être direct : il n'y a pas de solution magique, et la plupart des recommandations standard sont insuffisantes si elles ne s'inscrivent pas dans un programme de sécurité cohérent incluant explicitement les équipements réseau.

1. Réduire la surface d'attaque exposée. L'interface d'administration d'un firewall ne devrait jamais être accessible directement depuis Internet. Elle devrait être accessible uniquement via un réseau de gestion dédié hors-bande, ou via un jump host avec authentification forte. Cette recommandation est régulièrement violée dans les environnements SMB où l'accès à distance à l'interface d'administration "parce que c'est pratique" est monnaie courante.

2. Un programme de patch management dédié aux équipements réseau. Les équipements réseau doivent avoir leur propre programme de patch management, distinct de celui des serveurs et endpoints. Ce programme doit inclure une surveillance active des CVE publiés par les fabricants, un SLA de patching différencié selon la criticité (CVSS >= 9.0 avec exploitation active : patch sous 72h, pas sous 30 jours), et un processus accéléré de mise en maintenance d'urgence.

3. Vérification régulière de l'intégrité. Intégrer dans les processus de maintenance périodique une vérification de l'intégrité des firmwares et des processus actifs via les outils fournis par les fabricants. Cette vérification devrait être réalisée au minimum mensuellement sur les équipements exposés directement sur Internet, et après chaque mise à jour.

4. MFA obligatoire sur tous les accès VPN. Un credential VPN volé sans le second facteur ne permet pas la connexion. La MFA sur VPN n'est pas une option en 2026 — c'est un prérequis de base. Les organisations utilisant encore des VPN avec authentification par login/mot de passe seul sont exposées de manière inacceptable.

5. Logs détaillés des équipements et intégration SIEM. Configurer les équipements réseau pour générer et envoyer des logs détaillés vers le SIEM de l'organisation. Créer des alertes sur les comportements anormaux : connexions à l'interface de gestion depuis des IPs inhabituelles, connexions VPN depuis des géolocalisations non attendues, trafic sortant vers des destinations inhabituelles depuis les équipements réseau eux-mêmes.

6. Réponse à incident : planifier la défaillance des équipements réseau. Élaborer et tester le scénario "notre firewall de périmètre est compromis" : comment détecter ? Comment isoler sans couper l'accès réseau ? Comment procéder à une restauration propre ? Ces questions doivent avoir des réponses documentées et testées avant l'incident, pas pendant.

Mon avis d'expert

La tendance "living on the edge" n'est pas conjoncturelle — elle est structurelle. Les équipements réseau de périmètre continueront d'être des cibles prioritaires parce qu'ils cumulent trois caractéristiques idéales pour un attaquant : exposition maximale, visibilité maximale sur le trafic, et surveillance minimale par les défenseurs. Tant que les organisations traiteront leurs firewalls comme de la plomberie plutôt que comme des systèmes à part entière nécessitant une gestion de sécurité rigoureuse, cette asymétrie persistera. La réponse défensive n'est pas uniquement technique — elle est organisationnelle : NetOps et SecOps doivent converger, les équipements réseau doivent être intégrés dans les programmes de patch management et de monitoring, les vérifications d'intégrité doivent devenir aussi routinières que les scans de vulnérabilités sur les serveurs. FortiBleed n'est pas une anomalie — c'est le nouveau normal.

Conclusion

La compromission des équipements réseau de périmètre est l'un des défis les plus structurels de la cybersécurité opérationnelle en 2026. Volt Typhoon, Salt Typhoon, les compromissions Ivanti, Palo Alto, et maintenant FortiBleed — tous ces incidents convergent vers le même constat : vos firewalls sont devenus des cibles, pas des boucliers.

La réponse exige une remise en question fondamentale de la façon dont les organisations gèrent la sécurité de leurs équipements réseau : les sortir de l'angle mort des programmes de sécurité, les intégrer dans les processus de patch management et de monitoring, et abandonner définitivement l'illusion qu'un équipement de sécurité est par nature sécurisé. Les attaquants, eux, n'ont jamais cru à cette illusion.

Besoin d'un regard expert sur votre sécurité ?

Discutons de votre contexte spécifique.

Prendre contact