Ou pourquoi mettre un firewall ne suffit pas à sauver ton SI d’un désastre annoncé.
🔥 « On est protégés, on a un pare-feu. »
Ah bon ? Super. Tu devrais être peinard alors.
… sauf si t’as ouvert le port RDP à tout Internet,
… laissé passer des flux vers l’Ukraine « parce que le stagiaire avait besoin »,
… ou si ton firewall date de 2013 et n’a jamais vu une mise à jour.
Spoiler : le firewall ne fait pas tout.
Et il n’est pas tout seul à défendre la forteresse. Il faut comprendre comment il travaille avec le proxy, le NAT, et les règles réseau pour éviter de finir dans un rapport d’incident ou notre article sur l’hygiène numérique.
🧱 1. Le pare-feu (firewall) – Le videur de boîte
Le pare-feu, c’est le videur du réseau. Il filtre ce qui entre et ce qui sort, en fonction de règles.
Tu veux accéder à Internet ? OK.
Un inconnu veut entrer depuis l’extérieur ? Nope.
Tu veux sortir en HTTP ? C’est noté.
Tu veux faire du SSH vers 42 IPs russes ? … pas aujourd’hui.
🎯 Rôles principaux :
- Filtrage IP / ports / protocoles
- Inspection de paquets (voire DPI pour les NextGen)
- Contrôle de flux entrants et sortants (on oublie souvent ce dernier)
💬 Mais attention :
Un pare-feu mal configuré, c’est comme un videur qui laisse entrer tout le monde sauf si t’as un t-shirt rouge.
Exemple :
Les ransomware récents (Cl0p, Lockbit) ont souvent trouvé des flux RDP ouverts vers l’extérieur. Tu sais, pour « dépanner vite ».
🌐 2. Le proxy – Le serveur qui parle à ta place
Le proxy, c’est un intermédiaire entre toi et Internet.
Quand tu demandes une page, c’est le proxy qui la va chercher, filtre ce qu’il reçoit, et te le retransmet.
🎯 Pourquoi c’est utile ?
- Il cache les pages web (pour aller plus vite)
- Il filtre les contenus (par exemple, bloquer TikTok en entreprise 😅)
- Il masque ton IP réelle pour les flux sortants
- Il journalise les connexions
👀 En gros, il te protège de l’extérieur… et surveille tes utilisateurs de l’intérieur.
Exemple :
Un employé clique sur un lien malveillant → le proxy bloque l’accès → incident évité.
Mais s’il passe en 4G perso sur son PC pro… c’est phishing à Mamie.
📦 3. Le NAT – Le traducteur d’adresses
NAT = Network Address Translation
C’est le fonctionnaire des douanes : il traduit les adresses IP internes (privées) en adresses externes (publiques), et vice-versa.
🎯 Pourquoi ?
- Parce qu’on a pas assez d’IPv4 pour tout le monde
- Parce qu’on veut pas exposer toutes les machines en direct
🔥 Grâce au NAT, une centaine de machines peuvent sortir sur le net via une seule IP publique.
Et pour les connexions entrantes, on peut aussi rediriger :
Exemple : « Toute connexion sur monIP:8443 va vers serveur local 192.168.1.44:443 »
⚠️ Mais attention : mal configurer un NAT, c’est comme dire au facteur de livrer les colis dans le mauvais appart.
🤦 Pourquoi ça ne suffit pas
« On a un pare-feu » ≠ On est protégés.
Tu peux avoir :
- Un firewall mal configuré
- Des règles permissives trop larges
- Des flux internes ouverts sans logique (cf. notre dossier Active Directory)
- Un proxy désactivé « parce que ça bloquait YouTube »
- Et un NAT qui redirige un port FTP ouvert 24h/24
Résultat ?
Tu crois être sécurisé. Tu es juste un château de cartes… avec une pancarte « Bienvenue aux attaquants ».
🔍 Que faut-il vraiment faire ?
✔️ Auditer les règles de pare-feu régulièrement
✔️ Séparer les VLAN et segmenter les flux internes (oui, le VLAN prod ≠ VLAN invité)
✔️ Logger et corréler les accès via un SIEM
✔️ Faire du durcissement (blocage de ports inutiles, règles les plus strictes possibles)
✔️ Contrôler les flux sortants : ton poste n’a pas besoin de parler à tout Internet
✔️ Surveiller les redirections NAT et les ouvertures de ports
✔️ Documenter tout ça (même si c’est pas sexy)
🧠 En résumé
Un pare-feu, c’est bien.
Un pare-feu compris, bien configuré, et entouré de ses copains proxy, NAT et VLAN, c’est mieux.
Et si quelqu’un te dit encore « c’est bon, on est safe, on a un firewall », envoie-lui ce lien. Ou ce sticker :
“Je suis tombé parce que mon firewall croyait qu’il bossait tout seul.”
