CVE critiques sur les firewalls et VPN : pourquoi votre PME est attaquée 72h après chaque publication

Le 13 février 2024, Fortinet publie la CVE-2024-21762, une vulnérabilité critique (CVSS 9.6) sur FortiOS permettant l'exécution de code à distance non authentifié sur les VPN SSL. 48 heures plus tard, des exploits publics circulent sur GitHub. 72 heures plus tard, des botnets scannent l'intégralité d'Internet à la recherche d'instances vulnérables. 7 jours plus tard, des dizaines de PME françaises sont compromises. Ce scénario se répète littéralement tous les 2 mois sur un équipement périmétrique différent. Comment ne pas en être victime.

Pourquoi les équipements périmétriques sont la cible n°1

Votre firewall/VPN est, par définition, exposé sur Internet. Il accepte des connexions de n'importe quelle IP au monde. C'est sa raison d'être : laisser passer le trafic légitime, bloquer le reste. Mais cela en fait aussi la première chose qu'un attaquant peut atteindre depuis l'extérieur, sans avoir besoin de phishing préalable.

Quand une vulnérabilité critique sort sur un Fortinet/Palo Alto/Ivanti/SonicWall/Cisco, les attaquants disposent d'un schéma d'attaque industriel : ils achètent (ou compilent eux-mêmes) la liste des IP exposant ce produit (Shodan, Censys, BinaryEdge fournissent ces données pour quelques centaines d'euros), lancent un scan automatisé qui teste l'exploit, et obtiennent un shell root sur des dizaines à des milliers d'équipements en quelques jours.

Statistique clé (rapport Mandiant 2024) : le délai médian entre publication d'un PoC et exploitation massive est passé de 30 jours en 2020 à moins de 5 jours en 2024. Pour les vulnérabilités les plus critiques, c'est 24 à 48 heures.

Les CVE qui ont fait pleurer les PME françaises

CVE-2024-3400 (Palo Alto, avril 2024, CVSS 10/10) : injection de commande sur les firewalls Palo Alto avec GlobalProtect. Au moins 156 000 instances vulnérables détectées dans le monde le jour J. Un état-nation (Storm-0950) l'a exploitée 2 semaines avant la publication. Plusieurs PME françaises ont été compromises avant même que le patch existe.

CVE-2024-21762 (Fortinet, février 2024, CVSS 9.6) : RCE non authentifié sur FortiOS. Plus de 150 000 instances FortiOS vulnérables au moment de la publication. Sur le terrain, j'ai vu 4 PME du Vaucluse compromises par cette CVE, dont 2 ransomwarisées dans les 3 semaines.

CVE-2025-0282 (Ivanti Connect Secure, janvier 2025, CVSS 9.0) : buffer overflow exploitable à distance. Mandiant et CISA ont alerté que la vulnérabilité était exploitée en 0-day par des groupes APT chinois plusieurs mois avant le patch.

CVE-2024-47575 (FortiManager, "FortiJump", octobre 2024, CVSS 9.8) : authentification insuffisante. L'attaquant peut prendre le contrôle complet d'un FortiManager exposé — qui a la main sur tous les FortiGate gérés. Un seul FortiManager compromis = potentiellement 50 firewalls compromis simultanément.

Pourquoi le patch management défaille systématiquement en PME

Raison n°1 — La peur de casser. Patcher un firewall en production, c'est risquer une interruption de service. Beaucoup de PME repoussent le patch d'une fenêtre de maintenance à l'autre, espérant que rien n'arrive entre temps. Spoiler : ça arrive.

Raison n°2 — Pas d'inventaire. "Combien de Fortinet avez-vous ?" Peu de PME peuvent répondre précisément. Les boîtiers vieillissent en silence, les versions divergent, les comptes admin par défaut ne sont jamais changés.

Raison n°3 — Pas de veille. Personne ne lit les bulletins Fortinet/Ivanti chaque semaine. Quand l'info arrive, c'est par un client qui appelle paniqué après avoir lu Le Figaro.

Raison n°4 — Versions bloquées. L'équipement est en fin de support, le constructeur ne sort plus de patch, le remplacement coûte 8 000 € que la direction n'a pas budgété.

Le patch management qui fonctionne en PME (la méthode)

Étape 1 — Inventaire complet, à jour. Liste exhaustive avec : marque, modèle, version OS exacte, IP exposée, contrat de support actif (oui/non/expiration), administrateur responsable. Format : tableur partagé minimum, GLPI ou Snipe-IT idéalement. Mise à jour mensuelle obligatoire.

Étape 2 — Veille automatisée. Abonnement aux bulletins CISA KEV (Known Exploited Vulnerabilities — la liste des CVE activement exploitées dans la nature, mise à jour quasi-quotidiennement), CERT-FR (équivalent ANSSI), PSIRT des constructeurs concernés. Outils gratuits : Vulners.com, OpenCVE.io, Tenable's CVE feed. Idéalement : alerte automatique par mail/Slack quand un CVE concerne un produit de votre inventaire.

Étape 3 — Politique de patch graduée. Critique (CVSS ≥ 9 + KEV) : patch sous 48h ouvrées maximum, fenêtre de maintenance d'urgence acceptée. Élevé (CVSS 7-8.9) : patch sous 15 jours. Moyen : patch lors du cycle mensuel régulier. Bas : patch lors du cycle trimestriel.

Étape 4 — Stratégie de mitigation immédiate. Si patch impossible sous 48h pour un Critique, désactiver la fonctionnalité vulnérable (souvent l'interface admin web, le portail SSL VPN, la gestion API). Mieux vaut couper le VPN une journée que se faire compromettre. Documentation publique des vendor advisory.

Étape 5 — Tests post-patch. Après chaque patch, validation que les fonctions critiques (VPN, NAT, règles firewall) fonctionnent toujours. Idéal : un environnement de test représentatif. Réaliste : une checklist 5 minutes après le patch en prod.

Les outils qui aident concrètement

Tenable Nessus / Qualys VM : scanners de vulnérabilités payants, mais le ROI est rapide pour une PME 50+ postes. Identifient automatiquement les versions installées et les CVE associées. Tarif PME : 2 500 à 8 000 €/an.

OpenVAS / Greenbone : alternative open source. Moins user-friendly mais gratuit, et largement suffisant pour démarrer.

SIEM type Wazuh correctement configuré : corrèle les CVE publiées avec votre inventaire de versions et alerte automatiquement. C'est ce qu'on déploie chez nos clients en formule Sérénité Pro et Entreprise.

Service de patch management managé (le bon vieux MSP) : prestataire externe qui gère votre patching contre un forfait mensuel. Tarif type : 50-150 €/équipement/mois. Pour une PME sans équipe IT interne, c'est souvent le meilleur ROI.

Que faire si vous êtes en retard de patch aujourd'hui ?

Action 1 (aujourd'hui) : faire l'inventaire de tous vos équipements périmétriques exposés sur Internet. Pour chacun : marque, modèle, version OS. Si vous ne savez pas, votre prestataire IT doit savoir — sinon, c'est déjà un signal d'alerte.

Action 2 (cette semaine) : sur catalog.cisa.gov/known-exploited-vulnerabilities, vérifier si un de vos modèles a une CVE KEV non corrigée. Si oui, c'est l'urgence absolue — patcher ou désactiver la fonction vulnérable.

Action 3 (ce mois) : mettre en place une veille (au minimum, abonnement aux bulletins CERT-FR pertinents) et une politique de patch écrite, validée en COMEX.

Action 4 (ce trimestre) : pentest externe pour identifier ce qui est exposé et que vous ne soupçonnez pas. Tarif : 3 500 à 8 000 € pour une PME, et ça révèle quasi systématiquement 2-3 surprises.

En résumé

Les CVE critiques sur les équipements périmétriques sont la principale porte d'entrée des cyberattaques contre les PME en 2026, devant le phishing dans certaines études récentes (rapport Sophos 2025). Le facteur déterminant n'est pas la taille de votre boîte ou votre budget cyber, c'est votre délai de patch.

Une PME qui patche en 7 jours après publication CVE est presque imprenable par les attaques opportunistes (qui composent 95% du marché). Une PME qui patche en 90 jours est, statistiquement, déjà compromise — elle ne le sait juste pas encore.

Investissez dans le process plutôt que dans le produit. Un firewall obsolète mais patché vaut mille fois mieux qu'un firewall neuf jamais mis à jour.