Guide pratique basé sur les recommandations de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information)
- Introduction
- 1. Principes de base
- 2. Firewall (Pare-feu)
- 3. DMZ (Zone Démilitarisée)
- 4. VLAN (Virtual Local Area Network)
- 5. VPN (Virtual Private Network)
- 6. Bastion (Jump Host)
- 7. Gateway (Passerelle)
- 8. MFA sur l'accès réseau
- 9. Architecture complète recommandée
- 10. Checklist de déploiement
- 11. Ressources officielles
- Conclusion
La sécurisation d'un réseau informatique repose sur un cloisonnement strict des zones de confiance et un contrôle d'accès multi-couches. L'ANSSI recommande une approche défense en profondeur où chaque zone est isolée des autres par des pare-feux, des VLANs et des contrôles d'authentification.
Sources officielles :
- ANSSI-PA-066 : Recommandations relatives à l'interconnexion d'un système d'information à Internet (juin 2020)
- ANSSI-BP-094 : Recommandations de configuration des commutateurs (février 2022)
- ANSSI-PA-044 : Recommandations pour choisir des pare-feux maîtrisés (janvier 2018)
Le cloisonnement consiste à séparer le réseau en zones de sécurité distinctes. Chaque zone a un niveau de confiance différent et les communications entre zones sont strictement filtrées.
Citation ANSSI : « Le cloisonnement du système d'information en zone de confiance est un impératif. »
Trois zones de base :
| Zone | Confiance | Accès Internet | Exemples |
|---|---|---|---|
| Internet (WAN) | Aucune | Oui | Utilisateurs externes, attaquants |
| DMZ | Moyenne | Partiellement | Serveurs web, proxy, DNS public |
| Réseau interne (LAN) | Élevée | Non | Serveurs critiques, données sensibles |
Le filtrage périmétrique signifie appliquer des règles de sécurité à la frontière entre deux zones :
- Filtrage externe : Internet → DMZ
- Filtrage interne : DMZ → LAN
Un pare-feu est un équipement qui contrôle le trafic réseau selon des règles définies. Il bloque par défaut tout ce qui n'est pas explicitement autorisé.
Principe de base : "Par défaut, tout est interdit sauf ce qui est explicitement autorisé"
L'ANSSI recommande l'utilisation de deux pare-feux pour une protection accrue :
- Pare-feu externe : Filtre le trafic Internet → DMZ
- DMZ : Zone intermédiaire
- Pare-feu interne : Filtre le trafic DMZ → LAN
Avantages :
- Défense en profondeur
- Si le pare-feu externe est compromis, le second protège toujours
- Rôles distincts = optimisation des performances
- Détection/blocage amélioré
Schéma simplifié :
Internet
↓
[Pare-feu externe] ← Bloc les ports inutiles
↓
[DMZ] ← Serveurs publics (web, mail, DNS)
↓
[Pare-feu interne] ← Filtre strictement vers le LAN
↓
[Réseau interne] ← Données sensibles, serveurs critiques
Le pare-feu applique une logique de liste blanche : seul le trafic autorisé passe, tout le reste est bloqué.
Sur le pare-feu externe :
- Autoriser : Trafic légitime (HTTP, HTTPS, DNS, Mail)
- Autoriser : Accès administrateur depuis adresses IP sûres
- Bloquer : Tous les autres ports et origines
Sur le pare-feu interne :
- Autoriser : DMZ vers base de données (port spécifique uniquement)
- Interdire : DMZ vers données sensibles
- Interdire : Tout accès non nécessaire entre zones
Les pare-feux modernes (Palo Alto Networks, Fortinet, Cisco ASA, pfSense) offrent :
- Enregistrement de toutes les connexions
- Alertes sur comportements suspects
- Rapports de sécurité
- Intégration SIEM (envoi des logs vers système centralisé)
La DMZ est une zone tampon entre Internet et le réseau interne. Elle contient les services accessibles depuis Internet mais isolée du cœur du système d'information.
Citation ANSSI : « Les services visibles sur Internet ne doivent pas être interconnectés avec le reste du système d'information (LAN), et nécessitent d'être cloisonnés dans une zone dédiée, une DMZ. »
Services publics → DMZ (exposés à Internet) :
- Serveur web (application client-facing)
- Serveur mail (SMTP, IMAP)
- Serveur DNS (résolution publique)
- Proxy inverse / Load balancer
Services critiques → LAN (protégés) :
- Bases de données métier
- Serveurs fichiers sensibles
- Serveurs d'authentification centralisée
- Sauvegardes
- Serveurs internes de gestion
Si un service en DMZ est compromis, l'attaquant ne peut pas accéder directement aux services critiques du LAN. Le pare-feu interne applique une liste blanche stricte : même si le serveur web est piraté, il ne peut accéder à la base de données que si c'est explicitement autorisé.
Exemple :
- Serveur web compromis ne peut accéder à la BD que sur le port 3306 avec une IP/utilisateur spécifique
- Impossibilité d'accéder à d'autres services (fichiers, AD, etc.)
- Tentatives d'accès non autorisées sont bloquées et enregistrées
INTERNET
|
[FW-Externe] ← Allow: 80, 443, 25, 53
|
+--+--+
|
[DMZ - Zone publique]
├─ Serveur Web
├─ Serveur Mail
└─ Serveur DNS
|
[FW-Interne] ← Allow: Seulement ports/IPs nécessaires
|
[LAN - Zone critique]
├─ Base de données
├─ Serveurs de fichiers
└─ Serveurs d'authentification
Un VLAN est une segmentation logique du réseau. Cela permet de créer plusieurs réseaux virtuels sur une même infrastructure physique.
Avantage : Cloisonnement logique sans avoir besoin de câbles supplémentaires
| Aspect | Physique | VLAN (logique) |
|---|---|---|
| Équipements | Plusieurs commutateurs | Un seul commutateur |
| Coût | Élevé | Faible |
| Sécurité | Maximale | Bonne si bien configuré |
| Complexité | Simple | Moyenne |
| ANSSI | Recommandé | Acceptable en complément |
Citation ANSSI : « Une segmentation logique doit être réalisée à l'aide de VLAN (Virtual Local Area Network) avec durcissement des équipements. »
La structure logique proposée :
VLAN 10 (Administration)
├─ Accès SSH/HTTPS uniquement
├─ Filtrage strict via pare-feu
└─ Monitoring actif
VLAN 20 (Production-Métier)
├─ Serveurs applicatifs
├─ Bases de données
└─ Filtré par pare-feu interne
VLAN 30 (Utilisateurs)
├─ Postes de travail
├─ Accès Internet filtré
└─ Accès contrôlé aux ressources métier
VLAN 40 (DMZ)
├─ Serveurs publics
├─ Isolé du reste du réseau
└─ Double pare-feu
VLAN 50 (Gestion)
├─ Sauvegarde
├─ Monitoring
└─ Administration système
Les VLANs doivent être isolés les uns des autres. Pour communiquer entre VLANs, il faut passer par un routeur/pare-feu qui applique les règles.
Principe :
VLAN 10 (Admin)
↓ [Demande de communication]
↓
[Routeur/Pare-feu] ← Applique les règles de sécurité
↓ [Si autorisé]
↓
VLAN 20 (Prod)
Chaque communication inter-VLAN est :
- Enregistrée
- Filtrée
- Monitorée pour détecter les comportements anormaux
Un VPN crée un tunnel chiffré entre deux points du réseau, permettant une communication sécurisée sur un réseau non fiable (Internet).
Usages :
- Télétravail : Employé en VPN → Accès au LAN
- Site-à-site : Branche A ↔ Branche B via Internet
- Sécurisation du nomadisme
Scénario : Un employé accède au réseau interne depuis l'extérieur
Employé (Internet)
↓ [VPN chiffré]
↓
[VPN Gateway]
↓
[Authentification (MFA)]
↓
[Réseau interne] ← Accès autorisé via VLAN dédié
Avantages :
- Confidentialité : le trafic est chiffré end-to-end
- Intégrité : impossible de modifier les paquets sans détection
- Authentification : l'utilisateur doit prouver son identité
Technologies recommandées :
- OpenVPN (recommandé par l'ANSSI)
- WireGuard (moderne, léger)
- IPsec (standard de l'industrie)
Site A (Branche 1)
↓ [IPsec/VPN chiffré]
↓
Internet
↓
[VPN Gateway distante]
↓
Site B (Branche 2)
Résultat : Deux réseaux locaux communiquent de manière sécurisée
Le VPN à lui seul n'est pas suffisant. L'ANSSI recommande d'ajouter MFA :
Utilisateur en VPN doit prouver :
1. Son certificat ou clé partagée (quelque chose qu'il a)
2. Son identifiant + code TOTP (quelque chose qu'il sait + possède)
Résultat : Pour se connecter, l'attaquant doit avoir :
- Certificat/clé du VPN
- Identifiant
- Accès au téléphone pour le code TOTP
Un bastion est un serveur intermédiaire obligatoire pour accéder aux serveurs sensibles. C'est le seul point d'entrée pour l'administration sécurisée.
Analogie : Un château a une entrée principale (bastion). On ne peut pas accéder à la salle du trésor directement, il faut passer par l'entrée, être contrôlé, puis être guidé.
Administrateur Internet
↓ [SSH à travers VPN ou SSH fort]
↓
[Bastion - Jump Host] ← Enregistre TOUT (audit complet)
↓
Serveur critique (BD, etc.) ← Accessible UNIQUEMENT via bastion
Sans bastion (risqué) :
- Chaque serveur sensible expose SSH sur Internet
- Surface d'attaque énorme
- Chaque serveur a ses propres identifiants
- Difficile d'auditer qui a fait quoi
Avec bastion (sécurisé) :
- Seul le bastion est exposé
- Un seul point de filtrage/monitoring
- Audit centralisé de toutes les actions admin
- Chaque connexion est enregistrée (utilisateur, timestamp, commandes)
- Historique complet pour les enquêtes de sécurité
Un bon bastion doit avoir :
Authentification :
- Clés SSH sans passphrase interdites
- MFA obligatoire
- Authentification LDAP/Active Directory
Audit :
- Enregistrement de toutes les sessions
- Journal des commandes exécutées
- Alertes sur comportements suspects
Isolation :
- Utilisateurs n'ont que les privilèges minimaux
- Aucun accès direct à Internet
- Pas de services non nécessaires
Contrôle :
- Restrictions sur ports accessibles
- Limites de sessions simultanées
- Timeouts de session
- Logging centralisé
Un proxy web de filtrage est un point de contrôle obligatoire pour tout trafic HTTP/HTTPS depuis le réseau interne vers Internet. Il agit comme un intermédiaire qui décide ce que chaque utilisateur peut accéder ou non.
Citation ANSSI : « Le filtrage du trafic Internet doit être réalisé de manière centralisée pour tous les utilisateurs du système d'information. »
L'académie de Toulouse recommande deux approches complémentaires :
Principe : "Par défaut, tout est interdit sauf ce qui est explicitement autorisé"
Fonctionnement :
- Seuls les sites/domaines autorisés peuvent être visités
- Tout le reste est bloqué
- Plus sécurisé mais plus contraignant
- Idéal pour les environnements très contrôlés (écoles, administrations)
Exemple :
Sites autorisés :
✓ google.com (moteur de recherche)
✓ github.com (travail développement)
✓ stackoverflow.com (documentation)
✗ Tous les autres : BLOQUÉS
Principe : "Par défaut, tout est autorisé sauf ce qui est explicitement interdit"
Fonctionnement :
- La plupart des sites sont accessibles
- Seules les catégories dangereuses/non productives sont bloquées
- Moins sécurisé mais plus flexible
- Idéal pour les environnements moins contrôlés (PME)
Exemple :
Sites bloqués :
✗ Torrents
✗ Jeux en ligne
✗ Réseaux sociaux
✗ Contenu malveillant
✓ Tous les autres : AUTORISÉS
Le proxy web analyse et catégorise les sites selon :
| Catégorie | Exemple | Whitelist | Blacklist |
|---|---|---|---|
| Professionnel | github.com, stackoverflow.com | ✓ Autorisé | ✓ Autorisé |
| Productif | google.com, wikipedia.org | ✓ Autorisé | ✓ Autorisé |
| Malveillant | sites de phishing, malware | ✗ Bloqué | ✗ Bloqué |
| Contenu adulte | sites pour adultes | ✗ Bloqué | ✗ Bloqué |
| Réseaux sociaux | facebook.com, twitter.com | ✗ Bloqué | Dépend politique |
| Jeux/Loisirs | twitch.tv, youtube.com | ✗ Bloqué | Dépend politique |
| Torrents | thepiratebay.com | ✗ Bloqué | ✗ Bloqué |
Utilisateur du LAN
↓
[Demande HTTP vers site.com]
↓
[Proxy web de filtrage]
├─ Analyse la requête
├─ Vérification liste blanche/noire
├─ Catégorise le site
├─ Enregistre la tentative d'accès
└─
↓ [Si autorisé]
↓
Internet → site.com
↓ [Réponse]
↓
[Proxy web]
├─ Vérifie le contenu reçu
├─ Scanne antimalware
├─ Enregistre la réponse
└─
↓ [Si sûr]
↓
Utilisateur ← Contenu filtré
Si site bloqué :
Utilisateur demande accès à site-interdit.com
↓
[Proxy web] → Détecte blocage
↓
Utilisateur reçoit → Page d'erreur ou avertissement
↓
Administrateur → Enregistrement de la tentative
Sécurité :
- Détection des malwares avant qu'ils atteignent le poste utilisateur
- Prévention du phishing en bloquant les sites malveillants
- Prévention des data leaks (certains proxies détectent l'exfiltration de données)
Contrôle :
- Respect de la politique d'accès (whitelist/blacklist)
- Identification de l'utilisateur (qui a visité quoi ?)
- Audit complet pour analyse d'incident
Performance :
- Cache des contenus fréquents
- Réduction de la bande passante
- Compression des données
Conformité :
- Traçabilité pour audits
- Respect de la loi (ex: RGPD, blocage contenu illégal)
- Documentation des accès
Pour une école/académie (très restrictif) :
- Liste blanche stricte
- Seuls sites pédagogiques autorisés
- Bloquage complet réseaux sociaux, jeux, contenu adulte
- Exemple : recommandations académie de Toulouse pour établissements scolaires
Pour une entreprise sensible (financière, santé) :
- Liste blanche pour services critiques
- Liste noire pour catégories dangereuses
- Approche hybride selon département
Pour une PME (modérément restrictive) :
- Liste noire des catégories non productives
- Accès libre sauf contenu malveillant
- Confiance dans le jugement des employés
Le proxy web s'ajoute à la défense en profondeur :
Couche 1 : Firewall réseau (bloque les ports)
Couche 2 : Proxy web (bloque les sites/catégories)
Couche 3 : Antimalware sur poste (détecte si contenu malveillant passe)
Même si un malware contourne le proxy, l'antimalware du poste peut le détecter. Les deux couches travaillent ensemble.
MFA doit s'appliquer à tous les accès au réseau, pas seulement à SSH.
802.1X est un protocole de l'IEEE qui authentifie les équipements avant qu'ils accèdent au réseau physiquement.
Processus :
Utilisateur branche son ordinateur
↓
[Switch avec 802.1X]
├─ Demande l'identité
├─ Vérifie auprès du serveur d'authentification (RADIUS/LDAP)
├─ Contrôle MFA (identifiant + TOTP ou certificat)
└─
Si OK → Ordinateur connecté au VLAN autorisé
Si KO → Isolé dans VLAN de quarantaine (réseau restreint)
Avantages :
- Aucun utilisateur non authentifié ne peut accéder au réseau
- Isolation automatique des appareils suspects
- Traçabilité : chaque accès réseau est lié à un utilisateur
- Respect du moindre privilège : chacun n'accède qu'aux VLANs autorisés
La plupart des environnements utilisent un serveur RADIUS ou LDAP pour centraliser l'authentification :
RADIUS (Remote Authentication Dial In User Service) :
- Protocole standard pour l'authentification réseau
- Supporte EAP (Extensible Authentication Protocol) pour MFA
- Intégration facile avec Active Directory/LDAP
Flux :
Utilisateur sur switch
↓
[Switch] → [Serveur RADIUS]
↓
[Serveur RADIUS] → Active Directory (vérifier identifiant)
↓
[Serveur RADIUS] → MFA (envoyer code TOTP)
↓
[Serveur RADIUS] → [Switch] (autorisé ou non)
Combinaison de plusieurs facteurs :
- Certificat VPN (quelque chose qu'on a)
- Identifiant/Mot de passe (quelque chose qu'on sait)
- Code TOTP (quelque chose qu'on possède)
Cela signifie qu'un attaquant doit avoir accès à :
- Votre ordinateur (certificat)
- Vos identifiants (pas facile à voler en direct)
- Votre téléphone (pour TOTP)
Trois choses différentes = sécurité très forte.
Voici une architecture sécurisée intégrant tous les éléments :
┌─────────────────────────────────────────────────────────┐
│ INTERNET │
└────────────────────┬────────────────────────────────────┘
│
┌────────────────┴─────────────────────────────┐
│ │
┌───▼──────────────────────────────┐ ┌──────▼──────────────┐
│ Pare-feu EXTERNE + VPN Gateway │ │ Bastion (Jump Host) │ ◄── SSH renforcé
│ ├─ Allow: 80,443,25,53 │ │ (Audit complet) │
│ └─ VPN (OpenVPN/WireGuard/IPsec) │ │ │
│ + MFA │ │ │
└────────┬─────────────────────────┘ └────────┬────────────┘
│ │
┌────▼──────────────────────────────▼────┐
│ ZONE DMZ (VLAN 40) │
├─ Serveur Web (Reverse Proxy) │
├─ Serveur Mail │
├─ Serveur DNS public │
└────────┬───────────────────────────────┘
│
┌────────▼─────────────────┐
│ Pare-feu INTERNE │
│ Allow: Très restrictif │
│ Deny: Tout le reste │
└────────┬─────────────────┘
│
┌────────▼──────────────────────────┐
│ Proxy Web de Filtrage │ ◄── Liste blanche/noire
│ (Contrôle accès sites) │
└────────┬──────────────────────────┘
│
┌────────▼────────────────────────────────────────┐
│ RÉSEAU INTERNE LAN (Sécurisé) │
│ │
│ ┌──────────────────────────────────────────┐ │
│ │ VLAN 10 - ADMINISTRATION │ │
│ │ ├─ Monitoring & Logs (SIEM) │ │
│ │ ├─ Gestion pare-feu │ │
│ │ └─ Administrateurs (SSH via Bastion) │ │
│ └──────────────────────────────────────────┘ │
│ │
│ ┌──────────────────────────────────────────┐ │
│ │ VLAN 20 - PRODUCTION MÉTIER │ │
│ │ ├─ Serveur de Base de données │ │
│ │ ├─ Serveur d'application │ │
│ │ └─ Données sensibles (chiffrées) │ │
│ └──────────────────────────────────────────┘ │
│ │
│ ┌──────────────────────────────────────────┐ │
│ │ VLAN 30 - UTILISATEURS │ │
│ │ ├─ Postes de travail │ │
│ │ ├─ Authentification 802.1X + MFA │ │
│ │ └─ Accès Internet via Proxy Web │ │
│ └──────────────────────────────────────────┘ │
│ │
└─────────────────────────────────────────────────┘
Flux de sécurité :
- ✅ Utilisateur externe : VPN + MFA → LAN (VLAN 30)
- ✅ Admin distant : VPN + MFA → Bastion → Serveurs (enregistré/audité)
- ✅ Requête HTTP : Internet → FW ext → DMZ (serveur web)
- ✅ Accès BD : DMZ → FW int → VLAN 20 (BD - port spécifique uniquement)
- ✅ Utilisateur interne : 802.1X + MFA → VLAN 30 → Web Gateway → Internet
- Déployer double pare-feu (externe + interne)
- Créer DMZ physique ou VLAN dédié
- Configurer règles de filtrage par défaut = DENY
- Mettre en place monitoring et logs centralisés
- Tester les règles pare-feu
- Créer VLANs (Admin, Prod, Utilisateurs, Gestion, DMZ)
- Configurer routage inter-VLAN via pare-feu
- Implémenter 802.1X pour authentification réseau
- Tester l'isolement des VLANs
- Déployer bastion avec audit complet
- Implémenter VPN (OpenVPN, WireGuard, ou IPsec)
- Configurer MFA sur VPN
- Former les utilisateurs aux procédures
- Tester connexion VPN + MFA
- Vérifier audit des connexions bastion
- Configurer Web Gateway pour filtrage Internet
- Implémenter reverse proxy pour services publics
- ANSSI : https://cyber.gouv.fr
- ANSSI-PA-066 : Recommandations d'interconnexion à Internet
- ANSSI-BP-094 : Configuration des commutateurs
- ANSSI-PA-044 : Choix des pare-feux
- Standard IEEE 802.1X : Authentification réseau
La sécurisation d'un réseau repose sur plusieurs piliers :
- Cloisonnement strict (pare-feux, DMZ, VLAN)
- Authentification renforcée (MFA, 802.1X)
- Contrôle d'accès (Bastion, Gateway)
- Chiffrement (VPN, TLS)
- Monitoring continu (logs centralisés, audit)
Appliquées suivant les recommandations de l'ANSSI, ces mesures créent une infrastructure résiliente et capable de détecter rapidement les attaques. L'important est de commencer simple (pare-feu + DMZ) puis d'ajouter progressivement les couches (VPN, Bastion, MFA) selon les besoins et les risques.
La sécurité réseau est un processus continu : évaluer régulièrement la posture, tester les défenses, former les utilisateurs, et adapter l'architecture aux menaces émergentes.