MODULE 2

ARCHITECTURE SECURISEE DES RESEAUX

+ CONCEPTS ET RÈGLES
D’ARCHITECTURES
+
CONCEPTS ET RÈGLES D’ARCHITECTURES

1 La nécessité d’une architecture sécurisée

2 Gestion des incidents et des accès

3 Contre-mesures de sécurité

4 Règles de sécurisation
+ 4

ARCHITECTURE SÉCURISÉE
Objectifs du cours

 La nécessité d'une architecture sécurisée

 Gestion des identités et des accès
 Contre-mesures de sécurité :

o FW / DMZ / Proxy
o Anti Malwares
o Segmentation réseau (VLAN)
o S O C / SIEM
o Honeypots
o VPN

 Règles de sécurisations
+ 5

ARCHITECTURE SÉCURISÉE
Architecture sécurisée

Pour faire respecter

 Concepts  Disponibilité
 Principes  Intégrité
 Système
 Ouvraged'art  Confidentialité
d’exploitation
 Lesnormes  Équipement  Preuve
 Réseautage
Concevoir, mettre en  Application
œuvre, surveiller et Sécurité (DICP)
sécuriser
+ 6

ARCHITECTURE SÉCURISÉE
Bienfaits d’une architecture sécurisée au niveau de
l'entreprise

Représenter
Fournir une
une simple
vision unifiée
vision àlong
des contrôles
terme du
de sécurité
contrôle

Fournirune
Tirer parti des approche
investissements flexible aux
existants dans menaces
la technologie actuelles et
futures
+ 7

ARCHITECTURE SÉCURISÉE
Règlesde sécurisation

● Il est possible d’organiser sapropre architecture « à sacause »

● Mais dans le cadre d’une architecture sécurisée,il est important de

respecter un ordre de placement et certaines règles aussi bien au
niveau des équipements réseau que des logiciels qui enrichissent la
sécurité
+ 8

ARCHITECTURE SÉCURISÉE
Exemples d'architectures de réseausanssécurité
périmétrique
● Réseauplat sans segmentation
● Aucun élément de surveillance
● Pasde filtrage du trafic entrant ou sortant
● Pas de vérification des logiciels malveillants ou des SPAM
● Accès direct aux services ouverts aux clients distants…
+ 9

ARCHITECTURE SÉCURISÉE
Principes d’une architecture sécurisée

Organiser et Détecter les

fairefonctionner activités
le systèmede inattendues, Architecture
façonà cequ'il indésirables et sécurisée
puisse être malveillantes
contrôlé
+
CONCEPTS ET RÈGLES D’ARCHITECTURES

1 La nécessité d’une architecture sécurisée

2 Gestion des incidents et des accès

3 Contre-mesures de sécurité

4 Règles de sécurisation
+ 11

ARCHITECTURE SÉCURISÉE
Gestion des identités et desaccès

 Framework pour les processus business qui facilite la gestion des

identités électroniques/numériques
 Ensemble d’outils nécessaires pour capturer et enregistrer les informations
de connexion des utilisateurs
 Concept de base de données des identités utilisateur
 Concept de privilèges d'accès
* Lesresponsables informatiques peuvent contrôler l'accès des utilisateurs aux
informations au sein de leur organisation
+ 12

ARCHITECTURE SÉCURISÉE
Attribution de privilèges :recommandations

● Attribuer les comptes aux utilisateurs de manièrenominative

– Un utilisateur = un compte

● Tracer les actions effectuées par chaque utilisateur

● Faire signer une charte d’utilisation du SI informant sur

– les conditions et les règles d’utilisation des ressources du SI
– lesresponsabilités de l’utilisateur et celles de l'entreprise
– lessanctions internes et civiles encourues
+
CONCEPTS ET RÈGLES D’ARCHITECTURES

1 La nécessité d’une architecture sécurisée

2 Gestion des incidents et des accès

3 Contre-mesures de sécurité

4 Règles de sécurisation
+ 14

ARCHITECTURE SÉCURISÉE
Pare-feu

● Dispositif informatique qui filtre les flux d’informations

● FWréseau classiquement positionné en coupure

* neutralise les tentatives de pénétration en provenance de l’extérieur et maîtrisedes
accèsvers l’extérieur
+ 15

ARCHITECTURE SÉCURISÉE
Pare-feu

 Fonctionnement global politique de sécurité en mode whitelisting

(recommandé) ou black listing

 Définition intérieure de règles d'entrée et de sortie de flux

 Un pare-feu peut examiner le contenu des paquets pour appliquer

sa politique de filtrage
+ 16

ARCHITECTURE SÉCURISÉE
Règlesd’un pare-feu

REJECT:le FWlaisse DROP:le FWlaisse

tomber les IPet renvoie tomber les paquets IPet
un paquet message ne renvoie aucun ACCEPT:le FWfait
passer les paquets IP
d'erreur au système messaged'erreur au
source système source
+ 17

ARCHITECTURE SÉCURISÉE
Principaux types de FW

● Pare-feu de type réseau

– Filtrage sur la couche réseau (IP source/destination) voire transport
(protocole TCP/UDP)

● Pare-feu applicatif
–Filtrage sur des ports et protocoles applicatifsidentifiés
Exemple :WAFsur HTTP

● Pare-feu personnel
– Logiciel pour end-points (PC,tablettes,smartphones…)
+ 19

ARCHITECTURE SÉCURISÉE
Web Application Firewall (WAF)

 FWqui contrôle l'entrée, la sortie et/ou l'accès depuis, vers ou par

une application ou un service

 Filtre, bloque et surveille le trafic HTTPen lien avec une application

web

 Prévient les vulnérabilités web -> OWASPtop 10…

+ 20

ARCHITECTURE SÉCURISÉE
Pare-feu personnel

 Logiciel installé qui fonctionne sur un ordinateur individuel ou

un dispositif connecté à un réseau (ex : FW intégré Microsoft)
 Contrôle le trafic réseau entrant et sortant et détermine s'il doit
être autorisé dans un périphérique particulier
 C’est un moyen granulaire de :
– protéger les hôtes individuels contre les virus et les logiciels
malveillants
– Contrôler la propagation de ces infections nuisibles dans l'ensemble
du réseau
 Son emplacement rend la personnalisation possible pour le
rendre encore plus efficace/adapté à titre individuel
+ 21

ARCHITECTURE SÉCURISÉE
Exemples de Règles FW

Destimatiom Source Destimatio

Rule Action Source I P Protocol
IP Port m
Port
1 Accept 172.16.0.0/16 192.168.0.4 TCP Any 25

2 Accept Any 192.168.10.8 TCP Any 80

3 Accept 172.16.0.0/16 192.168.0.2 TCP Any 80

4 Deny Any Any Any Any Any
+ 22

ARCHITECTURE SÉCURISÉE
Àquoi sert une DMZ?

LaDMZ joue le rôle de zone

tampon entre le réseau à
protéger et un réseau
hostile
+ 23

ARCHITECTURE SÉCURISÉE
Zone démilitarisée (DMZ)

● Sous-réseau local placé entre

l'intranet et un réseau externe (ex :
Internet) avec un FWen coupure

● Utilisé pour les services publics tels

que DNS, email, web et FTPqui sont
exposés à des risques de sécurité
+ 24

ARCHITECTURE SÉCURISÉE
Principes d’une DMZ

● Accessible à la fois par le réseau interne et le réseauexterne

● Permets d’héberger des services sur l’équivalent du réseauinterne…

…sanspour autant que la totalité du réseau soit accessible

● Toutes les connexions passent par le FWqui vérifie les autorisations

(ports notamment)
+ 25

ARCHITECTURE SÉCURISÉE
Architecture type 1
+ 26

ARCHITECTURE SÉCURISÉE
Architecture type 2
+ 27

ARCHITECTURE SÉCURISÉE
Àquoi sert un proxy?

● (Pseudo-)anonymat
● Protection
● Centralisation (administration…)
● Filtrage
+ 28

ARCHITECTURE SÉCURISÉE
Proxy

● Plusieurs types de serveur proxy (forward, transparent, anonyme,

reverse…)

● Usages courants :
– Filtrage d’internet au sein d’uneentreprise
– Contournement de restrictions sur l’origine
– Accélération des échanges
– Centralisation des connexions pour analyse…
+ 29

ARCHITECTURE SÉCURISÉE
Forward proxy

 Cache l'identité des clients et les protège del’externe

+ 30

ARCHITECTURE SÉCURISÉE
Reverseproxy

 Cache l'identité des serveurs finaux et les protège de l’externe

+ 31

ARCHITECTURE SÉCURISÉE
Àquoi sert un IDS/IPS?

● Alerter en cas de tentatives d’intrusion

● Blocage des attaques
● Surveillance et contrôle du réseau
+ 32

ARCHITECTURE SÉCURISÉE
Comparaison IDS/IPS

Un IDS écoute le trafic réseau d'une

manière furtive pour identifier les
activités anormales ou suspectes et
prévenir ainsi les risques d'intrusion

Un IPS prend des mesures pour

réduire l'impact d'une attaque. C'est
un IDSactif
+ 33

ARCHITECTURE SÉCURISÉE
IDS/ IPS

● IDS : système de détections d'intrusion

– Application qui surveille les activités
malveillantes ou anormales vers la cible
(réseau ou hôte)
● Tentatives d’intrusion
● Attaques virales
● Débits trop importants
● Trafic suspect…
● IPS: système de protections contre
lesintrusions
Détection
– Solution IDSétendue qui a pour
IDS d’intrusion
possibilité de bloquer
automatiquement lesmenaces
Détection Blocagedes
IPS d’intrusion menaces
+ 47

ARCHITECTURE SÉCURISÉE
VPN

 Tunnel qui permet d’étendre un réseau privé sur un réseau

public
* lesutilisateurs ont l'impression d’être directement connectée au réseau privé

 Différentes technologies pour assurer éventuellement la

confidentialité et/ou l’intégrité et/ou l’authentification

 Le« tunneling » est utilisé pour "emballer/encapsuler" des

paquets et les transporter À L'INTÉRIEURd'un autre paquet d'un
domaine d'interconnexion à un autre
+ Contre-mesures de sécurité :
Architecture logiciel
+ 53

Outils de sécurité des applications

SCA Software Composition Analysis

Outils de
DAST Dynamic Application Security Testing
sécurité
SAST Static Application Security Testing
+ 54

Outils de sécurité en DevOps

+
S O C ET SIEM
+ 57

À quoi sert un SOC ?

Àquoi sert un SOC?

Détecter, analyser et réagir aux

incidents de cybersécurité à l'aide d'une
combinaison de solutions technologiques
et d'un solide ensemble deprocessus
+ 58

À quoi sert un SOC ?

● Unité centralisée et dédiée à la sécurité : détestions, isolation,

remédiation et rétablissement
● Travail essentiel de veille en temps réel de périmètres
opérationnels(tâche quotidienne) ainsi que de veille en menaces
(tâche de fond)
● Stafing : en partie/tout outsourcé (SOCas a Service) ou en interne
● Moelle épinière :SIEM
+ 59

Fonctions de base d’un SIEM

Rejeu des
Collecte Normalisation Agrégation Corrélation Reporting Archivage
événements