đŸ§± Pare-feu (firewall), proxy, NAT : comprendre les gardiens du rĂ©seau

Ou pourquoi mettre un firewall ne suffit pas Ă  sauver ton SI d’un dĂ©sastre annoncĂ©.

đŸ”„ « On est protĂ©gĂ©s, on a un pare-feu. »

Ah bon ? Super. Tu devrais ĂȘtre peinard alors.

 sauf si t’as ouvert le port RDP Ă  tout Internet,

 laissĂ© passer des flux vers l’Ukraine « parce que le stagiaire avait besoin »,

 ou si ton firewall date de 2013 et n’a jamais vu une mise à jour.

Spoiler : le firewall ne fait pas tout.
Et il n’est pas tout seul Ă  dĂ©fendre la forteresse. Il faut comprendre comment il travaille avec le proxy, le NAT, et les rĂšgles rĂ©seau pour Ă©viter de finir dans un rapport d’incident ou notre article sur l’hygiĂšne numĂ©rique.

đŸ§± 1. Le pare-feu (firewall) – Le videur de boĂźte

Le pare-feu, c’est le videur du rĂ©seau. Il filtre ce qui entre et ce qui sort, en fonction de rĂšgles.
Tu veux accéder à Internet ? OK.
Un inconnu veut entrer depuis l’extĂ©rieur ? Nope.
Tu veux sortir en HTTP ? C’est notĂ©.
Tu veux faire du SSH vers 42 IPs russes ? 
 pas aujourd’hui.

🎯 RĂŽles principaux :

  • Filtrage IP / ports / protocoles
  • Inspection de paquets (voire DPI pour les NextGen)
  • ContrĂŽle de flux entrants et sortants (on oublie souvent ce dernier)

💬 Mais attention :

Un pare-feu mal configurĂ©, c’est comme un videur qui laisse entrer tout le monde sauf si t’as un t-shirt rouge.

Exemple :
Les ransomware rĂ©cents (Cl0p, Lockbit) ont souvent trouvĂ© des flux RDP ouverts vers l’extĂ©rieur. Tu sais, pour « dĂ©panner vite ».

🌐 2. Le proxy – Le serveur qui parle à ta place

Le proxy, c’est un intermĂ©diaire entre toi et Internet.
Quand tu demandes une page, c’est le proxy qui la va chercher, filtre ce qu’il reçoit, et te le retransmet.

🎯 Pourquoi c’est utile ?

  • Il cache les pages web (pour aller plus vite)
  • Il filtre les contenus (par exemple, bloquer TikTok en entreprise 😅)
  • Il masque ton IP rĂ©elle pour les flux sortants
  • Il journalise les connexions

👀 En gros, il te protĂšge de l’extĂ©rieur
 et surveille tes utilisateurs de l’intĂ©rieur.

Exemple :
Un employĂ© clique sur un lien malveillant → le proxy bloque l’accĂšs → incident Ă©vitĂ©.
Mais s’il passe en 4G perso sur son PC pro
 c’est phishing à Mamie.

📩 3. Le NAT – Le traducteur d’adresses

NAT = Network Address Translation

C’est le fonctionnaire des douanes : il traduit les adresses IP internes (privĂ©es) en adresses externes (publiques), et vice-versa.

🎯 Pourquoi ?

  • Parce qu’on a pas assez d’IPv4 pour tout le monde
  • Parce qu’on veut pas exposer toutes les machines en direct

đŸ”„ GrĂące au NAT, une centaine de machines peuvent sortir sur le net via une seule IP publique.
Et pour les connexions entrantes, on peut aussi rediriger :

Exemple : « Toute connexion sur monIP:8443 va vers serveur local 192.168.1.44:443 »

⚠ Mais attention : mal configurer un NAT, c’est comme dire au facteur de livrer les colis dans le mauvais appart.

đŸ€Š Pourquoi ça ne suffit pas

« On a un pare-feu » ≠ On est protĂ©gĂ©s.
Tu peux avoir :

  • Un firewall mal configurĂ©
  • Des rĂšgles permissives trop larges
  • Des flux internes ouverts sans logique (cf. notre dossier Active Directory)
  • Un proxy dĂ©sactivĂ© « parce que ça bloquait YouTube »
  • Et un NAT qui redirige un port FTP ouvert 24h/24

RĂ©sultat ?
Tu crois ĂȘtre sĂ©curisĂ©. Tu es juste un chĂąteau de cartes
 avec une pancarte « Bienvenue aux attaquants ».

🔍 Que faut-il vraiment faire ?

✔ Auditer les rĂšgles de pare-feu rĂ©guliĂšrement
✔ SĂ©parer les VLAN et segmenter les flux internes (oui, le VLAN prod ≠ VLAN invitĂ©)
✔ Logger et corrĂ©ler les accĂšs via un SIEM
✔ Faire du durcissement (blocage de ports inutiles, rĂšgles les plus strictes possibles)
✔ ContrĂŽler les flux sortants : ton poste n’a pas besoin de parler Ă  tout Internet
✔ Surveiller les redirections NAT et les ouvertures de ports
✔ Documenter tout ça (mĂȘme si c’est pas sexy)

🧠 En rĂ©sumĂ©

Un pare-feu, c’est bien.
Un pare-feu compris, bien configurĂ©, et entourĂ© de ses copains proxy, NAT et VLAN, c’est mieux.

Et si quelqu’un te dit encore « c’est bon, on est safe, on a un firewall », envoie-lui ce lien. Ou ce sticker :

“Je suis tombĂ© parce que mon firewall croyait qu’il bossait tout seul.”

đŸ§± Pare-feu (firewall), proxy, NAT : comprendre les gardiens du rĂ©seau
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut