Security & Compliance Report

Network Topology

1. Introduction

Ce rapport résume les principaux résultats de l’analyse des configurations réseau et système, en tenant compte des exigences pertinentes de NIS2 et de TISAX. La configuration du NTP, des politiques de mots de passe, des systèmes de journalisation (syslog) et des listes de contrôle d’accès (ACL) constitue des éléments essentiels d’un ISMS robuste et sont déterminants pour la conformité.

Le réseau joue un rôle central : en tant que « colonne vertébrale des données » de toute organisation, il détermine largement la manière dont les informations peuvent être transmises, stockées et gérées en toute sécurité. Une architecture réseau stable et bien sécurisée constitue la base de mesures de sécurité efficaces et réduit les risques d’attaques ou de mauvaises configurations.

2. Résumé des résultats

Nombre total de résultats : 208
Répartition par criticité :

Medium: 73

Warning: 51

Info: 52

High: 32

3. Détails par catégorie

NTP Timeserver Issues (71) (Cliquer pour développer/réduire)

Device	Issue	Severity	Recommendation	Details
anon_hostname_31	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_14	No NTP server configured	Warning	Configure at least one external NTP server for time sync
anon_hostname_14	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_52	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_27	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_48	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_18	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_36	No NTP server configured	Warning	Configure at least one external NTP server for time sync
anon_hostname_36	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_22	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_17	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_28	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_33	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_35	No NTP server configured	Warning	Configure at least one external NTP server for time sync
anon_hostname_35	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_19	Only 1 NTP server(s) configured	Info	Add second NTP server for redundancy	172.16.4.4
anon_hostname_19	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_4	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_29	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_30	No NTP server configured	Warning	Configure at least one external NTP server for time sync
anon_hostname_30	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_41	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_38	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_11	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_9	Only 1 NTP server(s) configured	Info	Add second NTP server for redundancy	172.16.4.4
anon_hostname_9	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_23	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_26	Only 1 NTP server(s) configured	Info	Add second NTP server for redundancy	172.16.4.4
anon_hostname_26	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_10	Only 1 NTP server(s) configured	Info	Add second NTP server for redundancy	172.16.4.4
anon_hostname_10	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_25	No NTP server configured	Warning	Configure at least one external NTP server for time sync
anon_hostname_25	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_20	No NTP server configured	Warning	Configure at least one external NTP server for time sync
anon_hostname_20	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_39	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_45	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_42	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_8	No NTP server configured	Warning	Configure at least one external NTP server for time sync
anon_hostname_8	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_3	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_21	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_50	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_37	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_5	Only 1 NTP server(s) configured	Info	Add second NTP server for redundancy	172.16.4.4
anon_hostname_5	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_49	No NTP server configured	Warning	Configure at least one external NTP server for time sync
anon_hostname_49	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_13	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_46	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_2	Only 1 NTP server(s) configured	Info	Add second NTP server for redundancy	172.16.4.4
anon_hostname_2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_7	Only 1 NTP server(s) configured	Info	Add second NTP server for redundancy	172.16.4.4
anon_hostname_7	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_32	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_15	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_34	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_40	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_24	Only 1 NTP server(s) configured	Info	Add second NTP server for redundancy	172.16.4.4
anon_hostname_24	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_16	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_47	No NTP server configured	Warning	Configure at least one external NTP server for time sync
anon_hostname_47	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_6	No NTP server configured	Warning	Configure at least one external NTP server for time sync
anon_hostname_6	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_44	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_43	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_53	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_51	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
anon_hostname_12	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client

Password Policy Issues (48) (Cliquer pour développer/réduire)

Device	Issue	Severity	Recommendation	Config_Line
anon_hostname_31	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_14	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_52	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_27	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_48	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_18	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_36	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_22	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_17	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_28	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_33	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_35	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_19	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
anon_hostname_4	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_29	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_30	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_41	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_38	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_11	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_9	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
anon_hostname_26	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
anon_hostname_10	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
anon_hostname_25	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
anon_hostname_20	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_39	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_45	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_42	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_8	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
anon_hostname_50	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_37	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_5	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
anon_hostname_49	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_13	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_46	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_2	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
anon_hostname_7	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
anon_hostname_32	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_15	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_34	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_40	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_24	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
anon_hostname_16	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_47	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_6	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_44	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_43	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_53	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
anon_hostname_51	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS

Remote Access (Telnet/SSH) Findings (0) (Cliquer pour développer/réduire)

Device	Issue	Severity	Recommendation	Config_Line

IPSec / IKE Findings (30) (Cliquer pour développer/réduire)

Device	Issue	Severity	Recommendation	Details
anon_hostname_19	ISAKMP / IPSec using MD5	Medium	Use SHA-256 oder höher	Regex found 'hash md5'
anon_hostname_19	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
anon_hostname_19	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
anon_hostname_9	ISAKMP / IPSec using SHA-1	Medium	Use SHA-256 oder höher	Regex found 'hash sha' oder 'hash sha1'
anon_hostname_9	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
anon_hostname_9	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
anon_hostname_26	ISAKMP / IPSec using SHA-1	Medium	Use SHA-256 oder höher	Regex found 'hash sha' oder 'hash sha1'
anon_hostname_26	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
anon_hostname_26	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
anon_hostname_10	ISAKMP / IPSec using SHA-1	Medium	Use SHA-256 oder höher	Regex found 'hash sha' oder 'hash sha1'
anon_hostname_10	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
anon_hostname_10	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
anon_hostname_25	ISAKMP / IPSec using SHA-1	Medium	Use SHA-256 oder höher	Regex found 'hash sha' oder 'hash sha1'
anon_hostname_25	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
anon_hostname_25	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
anon_hostname_8	ISAKMP / IPSec using MD5	Medium	Use SHA-256 oder höher	Regex found 'hash md5'
anon_hostname_8	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
anon_hostname_8	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
anon_hostname_5	ISAKMP / IPSec using SHA-1	Medium	Use SHA-256 oder höher	Regex found 'hash sha' oder 'hash sha1'
anon_hostname_5	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
anon_hostname_5	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
anon_hostname_2	ISAKMP / IPSec using SHA-1	Medium	Use SHA-256 oder höher	Regex found 'hash sha' oder 'hash sha1'
anon_hostname_2	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
anon_hostname_2	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
anon_hostname_7	ISAKMP / IPSec using SHA-1	Medium	Use SHA-256 oder höher	Regex found 'hash sha' oder 'hash sha1'
anon_hostname_7	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
anon_hostname_7	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
anon_hostname_24	ISAKMP / IPSec using SHA-1	Medium	Use SHA-256 oder höher	Regex found 'hash sha' oder 'hash sha1'
anon_hostname_24	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
anon_hostname_24	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'

ASA Failover Issues (5) (Cliquer pour développer/réduire)

Device	Issue	Severity	Recommendation
anon_hostname_9	ASA failover partially configured	Info	Verify 'failover lan unit' or 'failover interface' config
anon_hostname_23	ASA failover partially configured	Info	Verify 'failover lan unit' or 'failover interface' config
anon_hostname_25	ASA failover partially configured	Info	Verify 'failover lan unit' or 'failover interface' config
anon_hostname_8	ASA failover partially configured	Info	Verify 'failover lan unit' or 'failover interface' config
anon_hostname_5	ASA failover partially configured	Info	Verify 'failover lan unit' or 'failover interface' config

VRF Usage Issues (0) (Cliquer pour développer/réduire)

Device	Issue	Severity	Recommendation	Details

Syslog & SNMP Issues (32) (Cliquer pour développer/réduire)

Device	Issue	Severity	Recommendation	Config_Line
anon_hostname_31	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_52	Logging trap set to 'debugging' (IOS)	Info	Consider using 'warnings' or 'errors' to reduce log noise	logging trap debugging
anon_hostname_48	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_36	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_28	Only one syslog server configured (IOS)	Info	Add second syslog server for redundancy	trap
anon_hostname_33	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_35	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_29	Logging trap set to 'debugging' (IOS)	Info	Consider using 'warnings' or 'errors' to reduce log noise	logging trap debugging
anon_hostname_30	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_41	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_38	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_23	Logging trap set to 'debugging' (ASA)	Info	Consider using 'warnings' or 'errors' to reduce log noise	logging trap debugging
anon_hostname_39	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_45	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_42	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_8	No Syslog server configured (ASA)	Warning	Use 'logging host ' or 'logging ' to enable remote syslog
anon_hostname_8	No 'logging trap' level set (ASA)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_50	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_37	No Syslog server configured (IOS)	Warning	Use 'logging host ' or 'logging ' to enable remote syslog
anon_hostname_37	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_49	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_13	Only one syslog server configured (IOS)	Info	Add second syslog server for redundancy	trap
anon_hostname_46	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_32	No Syslog server configured (IOS)	Warning	Use 'logging host ' or 'logging ' to enable remote syslog
anon_hostname_32	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_34	Logging trap set to 'debugging' (IOS)	Info	Consider using 'warnings' or 'errors' to reduce log noise	logging trap debugging
anon_hostname_40	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_47	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_44	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_43	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
anon_hostname_53	Logging trap set to 'debugging' (IOS)	Info	Consider using 'warnings' or 'errors' to reduce log noise	logging trap debugging
anon_hostname_51	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'

Unused Services Issues (22) (Cliquer pour développer/réduire)

Device	Issue	Severity	Recommendation	Config_Line
anon_hostname_14	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_27	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_18	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_22	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_17	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_28	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_4	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_41	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_38	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_11	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_20	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_39	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_42	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_50	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_13	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_15	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_16	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_47	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_6	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_43	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_53	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
anon_hostname_51	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh

Single Point of Failure Analysis (Cliquer pour développer/réduire)

Cette section montre combien de flux seraient perdus en cas de panne d’un nœud spécifique (LostFlows). Une valeur > 0 indique un point de défaillance unique potentiel (SPOF).

Gute Nachricht: Kein einziger Flow ging verloren – scheinbar existiert kein SPOF.

NodeDown	FlowsOkBefore	FlowsOkAfter	LostFlows

Unused ACLs (40) (Cliquer pour développer/réduire)

Structure_Type	Structure_Name	Source_Lines	Is truly unused?
extended ipv4 access-list	anon_acl_1	configs/anon_hostname_1.cfg:[53, 54]	No
extended ipv4 access-list	anon_acl_2	configs/anon_hostname_10.cfg:[34, 35, 36, 37, 38, 39, 40, 41]	No
extended ipv4 access-list	anon_acl_3	configs/anon_hostname_10.cfg:[43, 44, 45, 46, 47]	No
extended ipv4 access-list	anon_acl_7	configs/anon_hostname_10.cfg:[49, 50]	Yes
extended ipv4 access-list	UNUSED_ACL_3841	configs/anon_hostname_11.cfg:[62, 63, 64]	No
extended ipv4 access-list	UNUSED_ACL_4510	configs/anon_hostname_15.cfg:[31, 32]	No
extended ipv4 access-list	UNUSED_ACL_6472	configs/anon_hostname_16.cfg:[40, 41, 42]	No
extended ipv4 access-list	UNUSED_ACL_9685	configs/anon_hostname_18.cfg:[52, 53]	No
extended ipv4 access-list	anon_acl_2	configs/anon_hostname_19.cfg:[34, 35, 36, 37, 38, 39, 40, 41]	No
extended ipv4 access-list	anon_acl_3	configs/anon_hostname_19.cfg:[43, 44, 45, 46, 47]	No
extended ipv4 access-list	anon_acl_2	configs/anon_hostname_2.cfg:[34, 35, 36, 37, 38, 39, 40]	No
extended ipv4 access-list	anon_acl_3	configs/anon_hostname_2.cfg:[42, 43, 44, 45, 46]	No
extended ipv4 access-list	UNUSED_ACL_9	configs/anon_hostname_20.cfg:[31, 32, 33, 34]	No
extended ipv4 access-list	anon_acl_2	configs/anon_hostname_24.cfg:[34, 35, 36, 37, 38, 39, 40, 41, 42, 43]	No
extended ipv4 access-list	anon_acl_3	configs/anon_hostname_24.cfg:[45, 46, 47, 48, 49]	No
extended ipv4 access-list	anon_acl_2	configs/anon_hostname_25.cfg:[33, 34, 35, 36, 37]	No
extended ipv4 access-list	anon_acl_3	configs/anon_hostname_25.cfg:[39, 40, 41, 42, 43]	No
extended ipv4 access-list	anon_acl_8	configs/anon_hostname_25.cfg:[45, 46]	No
extended ipv4 access-list	anon_acl_2	configs/anon_hostname_26.cfg:[34, 35, 36, 37, 38, 39, 40, 41]	No
extended ipv4 access-list	anon_acl_3	configs/anon_hostname_26.cfg:[43, 44, 45, 46, 47]	No
extended ipv4 access-list	anon_acl_9	configs/anon_hostname_26.cfg:[49, 50]	Yes
extended ipv4 access-list	UNUSED_ACL_4313	configs/anon_hostname_27.cfg:[56, 57, 58]	No
extended ipv4 access-list	anon_acl_10	configs/anon_hostname_28.cfg:[40, 41]	No
extended ipv4 access-list	anon_acl_11	configs/anon_hostname_28.cfg:[43, 44, 45, 46]	No
extended ipv4 access-list	anon_acl_12	configs/anon_hostname_28.cfg:[48, 49, 50, 51]	Yes
extended ipv4 access-list	anon_acl_13	configs/anon_hostname_39.cfg:[24, 25, 26, 27]	No
extended ipv4 access-list	anon_acl_14	configs/anon_hostname_41.cfg:[24, 25]	Yes
extended ipv4 access-list	anon_acl_2	configs/anon_hostname_5.cfg:[34, 35, 36, 37, 38, 39, 40]	No
extended ipv4 access-list	anon_acl_3	configs/anon_hostname_5.cfg:[42, 43, 44, 45, 46]	No
extended ipv4 access-list	anon_acl_15	configs/anon_hostname_50.cfg:[27, 28, 29, 30]	No
extended ipv4 access-list	anon_acl_16	configs/anon_hostname_53.cfg:[24, 25, 26]	Yes
extended ipv4 access-list	anon_acl_2	configs/anon_hostname_7.cfg:[34, 35, 36, 37, 38, 39, 40, 41]	No
extended ipv4 access-list	anon_acl_3	configs/anon_hostname_7.cfg:[43, 44, 45, 46, 47]	No
extended ipv4 access-list	anon_acl_2	configs/anon_hostname_8.cfg:[33, 34, 35, 36, 37, 38, 39]	No
extended ipv4 access-list	anon_acl_3	configs/anon_hostname_8.cfg:[41, 42, 43, 44, 45]	No
extended ipv4 access-list	anon_acl_4	configs/anon_hostname_8.cfg:[47, 48, 49]	Yes
extended ipv4 access-list	anon_acl_5	configs/anon_hostname_8.cfg:[51, 52, 53]	No
extended ipv4 access-list	anon_acl_2	configs/anon_hostname_9.cfg:[34, 35, 36, 37, 38, 39, 40, 41]	No
extended ipv4 access-list	anon_acl_3	configs/anon_hostname_9.cfg:[43, 44, 45, 46, 47]	No
extended ipv4 access-list	anon_acl_6	configs/anon_hostname_9.cfg:[49, 50, 51]	No

ACL Trace / Flow Analysis (0) (Cliquer pour développer/réduire)

Node	Filter_Name	Flow	Action	Line_Content	Trace

4. Cartographie de conformité (TISAX / NIS2)

Synchronisation NTP (Exigence TISAX p. ex. AL2.5 « Horodatage », NIS2 Art. 20/21) : Une synchronisation horaire précise et fiable est essentielle pour la journalisation correcte des événements et l’intégrité des systèmes. Elle permet d’attribuer avec exactitude les incidents de sécurité et de corréler différentes sources de logs.

Configuration Syslog (TISAX p. ex. AL2.5 « Logging & Monitoring », NIS2 Art. 20/21) : La collecte et l’analyse centralisées des journaux soutiennent à la fois TISAX/ISMS et NIS2 (détection et signalement des incidents). Une collecte Syslog centralisée est également essentielle pour l’archivage sécurisé et la traçabilité des événements.

Politiques de mots de passe (TISAX AL2.1.x « Password Policies », NIS2 Art. 21 « Access Control ») : Des politiques de mots de passe complexes et appliquées de manière stricte sont des exigences clés de TISAX et de NIS2 en matière de gestion des utilisateurs et identités. Cela inclut longueur minimale, caractères spéciaux, changements réguliers, mécanismes de verrouillage et authentification multi-facteurs (MFA), selon l’évaluation des risques.

Listes de contrôle d’accès (ACL) (TISAX AL3 « Network Security Requirements », NIS2 Art. 21 « Segmentation ») : Les ACL assurent la segmentation et le contrôle des flux dans le réseau. Une utilisation insuffisante ou incorrecte peut créer des failles importantes. TISAX exige une segmentation claire et des règles d’accès ; NIS2 impose également des mesures techniques et organisationnelles adéquates pour protéger les infrastructures.

Telnet vs. SSH (TISAX AL2.5 « Chiffrement en transit », NIS2 Art. 20 « Hygiène cyber ») : Les protocoles anciens et non chiffrés comme Telnet représentent un risque majeur. TISAX et NIS2 exigent des accès de gestion sécurisés — donc SSH au lieu de Telnet. Cela garantit un niveau de chiffrement de base et une protection contre les attaques de type Man-in-the-Middle.

IPSec / VPN (TISAX AL2.5 ou AL3.3 « Cryptographie », NIS2 Art. 20/21) : Des connexions VPN sécurisées via IPSec (p. ex. IKEv2 avec AES-256 et DH Group14+) sont essentielles pour protéger la communication intersites ou les accès distants. TISAX exige un chiffrement approprié des données en transit ; NIS2 requiert des mesures efficaces contre l’interception et la manipulation.

Services non utilisés (TISAX AL2.x « Durcissement », NIS2 Art. 20 « Hygiène cyber ») : Les services ou ports inutiles doivent être systématiquement désactivés. Cela réduit la surface d’attaque et complique l’exploitation de failles potentielles. TISAX et NIS2 imposent des vérifications et mises à jour régulières des configurations.

Utilisation des VRF (TISAX AL3 « Séparation réseau », NIS2 Art. 21) : Le Virtual Routing & Forwarding (VRF) permet une séparation logique des tables et instances de routage. Indispensable lorsque différents niveaux de protection coexistent. Une configuration incorrecte peut introduire des failles ; VRF doit être implémenté selon TISAX (AL3) et NIS2.

Sécurité SNMP (TISAX AL2.5 « Gestion sécurisée », NIS2 Art. 20) : Les versions anciennes de SNMP (v1, v2c) sont vulnérables (p. ex. chaînes en clair). TISAX et NIS2 exigent des protocoles modernes comme SNMPv3 (chiffrement, authentification) pour éviter tout accès non autorisé ou manipulation.

Point de défaillance unique (SPOF) & Redondance (TISAX AL2.10 ou AL3.2 « Gestion des urgences », NIS2 Art. 21) : Dans un environnement hautement disponible, les SPOF doivent être identifiés et éliminés si possible. TISAX exige des plans d’urgence et des concepts de redondance pour garantir la continuité. NIS2 met également l’accent sur la continuité des activités et la résilience.

6. Cartographie de conformité étendue (ISO/IEC 27001:2022) (Cliquer pour développer/réduire)

Le tableau suivant montre comment certaines catégories réseau et sécurité se rattachent aux exigences des principaux standards et directives. Pour ISO/IEC 27001 et ISO/IEC 27002, les numéros de la version 2022 ont été utilisés.

Catégorie	ISO 27001:2022 (Annexe A)	ISO 27002:2022	NIS2 (*1)	KRITIS (DE)	TISAX (VDA-ISA)	NIST (SP 800-53 / CSF)	CIS Controls (v8)	BSI IT-Grundschutz	Remarque
Serveur de temps NTP	8.17 (Synchronisation de l’horloge)	8.17 (Synchronisation de l’horloge)	Art. 20, 21 (Détection, Journalisation)	§8a (IT-SiG) / KritisV	Processus ISMS (AL2?), ex. « Horodatage »	AU-8 (Horodatage), CSF: DE.CM-7 (Surveillance)	Contrôle 8 (Gestion des journaux d’audit)	ORP.4 (Journalisation), SYS.1.1	Des horodatages corrects sont essentiels pour la corrélation des journaux, la criminalistique et les événements.
Politiques de mot de passe	5.7 (Identification & Authentification), évent. 5.9 (Utilisation des accès privilégiés)	5.7 (Identification & Authentification), 5.9 (Utilisation des accès privilégiés)	Art. 21 (Contrôle d’accès)	§8a (Accès, Authent.)	AL2.1.3 ou AL2.2.2 (Politiques de mot de passe)	AC-2 (Gestion des comptes), IA-5 (Auth), CSF: PR.AC	Contrôle 5 (Gestion des comptes)	ORP.1 (Politiques), SYS.1.1 (Serveur)	Complexité, longueur, verrouillage etc. réduisent le brute force et le partage non autorisé d’accès.
Configuration Syslog	8.15 (Journalisation), 8.16 (Surveillance des activités)	8.15 (Journalisation), 8.16 (Surveillance)	Art. 20 (Journalisation), 21	§8a BSI-G (Exigences de log)	AL2.5 (Surveillance / Journalisation)	AU-2, AU-3 (Journalisation), CSF: DE.AE	Contrôle 8 (Gestion des journaux d’audit)	ORP.4 (Journalisation)	La journalisation centralisée (ex. Syslog) garantit l’intégrité et simplifie l’analyse.
Telnet / SSH	5.35 (Utilisation de protocoles de communication sécurisés)	5.35 (Utilisation de protocoles de comm. sécurisés)	Art. 20 (Mesures de sécurité de base)	§8a / KritisV	AL2.5 (Chiffrement en transit)	AC-17 (Accès distant), CSF: PR.AC	Contrôle 11 (Configuration sécurisée)	NET.1.1 (Gestion sécurisée)	SSH au lieu de Telnet (non chiffré) → Accès distant sécurisé.
Listes de contrôle d’accès (ACL)	8.23 (Sécurité réseau)	8.23 (Sécurité réseau)	Art. 21 (Segmentation, Protection)	§8a / KritisV	AL3 : « Exigences de sécurité réseau »	SC-7 (Protection des frontières), CSF: PR.PT	Contrôle 9 (Ports réseau, Protocoles)	NET.1.1 (Routeurs/Commutateurs)	Restriction des ports/protocoles, segmentation, droits d’accès minimaux.
IPSec / VPN	5.31 (Utilisation de la cryptographie), 5.35 (Comm. sécurisée)	5.31 (Utilisation de la cryptographie), 5.35	Art. 20 (Cryptographie), 21	§8a / KritisV	AL2.5, AL3.3 (Exigences cryptographiques)	SC-13 (Protection cryptographique), CSF: PR.DS-2	Contrôle 14 (Chiffrement)	CON.2 (Concept crypto), NET.1.1	Connexions VPN sécurisées, algorithme fort (AES256, SHA-2, DH Group14+).
Basculement ASA	5.29 (Redondance du traitement de l’information)	5.29 (Redondance du traitement de l’information)	Art. 21 (Gestion des risques, Résilience)	§8a BSI-G (Disponibilité)	AL3.2 (Plan d’urgence ?), AL2.10 (Redondance)	CP-2, CP-10 (Contingence, Redondance), CSF: PR.IP-4	Contrôle 12 / 13 (Continuité des services)	SYS.4.1 (Concepts de haute disponibilité)	Le basculement et la redondance sont essentiels pour la disponibilité et les exigences KRITIS.
Services non utilisés	8.9 (Gestion de configuration)	8.9 (Gestion de configuration)	Art. 20 (Hygiène cyber)	§8a / KritisV	AL2.x (Durcissement ?), Sécurité logicielle	CM-7 (Fonctionnalité minimale), CSF: PR.IP-1	Contrôle 2 (Inventaire/Contrôle SW) ou 11 (Config sécurisée)	SYS.1.1 (Serveur), NET.1.1	Désactiver les services inutiles, minimiser la surface d’attaque.
ACL non utilisées	8.23 (Sécurité réseau)	8.23 (Sécurité réseau)	Art. 21 (Sécurité réseau)	§8a / KritisV	AL3 (Sécurité réseau)	SC-7 (Protection frontière), CSF: PR.PT-3	Contrôle 9 (Ports réseau, ACL)	NET.1.1, OPS.1.2 (Exploitation correcte)	Supprimer les règles ACL inutiles, réduire la complexité, documentation claire.
Utilisation de VRF	8.23 (Sécurité réseau)	8.23 (Sécurité réseau)	Art. 21 (Segmentation)	§8a / KritisV	AL3 (Sécurité réseau, Séparation)	SC-7 (Protection frontière), CSF: PR.AC / PR.PT	Contrôle 9 (Limitation & Contrôle)	NET.1.1 (Composants réseau)	Virtual Routing & Forwarding pour séparation logique (locataires, zones de sécurité, etc.).
Sécurité SNMP	5.35 (Utilisation de protocoles de comm. sécurisés)	5.35 (Utilisation de protocoles de comm. sécurisés)	Art. 20 (Protocoles réseau sécurisés)	§8a / KritisV	AL2.5 (Chiffrement en transit)	AC-17 (Gestion à distance), CSF: PR.PT-3	Contrôle 9.4 (Limiter protocoles réseau)	NET.1.1 (Composants réseau)	SNMPv3 avec Auth & Chiffrement, pas de SNMPv1/v2c – réduction des risques MitM/sniffing.
Analyse SPOF	5.29 (Redondance) / poss. 5.30 (Résilience)	5.29 / 5.30 (Résilience)	Art. 21 (Continuité d’activité)	§8a / KritisV	AL2.10 ou AL3.2 (Gestion des urgences)	CP-2, CP-10 (Contingence), CSF: ID.RA / PR.IP-9	Contrôle 12 / 13 (Résilience, selon version)	SYS.4.1 (Haute dispo), DER.3 (Gestion incidents)	Identifier les SPOF, minimiser les risques de panne, stratégie de redondance.

(*1) Les références d’articles (Art. 20, Art. 21) concernent la directive NIS2 (UE) 2022/2555.

Remarque : Ce tableau utilise les numéros de contrôles ISO/IEC 27001:2022 et 27002:2022. Si votre organisation utilise encore la version 2013, les identifiants (A.x.x) diffèrent.

ISO 27001 / ISO 27002

ISO 27001 est devenu le « standard de facto » en matière de sécurité de l’information. Sur la base des contrôles d’ISO 27002, des mesures techniques comme la journalisation, la cryptographie ou la segmentation réseau peuvent être évaluées. Les recommandations de configuration de ce rapport (p. ex. sécurité des mots de passe, ACLs) sont essentielles pour mettre en œuvre ces contrôles avec succès.

Contrôles CIS / Référentiels CIS

Les CIS Controls présentent une liste priorisée de mesures de cybersécurité (inventaire, contrôle d’accès, surveillance, etc.). Les CIS Benchmarks contiennent en plus des recommandations détaillées de durcissement pour Cisco IOS, ASA, Linux ou Windows. Les résultats et recommandations de ce rapport (NTP, syslog, politiques de mots de passe) sont directement applicables aux guides CIS.

NIST SP 800-53 / NIST CSF

Les directives du NIST (National Institute of Standards and Technology) sont largement utilisées aux États-Unis et à l’international. Le NIST Cybersecurity Framework (CSF) (avec ses cinq fonctions « Identify », « Protect », « Detect », « Respond », « Recover ») couvre les exigences techniques et organisationnelles. Les faiblesses de ce rapport (p. ex. accès distants non sécurisés, absence de logs) se situent clairement dans les catégories « Protect » et « Detect ».

BSI IT-Grundschutz (spécifique à l’Allemagne)

En Allemagne, le BSI IT-Grundschutz fournit un cadre obligatoire pour les mesures de sécurité. Les composants réseau apparaissent dans des modules comme NET.1.1 (Routeurs & Switches) et SYS.1.1 (Serveurs généraux). Des configurations sécurisées (p. ex. accès de gestion chiffrés, service password-encryption) contribuent fortement à atteindre les objectifs IT-Grundschutz.

PCI DSS (données de cartes de paiement)

Dans l’e-commerce, la norme PCI DSS est primordiale. Elle impose des règles strictes pour la journalisation, la segmentation réseau, la gestion des correctifs et le chiffrement afin de protéger les données de cartes bancaires. Les faiblesses identifiées dans ce rapport (p. ex. ports Telnet ouverts, mots de passe en clair) doivent être corrigées rapidement.

HIPAA (Secteur santé, États-Unis)

Pour les entreprises de santé (cliniques, IT médicales), HIPAA est particulièrement pertinent. Audit trails, contrôle d’accès et standards de chiffrement solides sont essentiels. Des connexions distantes non sécurisées ou une configuration syslog insuffisante peuvent rapidement mener à des violations lors d’un audit HIPAA.

Autres standards sectoriels & Infrastructures critiques

D’autres exigences existent, parmi lesquelles :

Banques & finance : BaFin (DE), EBA Guidelines, BCBS 239.
Automobile : TISAX et VDA-ISA (déjà cités).
Infrastructures critiques (KRITIS) en DE/UE : NIS2, Kritis-Verordnung et implémentations nationales.

Les infrastructures critiques sont celles dont la défaillance ou l’altération peut entraîner des pénuries durables ou des perturbations graves de la sécurité publique. Ici, les exigences en matière de disponibilité et de stabilité des systèmes IT sont particulièrement élevées, incluant une architecture réseau sécurisée et un ISMS opérationnel.

5. Recommandations & Conclusion

Pour corriger les faiblesses identifiées et renforcer la sécurité IT, vous devriez notamment :

Configurer correctement les serveurs NTP et vérifier régulièrement leur disponibilité et précision.
Appliquer des politiques strictes de mots de passe (complexité, longueur, etc.).
Mettre en place une supervision syslog complète pour détecter rapidement les incidents.
Supprimer ou mettre à jour les ACLs inutilisées pour garder des règles claires et sécurisées.
Mettre à jour les réglages IPSec vers SHA-256 (ou supérieur) et DH Group14 (ou supérieur).
Remplacer systématiquement Telnet par SSH.
Finaliser les configurations ASA failover (incl. failover lan unit et failover interface).
Implémenter des VRF pour segmenter le réseau au lieu d’utiliser le « default VRF ».

Ces mesures vous aideront à mieux répondre aux exigences TISAX et NIS2, tout en tenant compte d’autres cadres comme ISO 27001/27002, CIS Benchmarks, NIST CSF, BSI IT-Grundschutz ou KRITIS. Un réseau sécurisé et correctement configuré réduit considérablement la surface d’attaque et constitue un élément clé d’une stratégie de cybersécurité efficace.