La sécurité des réseaux

Domaine 4 du CISSP

Le domaine 4 du CISSP couvre la communication et la sécurité des réseaux, un volet essentiel de la cybersécurité. Ce domaine traite des concepts fondamentaux des réseaux, des protocoles, des technologies et des mécanismes de sécurité permettant d'assurer la triade CIA (confidentialité, intégrité et disponibilité des données en transit).

 

Réseaux et protocoles

Un réseau informatique est un ensemble d'appareils interconnectés permettant la communication et le partage de ressources. On en distingue plusieurs types (LAN, WAN, MAN…).

Le modèle OSI (Open Systems Interconnection) divise la communication réseau en 7 couches : physique, liaison de données, réseau, transport, session, présentation et application. Le modèle TCP/IP, aujourd’hui beaucoup plus présent, est composé de quatre couches : accès au réseau, Internet, transport et application.

Les protocoles régissent la communication entre dispositifs. Les plus importants sont :

  • TCP (Transmission Control Protocol) : protocole de transport fiable et orienté connexion
  • UDP (User Datagram Protocol) : protocole moins fiable mais plus rapide que TCP
  • IP (Internet Protocol) : assure le routage des paquets
  • ICMP (Internet Control Message Protocol) : utilisé pour diagnostiquer les problèmes réseau (ex. Ping)
  • DNS (Domain Name System) : convertit les noms de domaine en adresses IP
  • HTTP/HTTPS : protocoles de communication web, HTTPS assurant le chiffrement des échanges
  • SMTP/POP3/IMAP : protocoles de messagerie électronique
  • FTP/SFTP : transfert de fichiers, SFTP ajoutant un chiffrement via SSH.

 

Menaces et vulnérabilités des réseaux

Les réseaux informatiques sont exposés à diverses menaces.

  • Attaques par déni de service (DoS/DDoS) : saturation d'une ressource réseau pour en perturber le fonctionnement.

  • Usurpation d'adresse (IP spoofing) : utilisation d'une fausse adresse IP pour contourner les mesures de sécurité.

  • Interception de trafic (Man-in-the-Middle, MITM) : un attaquant intercepte et modifie les communications.

  • Attaques sur les protocoles (DNS poisoning, ARP spoofing, etc.) : manipulation des protocoles pour rediriger le trafic.

  • Exploitation de vulnérabilités logicielles : attaques sur les failles des systèmes réseau.

Il s’ensuit qu’un certain nombre de précautions doivent être prises. Énumérons-les.

 

Segmentation et contrôle des accès

On entend par là trois éléments.

  • Pare-feu : filtrage du trafic en fonction de règles définies.

  • DMZ (Demilitarized Zone) : une zone démilitarisée est un sous-réseau isolé qui sert d’intermédiaire entre le réseau interne et Internet. Elle contient généralement des serveurs accessibles publiquement, tels que les serveurs pour le web ou la messagerie, afin de limiter l'exposition du réseau interne aux attaques extérieures. Les DMZ sont mises en place à l'aide de pare-feu qui contrôlent les flux de trafic entre le réseau externe, la DMZ et le réseau interne.

  • NAC (Network Access Control) : le contrôle d’accès réseau est un ensemble de mécanismes permettant de définir quelles machines et quels utilisateurs peuvent accéder aux ressources du réseau. Le NAC peut inclure des contrôles basés sur l'identité, l'état des appareils (mise à jour, présence d’un antivirus, conformité aux politiques de sécurité) et l’application de restrictions en fonction du niveau de risque détecté.

 

Protection des communications

Examinons trois façons de protéger les communications.

  • VPN (Virtual Private Network) : un VPN établit un tunnel sécurisé entre l'utilisateur et le réseau, souvent via Internet. Il permet de protéger les données en les chiffrant, évitant ainsi les interceptions sur des réseaux publics ou non sécurisés. C’est un outil du télétravail sécurisé.

  • Chiffrement des données (TLS, IPsec) : le chiffrement empêche toute lecture ou modification des données en transit. TLS est souvent utilisé pour sécuriser les communications web (HTTPS), tandis qu'IPsec protège les communications au niveau réseau (souvent utilisé avec VPN).

  • Authentification forte (2FA, certificats, Kerberos) : l'authentification forte renforce la sécurité en exigeant plusieurs facteurs d’identification (exemple : mot de passe suivi d’un code temporaire). Les certificats numériques valident l’identité d’un appareil ou d’un utilisateur. Kerberos, de son côté, est un protocole d’authentification réseau basé sur un modèle de tickets pour éviter la transmission de mots de passe.

 

Surveillance et détection des intrusions

Mentionnons deux types d’outils.

  • IDS/IPS (Intrusion Detection/Prevention Systems) : les IDS analysent le trafic réseau pour détecter des comportements suspects ou des signatures connues d’attaques. Les IPS vont plus loin en bloquant automatiquement certains flux identifiés comme malveillants. Ils permettent une défense en profondeur en réagissant rapidement aux incidents.

  • SIEM (Security Information and Event Management) : un SIEM centralise les journaux d’événements (logs) provenant de diverses sources (serveurs, pare-feu, applications), les corrèle et génère des alertes en cas d'anomalie. Il est indispensable pour une vision globale et en temps réel de la posture de sécurité du réseau.

voleur de données

 

Technologies particulières

Les réseaux sans fil présentent des risques accrus en raison de leur nature ouverte. Les bonnes pratiques incluent :

  • Utilisation du chiffrement WPA3 (remplaçant de WPA2).

  • Désactivation des SSID broadcast (diffusion du nom du réseau wifi) lorsqu’ils sont inutiles. La visibilité du réseau aux utilisateurs non autorisés est ainsi limitée, même si ce n’est pas une mesure de sécurité très forte.

  • Mise en place de contrôles d’accès renforcés (MAC filtering, 802.1X). 802.1X permet une authentification forte via un serveur RADIUS et le filtrage MAC peut ajouter une couche supplémentaire (mais reste contournable).

  • Isolation des clients pour empêcher les appareils connectés au même point d’accès de communiquer entre eux et ainsi limiter la propagation d’attaques internes.

  • Mise à jour régulière des points d’accès. Les firmwares doivent être tenus à jour pour corriger les vulnérabilités connues.

Le cloud nécessite quant à lui des mesures de sécurité  spécifiques.

  • Chiffrement des données au repos et en transit
  • Gestion des identités et des accès (IAM)
  • Surveillance continue des activités et audit des configurations.

Enfin, évoquons la sécurité de l'Internet des objets (IoT)

  • Segmentation des réseaux IoT
  • Mises à jour régulières des firmwares
  • Utilisation d’identifiants et de mots de passe robustes.

 

bouche-à-oreille