Liste de contrôle pour l'audit de sécurité RDP : 12 points à corriger avant le prochain test d'intrusion

17 mai 2026 · 9 min de lecture

Security Engineering

RDP (Remote Desktop Protocol) apparaît dans la phase d'accès initial de presque tous les incidents ransomware graves. Port 3389 exposé, identifiants faibles, absence de MFA — les attaquants connaissent ce schéma. Votre prochain test d'intrusion trouvera ces problèmes si vous ne les avez pas encore corrigés. Cette liste de contrôle vous indique exactement quoi corriger et comment.

La liste de contrôle en 12 points

Parcourez-la dans l'ordre. Les points 1 à 3 sont critiques ; traitez-les avant tout le reste.

1. Port RDP (3389) exposé directement sur internet

Problème : Vos serveurs Windows acceptent les connexions RDP sur le port 3389 depuis l'internet public.

Risque : Les attaquants scannent en permanence à la recherche du port 3389 ouvert. En quelques heures après le lancement d'un nouveau serveur, il est la cible d'attaques par force brute et de credential stuffing. C'est le vecteur d'accès initial le plus courant pour les ransomware dans les environnements d'entreprise.

Solution : Supprimez la règle de pare-feu autorisant les connexions entrantes sur le port 3389 depuis internet. Accédez aux serveurs Windows exclusivement via une solution PAM (comme VaultPAM) qui réalise le proxy de session — le port RDP reste fermé sur le serveur, et la connexion est établie de manière sortante via le connecteur.

2. Identifiants administrateur partagés entre serveurs

Problème : Votre équipe utilise un compte Administrator partagé (ou admin, ou un compte nominatif unique) entre plusieurs serveurs, et plusieurs personnes connaissent le mot de passe.

Risque : Lorsque quelqu'un part, vous faites face à un choix impossible : faire pivoter le mot de passe et perturber tout le monde, ou laisser l'accès de l'ancien employé intact. En cas d'incident, vous ne pouvez pas déterminer qui a effectué quelle action, car toute l'activité est attribuée au compte partagé.

Solution : Passez à des comptes nominatifs individuels pour tous les accès à privilèges. Utilisez un coffre-fort d'identifiants pour stocker et alterner automatiquement les identifiants de serveur. Utilisez le proxying de session pour que les utilisateurs se connectent sans recevoir le mot de passe réel — le coffre-fort le stocke.

3. Absence de MFA sur les comptes à privilèges

Problème : Les administrateurs s'authentifient aux systèmes de production uniquement avec un nom d'utilisateur et un mot de passe.

Risque : Un seul e-mail de phishing, un dump d'identifiants ou un mot de passe réutilisé donne à un attaquant un accès administrateur complet. Le MFA est le mécanisme de contrôle unique avec le plus grand impact pour arrêter les attaques basées sur les identifiants.

Solution : Exigez le TOTP (Google Authenticator, Authy) ou des tokens matériels (YubiKey, Touch ID, Windows Hello) pour chaque compte à privilèges. Vérifiez l'application — les documents de politique ne comptent pas ; démontrez qu'une tentative de connexion sans MFA est rejetée.

4. Absence d'enregistrement des sessions

Problème : Lorsque des sessions à privilèges ont lieu, il n'y a aucun enregistrement de ce qui s'est passé pendant la session.

Risque : L'investigation forensique après un incident est impossible. Les auditeurs ne peuvent pas vérifier quelles actions ont été entreprises. Les menaces internes ne laissent aucune trace de preuve. Les attaquants de ransomware qui abusent des identifiants administrateur ne peuvent pas être retracés au-delà de l'événement de connexion.

Solution : Acheminez toutes les sessions à privilèges via une solution PAM qui enregistre la vidéo complète de la session et les journaux d'activité (commandes exécutées, fichiers transférés, contenu du presse-papiers). Conservez les enregistrements avec une intégrité inviolable (chaînes de hachage) pendant au moins 12 mois.

5. Privilèges administrateur permanents (sans accès JIT)

Problème : Les administrateurs disposent d'un accès à privilèges 24h/24, 7j/7, 365j/an aux systèmes de production, même lorsqu'ils n'effectuent pas de tâche administrative.

Risque : Un attaquant qui compromet une station de travail ou des identifiants d'administrateur dispose d'un accès immédiat et permanent à l'environnement de production. La surface d'attaque est toujours maximale.

Solution : Implémentez l'accès juste-à-temps (JIT). Les privilèges sont accordés pour une tâche spécifique et une fenêtre de temps, puis automatiquement révoqués. Entre les tâches, le compte n'a aucun accès à privilèges — ou n'a aucun compte actif du tout.

6. Absence de transmission du journal d'audit

Problème : Les journaux d'événements du serveur (Journal des événements Windows, journal auth Linux) résident sur le serveur, où ils peuvent être effacés par un attaquant qui obtient un accès administrateur.

Risque : Un attaquant avec accès administrateur peut effacer les journaux et couvrir ses traces. Lors des réponses aux incidents, des données forensiques critiques peuvent être manquantes.

Solution : Transmettez immédiatement tous les événements d'accès à privilèges vers un SIEM centralisé ou un stockage de journaux immuable. Assurez-vous que le programme de transmission des journaux s'exécute en tant que service qui ne peut pas être arrêté sans déclencher une alerte.

7. Identifiants non alternés dans des coffres-forts partagés ou des tableurs

Problème : Les mots de passe de production sont stockés dans un tableur partagé, un gestionnaire de mots de passe partagé avec plusieurs utilisateurs ou un outil de documentation IT — et n'ont pas été alternés depuis des mois ou des années.

Risque : Toute personne ayant jamais eu accès à ce tableur ou gestionnaire de mots de passe est une menace potentielle. Les identifiants partagés en clair sont des identifiants qui finiront par fuiter.

Solution : Déplacez tous les identifiants de production vers un coffre-fort avec rotation automatique. Définissez des calendriers de rotation appropriés à la sensibilité (quotidien pour les comptes de production critiques, hebdomadaire pour les autres). Configurez le coffre-fort pour faire pivoter les identifiants après chaque extraction.

8. Absence de workflow d'approbation pour les cibles sensibles

Problème : N'importe quel administrateur peut accéder à n'importe quel serveur à n'importe quel moment sans qu'une seconde personne en soit informée ou l'approuve.

Risque : Le mouvement latéral par une menace interne ou un compte administrateur compromis est incontrôlé. Les modifications accidentelles sur les systèmes critiques n'ont aucun contrôle à quatre yeux.

Solution : Implémentez des workflows d'approbation pour vos cinq cibles de production les plus importantes. Les demandes d'accès nécessitent une approbation documentée par une seconde personne autorisée avant le début de la session. VaultPAM enregistre la demande, l'approbation et chaque action entreprise pendant la session approuvée.

9. Noms de comptes administrateur par défaut (Administrator, admin, root)

Problème : Vos serveurs utilisent des noms de comptes administrateur intégrés par défaut.

Risque : Les attaques de credential stuffing ciblent les noms de comptes par défaut car ils sont prévisibles. Chaque serveur Windows a un compte Administrator ; les attaquants savent qu'ils doivent l'essayer en premier.

Solution : Renommez le compte Windows Administrator intégré sur tous les serveurs. Sur Linux, désactivez la connexion SSH root directe (PermitRootLogin no dans sshd_config). Créez des comptes administrateur nominatifs pour une utilisation légitime. Stockez les identifiants dans le coffre-fort.

10. Absence de délai d'expiration des sessions inactives

Problème : Les sessions RDP restent actives indéfiniment lorsque l'utilisateur s'éloigne de son bureau sans verrouiller ou déconnecter.

Risque : Une session active non surveillée est une porte ouverte. Le tailgating physique ou l'accès distant à la station de travail de l'administrateur donne un accès complet à tout système auquel l'administrateur est connecté.

Solution : Configurez des politiques de délai d'expiration des sessions — déconnectez les sessions inactives après 15 minutes, déconnectez les sessions déconnectées après 30 minutes. Appliquez à la fois au niveau du client (GPO) et du serveur. VaultPAM applique les délais d'expiration des sessions au niveau de la couche PAM indépendamment de la configuration du client.

11. Contrôle d'accès uniquement par VPN (sans couche PAM)

Problème : Votre modèle de contrôle d'accès est : « si vous êtes dans le VPN, vous pouvez vous connecter par RDP à n'importe quel serveur pour lequel vous avez des identifiants. »

Risque : Le VPN est un contrôle d'accès au niveau réseau. Il ne limite pas les serveurs auxquels un utilisateur peut accéder, n'applique pas le moindre privilège, n'enregistre pas les sessions et ne nécessite pas de MFA par session. Des identifiants VPN compromis donnent à un attaquant l'accès à l'ensemble du réseau interne.

Solution : Ajoutez une couche PAM au-dessus du VPN (ou remplacez complètement l'accès basé sur VPN). Les utilisateurs s'authentifient auprès de la solution PAM, qui applique un accès basé sur des politiques à des cibles spécifiques, exige le MFA et enregistre chaque session. Les serveurs cibles ne sont pas accessibles depuis le VPN — seulement depuis le connecteur PAM.

12. Absence de processus de révision des accès

Problème : Les droits d'accès à privilèges sont accordés mais jamais révisés. Les utilisateurs accumulent des accès avec le temps ; les employés sortants peuvent conserver l'accès pendant des mois après leur départ.

Risque : L'accumulation de privilèges est la découverte la plus courante des audits et un risque de sécurité réel. Les comptes dormants avec accès à privilèges sont des cibles de grande valeur — les attaquants recherchent des comptes qui ne se sont pas connectés récemment (personne ne regarde).

Solution : Implémentez un processus de révision des accès trimestriel. Exportez une liste complète des comptes à privilèges et de leurs droits d'accès. Demandez à un examinateur désigné de confirmer que chaque accès est toujours requis et correctement limité. Révoquez l'accès qui ne peut pas être justifié. Documentez la révision avec la date, le nom de l'examinateur et le résultat.

Par où commencer

Si vous vous préparez à un test d'intrusion, priorisez d'abord les points 1, 2 et 3 — ce sont les découvertes d'accès initial les plus courantes et le risque le plus élevé. Les points 4, 5 et 6 sont les découvertes post-exploitation les plus courantes. Les points 7 à 12 sont les découvertes d'audit de conformité les plus courantes.

Les 12 points sont résolus par l'implémentation d'une solution PAM. La liste des découvertes de tests d'intrusion ne se raccourcit pas avec le temps sans elle — elle s'allonge à mesure que l'environnement s'étend.

VaultPAM résout les 12 de ces découvertes en un après-midi de déploiement. Aucun agent à installer. Aucun changement de pare-feu requis. Les sessions sont proxifiées exclusivement via des connecteurs sortants ; le port 3389 reste fermé.

Commencez votre essai gratuit — découvrez comment VaultPAM élimine les découvertes de tests d'intrusion RDP les plus courantes de votre environnement.

La liste de contrôle en 12 points​

1. Port RDP (3389) exposé directement sur internet​

2. Identifiants administrateur partagés entre serveurs​

3. Absence de MFA sur les comptes à privilèges​

4. Absence d'enregistrement des sessions​

5. Privilèges administrateur permanents (sans accès JIT)​

6. Absence de transmission du journal d'audit​

7. Identifiants non alternés dans des coffres-forts partagés ou des tableurs​

8. Absence de workflow d'approbation pour les cibles sensibles​

9. Noms de comptes administrateur par défaut (Administrator, admin, root)​

10. Absence de délai d'expiration des sessions inactives​

11. Contrôle d'accès uniquement par VPN (sans couche PAM)​

12. Absence de processus de révision des accès​

Par où commencer​