100%
GRIMOIRE
GrimoireCorpus DindonVolumes de SynthèseLe Socle du Fer
FRENAR
RATIO
LE SOCLE DU FER · SUPPORT DE COURS · SEMAINE 15
◆◆◆
SÉCURISATION
DES SYSTÈMES
Semaine 15 sur 26 · Bloc 5 — OS Bare Metal
10h théorie · 25h pratique
◆ OBJECTIFS PÉDAGOGIQUES DE LA SEMAINE

1. Appliquer les principes de durcissement OS sur Linux et Windows Server
2. Configurer et gérer SSH de façon sécurisée
3. Mettre en place un pare-feu local sur les deux systèmes
4. Gérer les mises à jour de sécurité
5. Auditer une configuration système de base

◆◆◆
⚠ AVERTISSEMENT — PÉRENNITÉ DES VERSIONS CITÉES

Les recommandations de durcissement et les outils de pare-feu évoluent avec les versions des OS. Les principes de ce support restent valables ; le formateur adapte les commandes spécifiques à la distribution et à la version Windows effectivement utilisées.

Amine RAITI · Architecte Infrastructure & SRE
Document public · CC BY-NC-SA 4.0 · AI Powered by Amine
Opération Dindon
RATIO
PLAN DE COURS · 10H
FIL CONDUCTEUR THÉORIQUE
15.1 · Principes du durcissement OS3h
— Principe du moindre privilège : un utilisateur, un service, un processus ne doit avoir que les droits strictement nécessaires
— Réduction de la surface d'attaque : désactiver les services inutiles, fermer les ports non utilisés
— Séparation des rôles : un serveur ne devrait pas cumuler des rôles critiques incompatibles
15.2 · Sécurisation de SSH (Linux)2h
— Désactiver l'authentification par mot de passe, utiliser uniquement les clés SSH
— Changer le port par défaut, limiter les utilisateurs autorisés à se connecter via SSH
— Configurer le timeout de session et le nombre maximal de tentatives
15.3 · Pare-feu local Linux et Windows3h
— Linux : principe de filtrage par couche (rappel du modèle OSI, anticipation de S17), configuration des règles de base
— Windows : pare-feu Windows Defender, profils réseau (domaine, privé, public), création de règles entrantes et sortantes
— Logique commune : définir ce qui est autorisé, refuser tout le reste (liste blanche vs liste noire)
15.4 · Mises à jour et audit de base2h
— Stratégie de mise à jour : automatique vs manuelle, importance des mises à jour de sécurité
— Audit de configuration de base : vérifier les services actifs, les ports ouverts, les comptes non utilisés
RATIO
TP1 · DURCISSEMENT SSH ET PARE-FEU LINUX · 12H

Matériel : serveur Linux installé en S8, un poste client pour tester les connexions.

(3h) Génération d'une paire de clés SSH sur le poste client, déploiement de la clé publique sur le serveur, test de connexion par clé, désactivation de l'authentification par mot de passe.
(2h) Durcissement de la configuration SSH : changement de port, limitation des utilisateurs autorisés, configuration du timeout de session, vérification des changements.
(4h) Configuration du pare-feu local : définir une politique par défaut de refus, autoriser uniquement les ports nécessaires (SSH sur le nouveau port, ports applicatifs utilisés), tester les refus et les autorisations.
(3h) Audit de configuration : liste des services actifs, liste des ports en écoute, liste des comptes utilisateurs actifs, identification des éléments à désactiver selon le principe de moindre surface d'attaque.
CORRIGÉ TP1

Point de vigilance critique : avant de désactiver l'authentification par mot de passe, toujours vérifier que la connexion par clé fonctionne depuis une session ouverte distincte — si la clé est mal configurée et qu'on ferme la session active, on se bloque hors du serveur. C'est l'erreur la plus fréquente et la plus coûteuse à ce stade.

Résultat attendu de l'audit : une liste claire distinguant les services nécessaires (à conserver), les services utiles mais non critiques (à évaluer), et les services inutiles (à désactiver) selon le rôle attendu du serveur.

RATIO
TP2 · DURCISSEMENT WINDOWS SERVER ET GESTION DES MISES À JOUR · 13H

Matériel : Windows Server installé en S11.

(3h) Audit initial : lister tous les rôles et fonctionnalités installés, identifier ceux qui ne sont pas nécessaires pour le rôle du serveur de test, les désinstaller proprement.
(3h) Configuration du pare-feu Windows : vérifier le profil actif, créer une règle autorisant un port spécifique en entrée, créer une règle bloquant un port non utilisé, tester les deux règles.
(3h) Gestion des mises à jour : vérifier les mises à jour disponibles, appliquer les mises à jour de sécurité critiques, vérifier le résultat et redémarrer si nécessaire.
(2h) Audit post-durcissement : comparer l'état initial et l'état final (services, ports, mises à jour), documenter les changements apportés et leur justification.
(2h) Comparaison Linux/Windows : tableau récapitulatif croisant les actions de durcissement réalisées sur les deux systèmes — pour ancrer la cohérence des concepts entre les deux environnements.
CORRIGÉ TP2

Tableau de comparaison attendu : SSH Linux ↔ RDP/WinRM Windows (accès distant sécurisé), iptables/nftables Linux ↔ Pare-feu Windows Defender (filtrage réseau), apt/dnf Linux ↔ Windows Update (mises à jour), journalctl Linux ↔ Observateur d'événements Windows (journaux) — la logique est identique dans les deux cas.

◆ FICHE DE SYNTHÈSE — AUTO-ÉVALUATION SEMAINE 15
1. Je sais expliquer le principe du moindre privilège.
2. Je sais configurer SSH avec authentification par clé et désactiver les mots de passe.
3. Je sais configurer un pare-feu local Linux avec une politique de refus par défaut.
4. Je sais créer des règles pare-feu Windows entrantes et sortantes.
5. Je sais auditer les services et ports actifs sur un serveur.
6. Je sais appliquer les mises à jour de sécurité sur Linux et Windows.
7. Je sais documenter les changements apportés lors d'un durcissement.
8. Je sais faire le parallèle entre les actions de durcissement Linux et Windows.