Maîtriser les défenses réseau attendues à SY0-701 : firewall stateful vs stateless, NGFW, WAF, IDS/IPS (signatures vs anomalies, Suricata, Snort, Zeek), segmentation (VLAN, micro-segmentation, screened subnets, DMZ), NAC 802.1X, secure protocols (IPsec, SSH, HTTPS, SFTP, SNMPv3).
📍 À lire d’abord : Pilier Security+ SY0-701 · Home lab Security+.
Introduction
La sécurité réseau est le cœur historique de la cybersécurité. Au Security+, le sujet est testé dans les domaines 3 (Architecture, 18 %) et 4 (Operations, 28 %). Ce tutoriel couvre les compétences techniques attendues : déployer pfSense/Suricata, segmenter via VLAN, configurer 802.1X, appliquer des secure protocols partout.
Prérequis
- Lab home Security+ avec pfSense fonctionnel.
- Connaissance basique TCP/IP et VLAN (cf. tutoriel CCNA VLAN).
- Niveau intermédiaire.
- Temps : 3 heures.
Étape 1 — Types de firewalls
Stateless (packet filter) : décide par règle simple sur header (IP/port)
Rapide, basique, peut être contourné facilement
Stateful : suit les connexions (table d'état), bloque trafic non-établi
Standard depuis 2000s
NGFW (Next-Generation FW) : stateful + inspection L7 + IPS intégré + filtrage URL
Cisco Firepower, Palo Alto, Fortinet FortiGate, Check Point
WAF (Web App Firewall) : protection L7 spécifique HTTP (OWASP Top 10)
ModSecurity, Cloudflare WAF, AWS WAF
Cloud Firewall : firewall as a service (AWS Network Firewall, Azure Firewall)
Host-based Firewall : sur l'OS (Windows Defender FW, ufw, iptables, nftables)
À l’examen : choisir le bon type selon scénario. Trafic application web public ? WAF. Trafic interne entre VLAN ? NGFW.
Étape 2 — Configurer pfSense : règles firewall
Sur pfSense (cf. lab home Security+) :
Firewall > Rules > LAN
- Action: Pass / Source: LAN net / Dest: Any / Port: any (default: allow LAN to internet)
+ Action: Block / Source: LAN net / Dest: This Firewall / Port: 22 (block SSH from LAN)
+ Action: Pass / Source: 192.168.50.30 / Dest: 192.168.50.10 / Port: 3389 (RDP admin only)
+ Action: Block / Source: any / Dest: any (final deny — implicit deny anyway)
Vérifier les règles : Diagnostics > States montre les connexions stateful actives.
Étape 3 — IDS/IPS : Suricata vs Snort vs Zeek
Snort : IDS/IPS signature-based, depuis 1998, communauté énorme
Suricata : moderne (2010), multi-thread, signatures Snort compatibles, inspection L7
Zeek (Bro) : analyse comportementale, génère logs structurés, idéal pour SOC
Installer Suricata sur Kali :
sudo apt install -y suricata
sudo systemctl start suricata
sudo suricata-update # télécharge ruleset Emerging Threats (gratuit)
sudo systemctl restart suricata
# Tester avec une attaque simulée
curl http://testmyids.com # déclenche signature ET 2008983
sudo tail -f /var/log/suricata/fast.log
Tu vois l’alerte en temps réel. C’est exactement le workflow d’un analyste SOC L1.
Étape 4 — IDS vs IPS
IDS (Intrusion Detection System) : observe, alerte, ne bloque pas
IPS (Intrusion Prevention System) : observe, alerte ET bloque (drop le paquet)
Mode IDS : déploiement passif via SPAN port ou TAP, pas de risque de couper le trafic légitime. Mode IPS : in-line, peut bloquer mais risque de faux positifs qui cassent la prod.
Best practice : commencer en IDS, observer 1-2 mois, tuner les règles, basculer en IPS sur les règles fiables uniquement.
Étape 5 — Segmentation réseau
Trois niveaux de segmentation à connaître.
Macro-segmentation (VLAN) : séparer DMZ / LAN / Mgmt / Voice / IoT (cf. tutoriel CCNA)
Micro-segmentation : séparer chaque workload (Illumio, Cisco ACI, Akamai Guardicore)
Air-gap : isolation physique totale (réseau OT industriel)
Architecture typique d’une PME ouest-africaine bien sécurisée :
Internet → Firewall pfSense → DMZ (web public, mail) → Firewall interne → LAN
├─ VLAN Data
├─ VLAN Voice
├─ VLAN Mgmt
├─ VLAN IoT
└─ VLAN Invité
Les VLAN ne communiquent que via le firewall interne, qui applique des ACL strictes (ex: VLAN IoT ne peut PAS atteindre VLAN Data).
Étape 6 — Screened subnet (DMZ)
DMZ = Demilitarized Zone, zone tampon entre Internet et LAN interne pour les services accessibles publiquement.
Internet → FW1 (perimeter) → DMZ (web, mail, DNS public) → FW2 (interne) → LAN
Si un attaquant compromet un serveur DMZ, il doit franchir FW2 pour atteindre le LAN. Les règles : DMZ ne peut PAS initier connexion vers LAN ; LAN peut joindre DMZ pour gestion.
Variante moderne : « screened subnet » sans nom DMZ, géré par cloud (AWS VPC subnet public/privé).
Étape 7 — NAC : 802.1X et MAC filtering
NAC (Network Access Control) bloque les appareils non autorisés au niveau du port physique ou Wi-Fi.
802.1X : standard d'auth port. Combine RADIUS + EAP (EAP-TLS, EAP-PEAP)
Avant authentification, port en VLAN restreint
Après authentification, port en VLAN normal
Très solide, déployé en banques/grandes entreprises
MAC filtering : whitelist de MAC adresses autorisées
Faible (MAC spoofing trivial) — défense légère uniquement
Posture check : avant accès, vérifier que device a antivirus, patches à jour
Cisco ISE, Aruba ClearPass, Microsoft NPS
802.1X côté switch :
aaa new-model
aaa authentication dot1x default group radius
radius-server host 192.168.50.50 key SecretKey
dot1x system-auth-control
interface FastEthernet0/1
switchport mode access
authentication port-control auto
dot1x pae authenticator
Étape 8 — Secure protocols
Tableau de remplacement protocoles legacy :
Legacy (à remplacer) Secure (à utiliser)
Telnet (port 23) SSH (port 22)
HTTP (port 80) HTTPS (port 443) avec TLS 1.3
FTP (port 21) SFTP (sur SSH) ou FTPS
SNMPv1/v2c SNMPv3 avec auth + encryption
LDAP (port 389) LDAPS (port 636) ou STARTTLS
POP3/IMAP cleartext POP3S/IMAPS avec TLS
DNS cleartext DNS over HTTPS (DoH) ou DNS over TLS (DoT)
SMB v1 SMB v3 avec encryption
À l’examen : connaître les ports et les substitutions. Question typique : « Quel protocole utiliser pour transférer des fichiers de manière sécurisée ? » → SFTP ou FTPS.
Étape 9 — IPsec VPN
VPN site-à-site pour relier deux bureaux ou client-site pour accès distant employé.
Phases IPsec :
Phase 1 (IKE) : authentification et établissement tunnel sécurisé pour Phase 2
Modes : Main Mode (6 messages, lent mais sécurisé), Aggressive Mode (3 msg, rapide)
Auth : pre-shared key (PSK) ou certificat
Phase 2 (IPsec) : chiffrement et encapsulation des données
Modes : Transport (header IP préservé), Tunnel (header IP réécrit)
Protocoles : ESP (chiffrement + intégrité), AH (intégrité seule)
À l’examen : connaître ESP préféré à AH (qui ne chiffre pas), Tunnel mode standard pour VPN site-à-site, IKEv2 préféré à IKEv1.
Erreurs fréquentes
| Erreur | Solution |
|---|---|
| WAF déployé sans règles | Activer ModSecurity Core Rule Set (CRS) ou Cloudflare Managed Rules |
| IPS en mode bloquant immédiat sur tout | Phase IDS observation 1-2 mois avant IPS |
| VLAN management accessible depuis VLAN data | Restreindre VLAN mgmt avec ACL stricte |
| 802.1X sans fallback | Configurer « auth fail VLAN » pour ne pas bloquer un device légitime sans cert |
| SNMPv1 sur production | Migrer SNMPv3 obligatoire en 2026 |
Adaptation au contexte ouest-africain
Pour les PME ouest-africaines : pfSense ou OPNsense (gratuits, FreeBSD) = équivalent Cisco ASA pour le 1/10ème du coût. Suricata IDS sur la même machine couvre 90 % des besoins. Stack complète à ~50 000 FCFA (PC d’occasion).
Pour les opérateurs/banques : Cisco Firepower / Palo Alto / Fortinet FortiGate = NGFW enterprise. Coût 5-30 millions FCFA selon le débit. Maintenance contrat 20 % / an.
Pour les centres de formation : ce TP avec pfSense + Suricata + Wireshark se boucle en 3 heures par étudiant. Démonstration impressionnante de la détection en temps réel d’un scan Nmap.
FAQ
Snort ou Suricata ?
Suricata pour nouveaux déploiements (multi-thread, performance, support L7). Snort si environnement existant. Les deux utilisent les mêmes règles.
WAF ou IPS ?
Complémentaires. WAF = couche 7 web. IPS = tout protocole. Une banque a typiquement les deux.
Faut-il chiffrer les communications interne au LAN ?
Oui, c’est le principe Zero Trust. TLS partout, même entre microservices internes.
Pour aller plus loin
- 🔝 Pilier Security+ SY0-701
- ➡️ Suite : Incident response et forensic basique (à venir).
- Documentation : pfSense docs, Suricata docs, NIST SP 800-41 Firewall guidelines.
Mots-clés : firewall NGFW WAF, IDS IPS Suricata Snort Zeek, segmentation VLAN micro, 802.1X NAC, IPsec VPN ESP AH, secure protocols SSH SFTP HTTPS, screened subnet DMZ.
Approfondissement et cas pratiques
Études de cas réelles ouest-africaines
Cas 1 — Banque régionale, Dakar, 2024. Une banque de niche sénégalaise avec 12 agences et 350 employés a subi une intrusion par phishing ciblé d’une assistante de direction. Le compte compromis avait des droits étendus sur le SI bancaire faute de RBAC granulaire. L’attaquant a fait du lateral movement en 6 heures, exfiltré 25 Go de données clients, et activé un ransomware qui a chiffré 60 % des serveurs. Coût de l’incident : 1,2 milliards FCFA en remédiation, perte d’image, amendes ARTP, indisponibilité 11 jours. Leçons appliquées post-incident : MFA obligatoire (Conditional Access), Zero Trust segmentation, EDR sur tous endpoints, exercices phishing trimestriels, séparation des privilèges admin avec PIM.
Cas 2 — Opérateur télécom, Abidjan, 2025. Un opérateur ivoirien a découvert lors d’un audit annuel ISO 27001 que 40 % de ses serveurs Linux n’avaient pas été patchés depuis 18 mois. Un scan Nessus a révélé 1 200 CVE haute criticité dont 18 actuellement exploitées (tracées dans CISA Known Exploited Vulnerabilities). Plan de remédiation 90 jours : déploiement Ansible pour patching automatisé, fenêtre maintenance hebdomadaire, KPI patch cadence reportée mensuellement à la direction.
Cas 3 — Fintech, Lomé, 2024. Une fintech togolaise opérant sur 5 pays UEMOA a déployé une architecture Zero Trust dès sa création : MFA pour 100 % des employés, ZTNA en remplacement de VPN, micro-segmentation Kubernetes, vérification continue de la posture des devices via Microsoft Intune. Résultat : 0 incident sécurité en 24 mois, conformité PCI DSS validée du premier coup, baisse de 70 % du temps d’onboarding employé.
Cinq scénarios PBQ type examen détaillés
PBQ 1 : Configurer un firewall ACL. Tu as 10 règles à classer dans le bon ordre dans une UI drag-and-drop. La règle d’or : les règles les plus spécifiques d’abord, deny global en dernier. Block trafic Tor exit nodes en haut, allow flux internes connus, deny implicit any en fin.
PBQ 2 : Classifier un incident. On te présente 5 alertes SIEM. Tu dois les ranger par criticité (Critical / High / Medium / Low) en suivant le framework NIST. Critical = exfiltration confirmée + données sensibles. High = malware détecté avec persistence. Medium = scan réseau récurrent. Low = brute force basique sans succès.
PBQ 3 : Implémenter Zero Trust. Tu as une architecture legacy avec VPN + Active Directory + apps on-prem. On te demande quelles 5 décisions architecturales prendre pour migrer Zero Trust. Réponse : ZTNA replace VPN, MFA partout, identity-based segmentation, continuous verification, least-privilege RBAC.
PBQ 4 : Configurer un risk register. Tableau Excel à compléter avec 6 risques pré-listés. Tu dois calculer ALE pour chacun (AV × EF × ARO), choisir stratégie traitement (Mitigate/Transfer/Accept/Avoid), et assigner risk owner. Le calcul ALE est testé directement.
PBQ 5 : Forensic chain of custody. Scénario incident, tu dois ordonner 8 actions chronologiquement. La séquence canonique : isolate machine (pas éteindre), capture RAM avec FTK Imager, capture disque avec write-blocker, hash SHA-256 pour chaque image, signer formulaire chain of custody, transporter au labo, faire copie travail, analyser uniquement la copie.
Architecture défensive de référence pour PME africaine
[Internet] → [pfSense FW + Suricata IDS] → [DMZ : web public, mail]
→ [LAN segmenté]
├── VLAN-Data (postes utilisateurs)
├── VLAN-Voice (téléphonie IP)
├── VLAN-Mgmt (admin réseau)
├── VLAN-IoT (caméras, imprimantes)
└── VLAN-Invité (Wi-Fi visiteur)
Identités : Microsoft Entra ID + MFA + Conditional Access + PIM pour admins
Endpoints : Microsoft Defender for Endpoint sur tous postes + serveurs
Backup : Azure Backup GRS + immutability storage (rétention 30j daily, 12 mois mensuel)
Monitoring: Wazuh SIEM agrégant logs FW + endpoints + AD + apps métier
Dashboard live + alertes critiques routées vers SOC
Coût standard PME 50 employés : 8-15 millions FCFA/an tout compris
Cette architecture couvre les contrôles ISO 27001:2022 majeurs et permet de passer un audit PCI DSS niveau 2 sans investissement matériel additionnel au-delà du firewall et serveur de logs.
Compliance et conformité régionale 2026
Sénégal : loi 2008-12 sur la cybercriminalité (sanctionne accès non autorisé à un système informatique jusqu’à 7 ans de prison), loi 2008-08 sur les transactions électroniques, code des communications électroniques. CDP (Commission de Protection des Données) supervise traitements de données personnelles, déclaration obligatoire sous 72h en cas de breach affectant données nominatives.
Côte d’Ivoire : loi 2013-451 sur la cybercriminalité, ARTCI (Autorité de Régulation des Télécommunications) audite obligatoirement les opérateurs et plateformes financières. Sanctions jusqu’à 100 millions FCFA + 5 ans prison.
UEMOA / CEDEAO : règlement 08/2013/CM/UEMOA sur la protection des données personnelles, Acte additionnel A/SA.1/01/10 sur la lutte contre la cybercriminalité. Reconnaissance mutuelle des décisions judiciaires entre 8 pays UEMOA et 15 pays CEDEAO.
International applicable : RGPD pour toutes les données de citoyens UE (extraterritorialité), PCI DSS v4.0 obligatoire pour tout processeur de paiement carte (Wave, Orange Money, banques), HIPAA pour santé numérique avec patients américains.
Pour un poste d’analyste GRC ou compliance officer en banque africaine, maîtriser au minimum : ISO 27001, PCI DSS, RGPD, et la réglementation nationale (CDP/ARTCI) est requis.
Plan de carrière post-Security+ détaillé
0-6 mois post-cert : décrocher un poste analyste SOC L1 dans une banque régionale, opérateur télécom, ou ESN cybersec (Wari, NSIA Tech, Atlantique IT, Avizo, Smart Africa). Salaire de départ 500 000-700 000 FCFA. Activités : monitoring SIEM 24/7 en équipes tournantes, triage d’alertes, rédaction de tickets, escalade L2.
6-18 mois : monter en compétence sur l’investigation, suivre formation CySA+ (CompTIA Cybersecurity Analyst) ou GCIH (SANS GIAC). Salaire 700 000-1 000 000 FCFA. Activités : threat hunting, analyse forensic basique, contribution aux runbooks, formation des nouveaux L1.
18-36 mois : pivoter selon affinité — pentest (CEH puis OSCP), analyste senior (CySA+ puis GCIH), architecture (CISSP). Salaire 1 200 000-1 800 000 FCFA. Possibilité de remote pour clients européens via plateformes comme Toptal ou Malt.
36+ mois : positions de management (CISO adjoint, responsable SOC), consultant senior indépendant, ou freelance international. Salaire 2 000 000-4 000 000 FCFA si en local, 4-8 millions FCFA en remote international.
Évolution alternative — entrepreneur : créer son cabinet d’audit cybersec ou MSSP (Managed Security Service Provider) régional. Investissement initial 5-15 millions FCFA, rentabilité dès la 2e année avec 4-6 clients PME récurrents. Modèle qui se développe rapidement à Dakar et Abidjan en 2026.
Outils complémentaires recommandés
Pour le SOC analyst : Wazuh (SIEM open-source gratuit, alternative à Splunk pour PME), TheHive (case management open-source), MISP (threat intelligence sharing), VirusTotal Enterprise, Shodan Membership.
Pour le pentester : Burp Suite Pro (450 USD/an), Cobalt Strike (alternative open-source : Sliver, Havoc), Bloodhound (mapping AD), Responder (LLMNR/NBT-NS poisoning).
Pour le compliance : Vanta ou Drata (automation SOC 2 / ISO 27001), Rapid7 InsightVM (vulnerability management), Tenable.io (alternative).
Pour la formation continue : SANS Cyber Aces (gratuit), Cybrary (gratuit + premium 60 USD/mois), TryHackMe (14 USD/mois), Blue Team Labs Online.