SD-WAN Manager à 10.0. OWA Exchange en zero-day. FortiAuthenticator à 9.1. Ivanti EPMM en RCE non-auth. Et maintenant SAP Commerce Cloud avec une faille d'authentification ouverte sur Internet. Le mois de mai 2026 confirme ce que l'écosystème refuse encore d'admettre : les management planes sont devenus la ligne de front, et nous n'avons toujours pas pris cette guerre au sérieux.

Le retour silencieux du périmètre

On nous a vendu pendant dix ans la mort du périmètre. Zero trust, micro-segmentation, identité au centre. La promesse était belle : le réseau n'est plus une zone de confiance, chaque ressource s'authentifie, chaque session se vérifie. Sur le papier, la console d'administration de votre routeur, de votre WAF, de votre orchestrateur n'avait plus besoin d'être protégée derrière trois couches de bastion : l'identité forte du administrateur suffisait.

Le problème, c'est que la promesse repose sur un postulat rarement validé : la couche d'authentification du produit lui-même doit être inattaquable. Or quand Cisco publie un CVSS 10.0 sur SD-WAN Manager qui contourne purement et simplement l'authentification, ou que SAP livre un Commerce Cloud où une mauvaise ordonnance Spring Security ouvre l'upload de configuration sans login, l'identité forte au-dessus ne sert plus à rien. L'attaquant n'arrive même pas à la couche identité : il passe par la porte de service que personne n'a vu rester ouverte.

La géographie réelle de l'attaque a changé

Si on regarde les advisory les plus exploités sur les six derniers mois — Ivanti EPMM, FortiAuthenticator, Cisco SD-WAN, Microsoft Exchange OWA, ScreenConnect, ConnectWise — un motif évident apparaît. Ce ne sont plus des vulnérabilités sur les postes de travail. Ce ne sont pas non plus des failles applicatives métier classiques. Ce sont des bugs sur les outils qui orchestrent l'infrastructure : management consoles, MFA, MDM, VPN, ERP cloud, SD-WAN.

L'attaquant rationnel a fait son calcul. Compromettre 50 postes endpoint via spearphishing prend du temps, du soin, de la patience et beaucoup de chance. Compromettre une seule console MDM Ivanti EPMM lui donne accès en quelques heures à 10 000 terminaux managés, leurs configurations VPN, leurs certificats, et un canal de déploiement légitime pour pousser ses propres payloads. Le ratio coût/bénéfice n'est pas comparable.

Pourquoi cette zone reste mal protégée

Trois raisons structurelles expliquent que les management planes restent les mal-aimés de la défense.

Premièrement, ces produits sont vendus comme sécurisés par conception. L'éditeur affiche du chiffrement de bout en bout, du MFA intégré, des conformités SOC 2 et ISO 27001. Le RSSI achète l'outil pour résoudre un problème, pas pour ajouter une nouvelle surface d'attaque à protéger. La console est donc exposée sur Internet parce que c'est pratique ou parce que le support de l'éditeur en a besoin pour faire de l'assistance.

Deuxièmement, le cycle de patching de ces consoles est plus lent que celui des postes. Un patch sur SD-WAN Manager nécessite une fenêtre de maintenance planifiée, une coordination réseau, un risque de rupture du plan de management lui-même. Beaucoup d'organisations laissent passer plusieurs cycles avant de mettre à jour, parfois jusqu'à six mois. Pendant ce temps, l'advisory est public et la PoC circule.

Troisièmement, et c'est peut-être le plus grave, ces outils ne sont quasi jamais inclus dans les pentests annuels. Le périmètre commandé par le client est typiquement le SI externe ou l'applicatif métier, rarement la chaîne d'outils d'administration. Le RSSI commande un pentest sur son ERP, son intranet, son site corporate. Il ne commande presque jamais un pentest sur sa console SD-WAN ou son MFA. C'est précisément là que se passe l'attaque réelle.

Ce que je vois en mission

Quand j'audite une infrastructure en 2026, je commence systématiquement par cartographier les management planes exposés. La méthode est simple : recherche DNS sur les noms typiques (sdwan.client.com, mdm.client.com, fortimanager.client.com), scan Shodan/Censys sur la plage IP entreprise, identification des bannières HTTP caractéristiques des consoles d'administration.

Le constat est invariable. Plus de huit fois sur dix, je trouve au moins une console d'administration exposée publiquement sans aucune justification opérationnelle. Le record actuel est une organisation française du tertiaire de 800 salariés qui exposait simultanément sa console FortiManager, son MFA RSA, sa console Veeam Backup, son admin VMware vCenter et sa console SAP — tous accessibles depuis Internet ouvert, certains avec des CVE critiques non patchées datant de plus d'un an.

Mon avis d'expert

Le périmètre n'est pas mort, il a changé de forme. Il s'est déplacé de la DMZ classique vers les management planes des outils que nous utilisons pour administrer notre SI. Et nous avons pris la mauvaise leçon du zero trust : on a relâché la protection physique du périmètre sans renforcer la protection logique des consoles. Le résultat est qu'aujourd'hui un attaquant qui veut compromettre une organisation de taille moyenne ne tente plus la grande porte, il regarde sur Shodan quelle console d'admin est exposée et il achète le bon advisory du mois.

Ce qu'il faut changer concrètement

D'abord, faire l'inventaire honnête. Combien de management consoles avez-vous ? Vous trouverez plus que prévu. SD-WAN, EDR, MFA, MDM, sauvegarde, virtualisation, monitoring, ITSM, IAM, observabilité, secrets manager, registry container, CI/CD : chaque outil a sa console et chacune est un point d'entrée potentiel. La cartographie devrait tenir sur une feuille A4 avec une colonne exposition et une colonne dernière mise à jour.

Ensuite, retirer ces consoles d'Internet, sans exception. Aucune console d'administration n'a besoin d'être directement accessible depuis le monde entier. Bastion ZTNA, VPN administratif dédié, jumpbox isolée : les options ne manquent pas. Le coût d'implémentation est marginal comparé au coût d'un incident sur la console SD-WAN qui pilote vos 80 sites.

Puis, inclure obligatoirement les management planes dans le scope du pentest annuel. Pas en option, pas en complément, dans le scope principal. Un pentest qui ne teste pas votre SD-WAN Manager, votre FortiAnalyzer et votre console MDM en 2026 est un pentest qui regarde ailleurs.

Enfin, accepter que le cycle de patching de ces produits doit s'aligner sur la criticité réelle. Si un CVSS 10.0 sort sur votre console SD-WAN, la fenêtre de patch n'est pas la prochaine fenêtre de maintenance trimestrielle. C'est la nuit même. Et si l'organisation n'a pas la maturité opérationnelle pour patcher une console critique en moins de 48 heures, c'est un problème de gouvernance bien plus large qu'un simple sujet de mise à jour technique.

Conclusion

Le zero trust n'a pas tué le périmètre, il l'a déplacé. Notre nouveau périmètre, ce sont nos management planes. Les attaquants l'ont compris en 2024. Les fournisseurs commencent à le comprendre en 2026. Beaucoup de RSSI n'en sont pas encore à ce stade. Le rattrapage est urgent, parce que la prochaine console exposée sur Shodan qui tombera ne sera pas celle d'un autre.

Audit de vos management planes

Cartographie et durcissement de vos consoles d'administration : SD-WAN, MDM, MFA, EDR, virtualisation. Discutons de votre contexte spécifique.

Prendre contact