Architecture réseau & zones de sécurité›
WAN / InternetZone non fiable. Tout trafic entrant doit être filtré.
DMZZone isolée. Serveurs accessibles depuis Internet : web, mail, DNS.
LANRéseau interne de confiance. Postes, serveurs internes.
- Pare-feu externe : entre WAN et DMZ | Pare-feu interne : entre DMZ et LAN
- Serveur web public → DMZ obligatoire, jamais en LAN
- Les serveurs DMZ ne doivent jamais initier de connexion vers le LAN
- VLAN : segmenter le LAN (Postes / Serveurs / VoIP / Admin)
Règles de filtrage pare-feu›
• Les règles sont lues dans l'ordre — 1ère règle qui correspond est appliquée. Dernière règle = REFUSER TOUT.
| N° | Source | Destination | Port/Proto | Action | Commentaire |
|---|---|---|---|---|---|
| 1 | LAN | ANY | 80,443/TCP | AUTORISER | Navigation web |
| 2 | LAN | DNS_SERV | 53/UDP | AUTORISER | Résolution DNS |
| 3 | ANY | SRV_WEB | 80,443/TCP | AUTORISER | Site web public |
| 4 | DMZ | LAN | ANY | REFUSER | DMZ n'accède pas au LAN |
| 5 | ANY | ANY | ANY | REFUSER | Tout le reste bloqué |
- Identifier qui initie la connexion (client → serveur)
- Pare-feu stateful : règle de retour automatique — ne pas l'écrire
- Port source = éphémère (>1024) vs port destination = service
Cryptographie — du hachage à la signature›
Chiffrement symétrique
- Même clé pour chiffrer et déchiffrer — rapide, gros volumes · AES-128/256 · 3DES déprécié
Chiffrement asymétrique
- Clé publique (chiffre) / Clé privée (déchiffre) — RSA, ECC
Hachage (intégrité uniquement)
- Empreinte à sens unique · SHA-256/SHA-3 · MD5/SHA-1 obsolètes
Signature numérique
- Calcul du hash du message
- Chiffrement du hash avec la clé privée de l'émetteur
- Réception : déchiffrer avec clé publique, recalculer hash, comparer
- Garantit : authenticité + intégrité + non-répudiation
Pour chiffrer un message : on utilise la clé publique du destinataire. Pour signer : on utilise sa propre clé privée.
PKI & Certificats X.509›
Contenu d'un certificat X.509
- Version, numéro de série, algorithme de signature
- Émetteur : DN de l'Autorité de Certification (AC)
- Validité : date début + date d'expiration
- Sujet : DN du titulaire (CN = nom commun)
- Clé publique du sujet + extensions (SAN, usage de la clé)
- Signature de l'AC
Chaîne de confiance
AC Racine (auto-signée, dans le magasin de confiance du navigateur/OS)
→ AC Intermédiaire (signée par la racine)
→ Certificat serveur/utilisateur (signé par l'AC intermédiaire)
Révocation
CRLListe périodique des certificats révoqués. Simple mais pas temps réel.
OCSPVérification en temps réel du statut. Plus léger et immédiat.
Vérifier un cert : 1) Signature valide ? 2) Pas expiré ? 3) Non révoqué ? 4) CN/SAN correspond au serveur ?
TLS — Handshake détaillé›
1
Client Hello : version TLS max, liste de cipher suites, random client2
Server Hello : cipher suite retenue, random serveur, certificat serveur3
Vérification du certificat par le client (AC, validité, révocation, nom)4
Échange de clé : TLS 1.2 → pré-master secret / TLS 1.3 → ECDHE (Perfect Forward Secrecy)5
Les deux parties dérivent la clé de session symétrique (AES)6
Finished : premier message chiffré → session HTTPS établieTLS = asymétrique pour l'échange de clé → symétrique pour le flux. Combine sécurité et performance.
IPSec — modes & protocoles›
AH (proto 51)Intégrité + authentification.
Pas de confidentialité (pas de chiffrement).
Pas de confidentialité (pas de chiffrement).
ESP (proto 50)Intégrité + authentification
+ Confidentialité → Toujours préférer ESP.
+ Confidentialité → Toujours préférer ESP.
Mode transportProtège seulement la charge utile IP. Entre 2 hôtes finaux.
Mode tunnelEncapsule tout le paquet IP original. VPN site à site.
Négociation IKE
- Phase 1 : canal sécurisé entre gateways (ISAKMP SA)
- Phase 2 : négociation des SA IPSec (algorithmes, clés, durée de vie)
802.1X & RADIUS — authentification réseau›
SupplicantLe poste / appareil qui demande l'accès au réseau.
Authenticator (NAS)Switch ou AP Wi-Fi. Bloque le port jusqu'à auth réussie.
Authentication ServerServeur RADIUS. Renvoie Access-Accept ou Access-Reject.
1
Supplicant → Authenticator : EAPOL-Start2
Authenticator → Supplicant : EAP-Request/Identity3
Supplicant → RADIUS : identité + credentials4
RADIUS → Authenticator : Access-Accept ou Access-Reject5
Authenticator : ouvre ou bloque le port réseauVariantes EAP : EAP-TLS (certificat client), PEAP (tunnel TLS + MDP), EAP-TTLS.
Active Directory & Kerberos›
Structure AD : Forêt > Domaine > OU > Objets (users, computers, groupes)
- GPO : stratégies appliquées aux OU — imposer configs, restreindre accès
- LDAP port 389 / LDAPS 636 | KDC : gère l'authentification Kerberos
Kerberos — processus
1
Client → KDC/AS : demande de TGT2
KDC → Client : TGT chiffré avec la clé secrète du TGS3
Client → KDC/TGS : TGT + demande d'accès à un service4
KDC → Client : ticket de service5
Client → Serveur : ticket de service → accès accordéLe mot de passe ne transite jamais sur le réseau. Tickets valides 10h par défaut.
Analyse de risques — EBIOS Risk Manager›
- Bien support : élément du SI porteur d'une valeur métier (serveur, réseau, appli)
- Source de risque : entité menaçante (cybercriminel, concurrent, initié malveillant)
Niveaux de risque
| Gravité ↓ / Vraisemblance → | 1 Minime | 2 Significative | 3 Forte | 4 Maximale |
|---|---|---|---|---|
| 4 Critique | Moyen | Élevé | Critique | Critique |
| 3 Important | Faible | Moyen | Élevé | Critique |
| 2 Significatif | Faible | Faible | Moyen | Élevé |
| 1 Faible | Faible | Faible | Faible | Moyen |
5 ateliers EBIOS RM
- Cadrage et socle de sécurité
- Sources de risques (attaquants potentiels)
- Scénarios stratégiques (objectifs visés)
- Scénarios opérationnels (chemins d'attaque techniques)
- Traitement du risque : réduction / transfert / acceptation / refus
Hardening — Linux & Windows›
Permissions Linux — chmod
r=4 w=2 x=1 → [propriétaire][groupe][autres]
chmod 755 → rwxr-xr-x (owner: tout / group+others: lire+exéc)
chmod 644 → rw-r--r-- (owner: lire+écrire / others: lire seul)
chmod 600 → rw------- (owner uniquement — fichier privé)
chmod 777 → rwxrwxrwx (déconseillé !)
chown user:group fichier (changer propriétaire)
Politique de mots de passe (ANSSI)
- Longueur min : 12 caractères (14+ recommandé) · Complexité : maj+min+chiffre+spécial
- Durée max : 90 jours · Historique : 10 MDP · Verrouillage : 5 tentatives
GPO Windows courantes
Désactiver USB · Imposer BitLocker · Verrouillage écran auto · Bloquer panneaux de config · Restreindre les installations
Haute disponibilité, QoS & supervision (spécifique SISR)›
Haute disponibilité (HA) — continuité de service
RAID (Redondance disques)RAID 1 : miroir (copie exacte)
RAID 5 : parité distribuée (1 disque en panne toléré)
RAID 6 : 2 disques en panne tolérés
RAID 10 : RAID 1+0 (perf + redondance)
RAID 5 : parité distribuée (1 disque en panne toléré)
RAID 6 : 2 disques en panne tolérés
RAID 10 : RAID 1+0 (perf + redondance)
ClusteringActive/Active : 2 nœuds actifs simultanément (charge partagée)
Active/Passive : 1 nœud en veille (bascule si panne)
VIP (Virtual IP) : IP flottante qui suit le nœud actif
Active/Passive : 1 nœud en veille (bascule si panne)
VIP (Virtual IP) : IP flottante qui suit le nœud actif
- Load balancer : répartit la charge entre plusieurs serveurs (Round Robin, Least Connections)
- Lien agrégé (LACP / 802.3ad) : agrégation de plusieurs interfaces réseau en une seule
- VRRP / HSRP : protocoles de redondance de passerelle par défaut (routeur virtuel)
- STP / RSTP : évite les boucles de commutation, redondance des liens switch
Taux de disponibilité :
99% → ~3,65 jours d'arrêt/an
99,9% → ~8,76 heures/an
99,99% → ~52 minutes/an ("quatre 9")
QoS — Qualité de Service
- QoS : mécanisme de priorisation du trafic réseau selon le type de flux
- Classification des flux : VoIP (priorité haute) > vidéoconférence > données > téléchargement
- DSCP (Differentiated Services Code Point) : marquage dans l'en-tête IP
- Shaping : limiter la bande passante d'un flux Policing : éliminer les paquets excédentaires
- Métriques QoS : latence (délai) · gigue (variation de délai) · perte de paquets · bande passante
VoIP nécessite : latence < 150 ms, gigue < 30 ms, perte < 1%. Sans QoS, la voix est dégradée par les transferts de données.
Supervision réseau
- SNMP v3 (port 161 UDP) : protocole de supervision, collecte de métriques depuis les équipements
- Agents SNMP : logiciel sur l'équipement supervisé qui répond aux requêtes
- MIB (Management Information Base) : base de données des variables accessibles via SNMP
- Trap SNMP : alerte envoyée proactivement par l'équipement (ex : interface down)
- Nagios / Zabbix : outils de supervision open source — alertes par email/SMS
- Grafana + Prometheus : stack moderne de supervision avec tableaux de bord temps réel
- Syslog (port 514) : centralisation des journaux — niveaux 0 (Emergency) à 7 (Debug)
• SNMP v1/v2 = non chiffré, vulnérable. Toujours utiliser SNMP v3 en production (auth + chiffrement).
Sauvegardes, PRA & PCA›
| Type | Ce qui est sauvegardé | Restauration |
|---|---|---|
| Complète | Tout le système | 1 sauvegarde seulement |
| Différentielle | Depuis la dernière complète | Complète + 1 différentielle |
| Incrémentale | Depuis la dernière sauvegarde | Complète + TOUTES les incrémentales |
RTO — Recovery Time ObjectiveDurée max d'interruption acceptable.
Ex : RTO=4h → SI rétabli en max 4h
Ex : RTO=4h → SI rétabli en max 4h
RPO — Recovery Point ObjectivePerte de données max acceptable.
Ex : RPO=1h → max 1h de données perdues
Ex : RPO=1h → max 1h de données perdues
PCAMaintenir l'activité pendant l'incident. Redondance, basculement.
PRAReprendre l'activité après l'incident. Restauration, reconstruction.
Règle 3-2-1 : 3 copies des données, sur 2 supports différents, dont 1 hors site.
Logs, SIEM, attaques & protocoles sécurisés›
Niveaux Syslog
0-Emergency · 1-Alert · 2-Critical · 3-Error · 4-Warning · 5-Notice · 6-Info · 7-Debug | Port 514 UDP
SIEM — rôle
- Collecte tous les logs · Normalise en format commun · Corrèle pour détecter des patterns
- Outils : Splunk · Wazuh (open source) · IBM QRadar · Microsoft Sentinel
Indicateurs d'attaque dans les logs
- Multiples échecs d'authentification → brute force
- Connexions à des heures inhabituelles · Transferts de données anormaux
- Modifications de fichiers système · Élévation de privilèges inattendue
Protocoles réseau sécurisés (à connaître)
| Protocole | Port | Usage |
|---|---|---|
| SSH | 22/TCP | Administration distante sécurisée (remplace Telnet) |
| HTTPS | 443/TCP | HTTP + TLS |
| SFTP | 22/TCP | Transfert sécurisé (remplace FTP port 21) |
| SNMPv3 | 161/UDP | Supervision avec authentification et chiffrement |
| LDAPS | 636/TCP | Annuaire LDAP chiffré (TLS) |
| RDP | 3389/TCP | Bureau distant Windows |