6.1 – Sécurité des réseaux : Fondamentaux
La sécurité réseau constitue le socle de toute stratégie de cybersécurité d’entreprise. Elle vise à protéger la confidentialité, l’intégrité et la disponibilité des communications et des ressources réseau. Cette section présente les concepts fondamentaux nécessaires à toute politique de sécurisation du périmètre réseau.
Info
Ce chapitre pose les bases indispensables pour construire un réseau sécurisé, segmenté, surveillé et maîtrisé par le RSSI.
1. Enjeux de la sécurité réseau
| Objectif | Description |
|---|---|
| Contrôler les accès | Limiter la surface d’exposition, filtrer les connexions |
| Protéger les flux | Empêcher les interceptions, falsifications ou écoutes |
| Segmenter les zones | Isoler les environnements sensibles (ex : prod / admin) |
| Détecter les anomalies | Identifier les comportements suspects ou malveillants |
| Réagir aux incidents | Contenir, tracer et corriger les intrusions réseau |
Quote
Un réseau non segmenté et mal filtré est une autoroute pour les attaquants.
2. Menaces spécifiques au réseau
| Type de menace | Exemple(s) | Risque associé |
|---|---|---|
| Interception | Sniffing de trafic, MITM | Perte de confidentialité |
| Usurpation | ARP spoofing, IP spoofing, DNS poisoning | Redirection, déni de service |
| Rejeu | Réutilisation de paquets réseau | Bypass d’authentification |
| Déni de service (DoS) | Flood ICMP, SYN flood, amplification | Indisponibilité des ressources |
| Intrusion | Scan, pivot, exfiltration, tunnels réseau | Compromission du SI |
3. Définir le périmètre réseau
Un périmètre réseau est l’ensemble des interfaces d’échange entre des zones de sécurité différentes (ex : Internet ↔ LAN, LAN ↔ DMZ, Wi-Fi ↔ cœur de SI).
Zones classiques :
- LAN Interne : SI, serveurs, postes, supervision
- DMZ (zone démilitarisée) : services accessibles depuis Internet (web, mail)
- Zone Wi-Fi : collaborateurs nomades ou BYOD
- Zone IoT / OT : équipements spécifiques (capteurs, automates)
- Zone d’administration : consoles, contrôleurs, accès SSH
Danger
Le Wi-Fi invité, l’IoT ou le VPN mal segmenté sont les vecteurs les plus courants d’entrée pour un attaquant.
4. Segmentation réseau
La segmentation consiste à diviser un réseau en zones logiques ou physiques distinctes pour limiter les mouvements latéraux d’un attaquant.
| Type de segmentation | Description | Outils utilisés |
|---|---|---|
| Logique | Séparation par VLAN, sous-réseaux | VLANs, ACLs, firewalls |
| Physique | Réseaux distincts non interconnectés | Switchs dédiés, DMZ, pare-feux |
| Fonctionnelle | Par usage ou profil de risques | Réseau prod, admin, invité |
Example
Un poste utilisateur ne doit jamais pouvoir dialoguer directement avec un ESX ou une baie de stockage.
5. Pare-feu (firewall)
Le pare-feu est un équipement ou logiciel qui filtre les flux réseau entrants/sortants en fonction de règles (ACLs, états, ports, IP…).
Types de pare-feux :
| Type | Caractéristiques principales |
|---|---|
| Filtrage statique | Règles fixes basées sur IP/port/protocole |
| Stateful (avec état) | Garde la trace des connexions actives |
| Pare-feu applicatif | Analyse en profondeur (DPI) jusqu’à la couche 7 |
| NGFW (Next Gen FW) | Intègre IPS, filtrage web, antimalware, sandboxing |
Tip
Positionner un pare-feu entre chaque zone de sécurité est une bonne pratique essentielle (ex : LAN ↔ DMZ ↔ Internet).
6. ACL (Access Control List)
Une ACL est une règle explicite autorisant ou refusant certains flux selon :
- IP source/destination
- Port source/destination
- Protocole
- Interface réseau
Exemple de règle :
Autoriser : LAN 192.168.10.0/24 vers DMZ 192.168.100.5:443 (HTTPS)
Refuser : LAN vers DMZ sur tout autre port
Warning
Une ACL mal ordonnée ou trop permissive est un trou béant dans la sécurité réseau.
7. DMZ (DeMilitarized Zone)
La DMZ est une zone tampon entre Internet et le LAN interne.
- Contient des services accessibles depuis Internet (serveurs web, mail, proxy)
- Est isolée à double sens : Internet ↔ DMZ ↔ LAN
- Ne doit jamais pouvoir initier de connexion vers le LAN
Example
Une requête utilisateur vers le site web d’entreprise passe : Internet → reverse proxy (DMZ) → web server (DMZ).
8. Bastion d’administration
Un bastion est une machine sécurisée qui centralise les connexions d’administration aux équipements réseau ou systèmes critiques.
| Fonctionnalités attendues |
|---|
| Journalisation complète (keystroke logging) |
| Authentification forte (MFA, SSO) |
| Cloisonnement des sessions |
| Traçabilité centralisée |
9. Supervision des flux
Tout réseau sécurisé doit être supervisé à travers des sondes, des logs, des collecteurs de flux (NetFlow, sFlow) ou des IDS.
Tip
La corrélation des logs dans un SIEM permet d’identifier des comportements anormaux sur plusieurs couches simultanément.
10. Recommandations opérationnelles
| Objectif | Action recommandée |
|---|---|
| Réduire la surface d’attaque | Supprimer les ports/services inutiles |
| Filtrer les flux | Appliquer le modèle deny-by-default |
| Documenter | Cartographie réseau logique et physique |
| Isoler | Appliquer la segmentation fonctionnelle |
| Visibilité | Journaliser, superviser, auditer |
| Contrôler l’accès | Authentification forte + segmentation |
Success
Tu maîtrises maintenant les fondations de la sécurité réseau. Dans la partie suivante, nous approfondirons les technologies avancées : VPN, IDS, NAC, ZTNA, SDN/SASE…