Apprentissages Critiques
AC34.01CyberAC34.02CyberAC34.03CyberAC34.04Cyber
Ce que j'ai fait
À approfondir
Pourquoi je l'ai fait
À approfondir
Comment je l'ai fait
À approfondir
Mes difficultés
À approfondir
Ce que j'en ai appris
À approfondir
Ce que je ferais autrement
À approfondir
Ce que j'ai fait
Dans la SAÉ 3.03, j'ai mis en œuvre des outils de sécurisation de l'infrastructure : segmentation par VLAN, accès d'administration chiffré et cloisonné, proxy de filtrage et réseaux WiFi séparés (personnel sécurisé / invité restreint au Web).
Pourquoi je l'ai fait
L'objectif était de réduire la surface d'attaque de l'infrastructure et de contrôler les flux entre les différents réseaux de l'entreprise.
Comment je l'ai fait
J'ai isolé les usages par VLAN (ADMIN, PERSONNEL, PRODUCTION, VIDEO), bloqué le trafic entre la production et les employés, restreint l'administration SSH/Web au seul réseau ADMIN, et déployé deux SSID WiFi avec des niveaux d'accès distincts.
Mes difficultés
Définir les bonnes règles de cloisonnement (qui peut joindre quoi) sans casser les services légitimes a été l'aspect le plus délicat.
Ce que j'en ai appris
J'ai appris à combiner segmentation, filtrage et contrôle d'accès comme outils avancés de sécurisation d'une infrastructure.
Ce que je ferais autrement
J'ajouterais un pare-feu dédié avec des règles explicites entre VLAN et une supervision des flux pour valider l'efficacité du cloisonnement.
Ce que j'ai fait
À approfondir
Pourquoi je l'ai fait
À approfondir
Comment je l'ai fait
À approfondir
Mes difficultés
À approfondir
Ce que j'en ai appris
À approfondir
Ce que je ferais autrement
À approfondir
Ce que j'ai fait
Dans la SAÉ 4.Cyber.01, j'ai participé à la conception et à la sécurisation de l'architecture réseau d'une entreprise répartie sur deux sites distants, maquettée sous Cisco Packet Tracer.
Pourquoi je l'ai fait
L'objectif était de proposer une architecture de système d'information sécurisée pour une structure multi-sites, de l'interconnexion jusqu'au cloisonnement interne.
Comment je l'ai fait
Chaque site a été segmenté en trois VLANs (Service, Production, Admin) avec un plan d'adressage en 172.16.x.0/24 ; l'interconnexion des deux sites passe par un tunnel GRE sécurisé par IPsec à travers un réseau public simulé. Une politique de filtrage par ACL a été appliquée : le réseau Admin accède à tout, tandis que les réseaux Service et Production sont isolés (aucun accès aux autres réseaux, locaux ou distants). Le projet incluait aussi DNSSEC, le durcissement des serveurs web et un audit selon la checklist ANSSI.
Mes difficultés
Articuler le cloisonnement par VLAN, les ACL et le tunnel chiffré inter-sites en une architecture cohérente, sans laisser de chemin d'accès non maîtrisé entre les zones, a été le point le plus exigeant.
Ce que j'en ai appris
J'ai appris à concevoir une architecture de SI sécurisée de bout en bout pour une petite structure multi-sites, en combinant segmentation, filtrage, chiffrement du lien WAN et bonnes pratiques ANSSI.
Ce que je ferais autrement
Je compléterais l'architecture par une supervision centralisée et un pare-feu dédié à chaque site pour renforcer le contrôle des flux au-delà des ACL.