Traffic sur interface malgré disparition access-group?

Bonjour,

En mettant à jour la conf d'un client je me suis rendu compte que l'access-group gérant l'interface "internet" avait changée mais qu'en même temps le trafic fonctionnait toujours sur cette interface. Un petit resumé pour que vous compreniez bien.

J'ai 3 interfaces: inside (flux du LAN du client), outside (flux allant sur le VSat du client pour la maison mère en France) et internet (flux VPN en provenance des filiales du client).
J'avais donc 3 lignes d'access-group:

access-group aaaa in interface inside
access-group bbbb in interface outside
access-group cccc in interface internet

Ci dessous vous avez l'ACL cccc au complet:

access-list cccc extended permit esp any any
access-list cccc extended permit udp any any eq isakmp
access-list cccc extended permit ah any any

Après avoir ajouté une nouvelle ACL pour gérer un nouveau flux, en regardant la conf, j'ai maintenant:

access-group aaaa in interface inside
access-group bbbb in interface outside
access-group cccc global (Ligne problématique)
access-group dddd in interface accessRAG (ajoutée par moi pour la nouvelle ACL)

Normalement personne n'a modifié la conf en dehors de moi et en modifiant la conf pour les nouveau flux, à aucun moment je n'ai fait:

no access-group cccc in interface internet et:
access-group cccc global

Donc j'ai 2 questions:
1- Comment expliquer la disparition de la bonne ligne et l'apparition d'une ligne que je n'ai jamais rentrée?
2- Pourquoi les VPN sont toujours montés et fonctionnels (je l'ai vérifié) alors que l'ACL qui les permettait n'est plus autorisée?

Autant vous dire que cela me préoccupe pas mal et j'aimerai vraiment comprendre.

Merci de m'avoir lu.