100%
GRIMOIRE
GrimoireCorpus DindonVolumes de SynthèseLe Socle du Fer
FRENAR
RATIO
LE SOCLE DU FER · SUPPORT DE COURS · SEMAINE 26
◆◆◆
SÉCURITÉ RÉSEAU
SYNTHÈSE ET SOUTENANCE FINALE
Semaine 26 sur 26 · Bloc 10 — Clôture de la Formation
6h théorie · 29h pratique
◆ OBJECTIFS DE LA SEMAINE FINALE

1. Mettre en place des ACL réseau et un pare-feu périmétrique basique
2. Réaliser un audit de sécurité de bout en bout sur l'infrastructure complète
3. Synthétiser les 25 semaines dans une architecture d'entreprise cohérente
4. Présenter et défendre l'ensemble du parcours en soutenance finale
5. Identifier les axes de progression personnelle et les certifications cibles

◆◆◆
⚠ AVERTISSEMENT — PÉRENNITÉ DES VERSIONS CITÉES

Les outils et syntaxes de pare-feu et d'ACL réseau évoluent avec les versions des systèmes et des équipements. Les principes de sécurité réseau présentés ici sont stables ; le formateur adapte les commandes spécifiques à l'environnement disponible au moment du cours.

Amine RAITI · Architecte Infrastructure & SRE
Document public · CC BY-NC-SA 4.0 · AI Powered by Amine
Opération Dindon
RATIO
PLAN DE COURS · 6H
FIL CONDUCTEUR THÉORIQUE
26.1 · ACL réseau et filtrage périmétrique3h
— ACL (Access Control List) : liste de règles de filtrage appliquées à un flux réseau sur un routeur ou un pare-feu
— Logique d'une ACL : chaque règle définit un critère (source, destination, port, protocole) et une action (autoriser ou refuser) — lien direct avec la logique booléenne de S3
— Ordre des règles : la première règle correspondante s'applique, les suivantes sont ignorées — importance de l'ordre
— Pare-feu périmétrique vs pare-feu hôte (S15) : le premier filtre le trafic entre zones réseau, le second protège un seul système
26.2 · Zones de sécurité réseau2h
— DMZ (zone démilitarisée) : zone intermédiaire pour les serveurs exposés à Internet (serveur web de S24) — ni totalement dedans, ni totalement dehors
— Réseau interne : infrastructure privée (AD S22, serveurs S8-S15)
— Principe général : filtrer ce qui entre, contrôler ce qui sort, journaliser ce qui est refusé
26.3 · Audit de sécurité de bout en bout1h
— Méthode d'audit : inventaire des actifs → vérification des accès → vérification des mises à jour → vérification des journaux → rapport
— Cette semaine est la première occasion de voir l'infrastructure comme un tout et d'identifier les incohérences entre semaines
RATIO
TP1 · ACL RÉSEAU ET AUDIT DE SÉCURITÉ DE BOUT EN BOUT · 14H

Matériel : infrastructure complète des semaines précédentes (hyperviseur, VMs Linux et Windows, AD, DNS, DHCP, web, BDD, VLANs), simulateur réseau pour les ACL.

(3h) Configuration d'ACL réseau sur le simulateur (topologie fournie) : autoriser le trafic HTTP/HTTPS sortant depuis le réseau interne, refuser tout trafic direct depuis Internet vers les serveurs internes, autoriser uniquement le serveur web (DMZ) à être joignable depuis Internet sur les ports 80 et 443.
(3h) Test des ACL : générer des flux de test dans les deux sens (autorisés et refusés), vérifier les journaux de filtrage, ajuster les règles en cas de comportement inattendu.
(4h) Audit de sécurité de bout en bout sur l'infrastructure réelle : inventaire de tous les services exposés sur chaque VM, vérification des mises à jour (Linux et Windows), vérification des comptes utilisateurs actifs (domaine et locaux), vérification des règles de pare-feu hôte sur chaque machine, vérification de la politique de sauvegarde (toutes les machines sont-elles sauvegardées ?).
(2h) Rédaction du rapport d'audit : liste des vulnérabilités identifiées classées par criticité (haute, moyenne, faible), recommandations correctives pour chacune.
(2h) Correction des vulnérabilités de criticité haute identifiées pendant l'audit — démontrer que l'audit n'est utile que si suivi d'actions concrètes.
CORRIGÉ TP1

Structure attendue du rapport d'audit : pour chaque vulnérabilité — système concerné, description du problème, niveau de criticité, impact potentiel, recommandation corrective précise. Un rapport d'audit sans recommandation concrète est inutile.

Vulnérabilités types à retrouver dans l'infrastructure de la formation : port SSH sur le port par défaut non changé si oublié en S15, mises à jour manquantes sur une VM non touchée depuis plusieurs semaines, compte administrateur local avec mot de passe faible sur un poste non joint au domaine, serveur BDD (S25) dont le port est accessible depuis l'extérieur du réseau interne.

RATIO
TP2 · PROJET DE SYNTHÈSE FINALE — ARCHITECTURE D'ENTREPRISE COMPLÈTE · 15H

Cahier des charges : l'apprenant produit le dossier technique d'une infrastructure d'entreprise fictive complète, capitalisant sur l'intégralité des 25 semaines précédentes. Ce dossier constitue la pièce maîtresse de la soutenance finale.

(3h) Schéma d'architecture global : représentation de l'ensemble de l'infrastructure déployée (physique et logique) — couches réseau (VLANs, routage, pare-feu), couche virtualisation, couche OS (Linux et Windows Server), couche services (AD, DNS, DHCP, Web, BDD).
(3h) Dossier de sécurité : synthèse des mesures appliquées (durcissement OS S15, segmentation réseau S18, ACL S26, politique de mots de passe GPO S23), rapport d'audit (TP1), plan de remédiation.
(3h) Plan de continuité : stratégie de sauvegarde complète (quelles machines, quelle fréquence, quelle rétention, quel RTO/RPO), cluster HA configuré, procédure de restauration testée.
(3h) Bilan des 26 semaines : tableau personnel listant les compétences acquises, les lacunes identifiées, les sujets à approfondir, les certifications cibles adaptées au profil.
(3h) Préparation de la soutenance : rédaction des supports de présentation, répétition, identification des 3 points forts et des 3 axes d'amélioration de son architecture.
GRILLE D'ÉVALUATION DU PROJET FINAL

Critère 1 — Complétude de l'architecture (25%) : tous les composants sont présents, fonctionnels et documentés — de la couche physique (S6) jusqu'aux services applicatifs (S24-S25).

Critère 2 — Cohérence et intégration (25%) : les composants s'articulent logiquement — le DNS (S21) alimente l'AD (S22), les VLANs (S18) sont alignés avec les GPO (S23), les sauvegardes (S14) couvrent toutes les VMs critiques.

Critère 3 — Sécurité appliquée (25%) : les principes de S15 et S26 sont réellement implémentés, pas juste cités — le rapport d'audit prouve la vérification effective.

Critère 4 — Capacité de recul (25%) : l'apprenant identifie avec précision ce qui fonctionne, ce qui manque, et ce qu'il ferait différemment avec plus de temps ou de ressources.

RATIO
SOUTENANCE FINALE · 26 SEMAINES DE FORMATION

Format : 30 minutes de présentation + 15 minutes de questions par apprenant. La soutenance porte sur l'intégralité du parcours — de l'électricité (S1) à la sécurité réseau (S26).

(10 min) Présentation de l'architecture complète : schéma global commenté, justification des choix structurants — pourquoi ce VLAN ici, pourquoi ce serveur là, pourquoi ce séquencement de services.
(10 min) Démonstration en direct : au choix de l'apprenant, 4 fonctionnalités représentatives de 4 blocs différents — au minimum une démonstration réseau, une démonstration OS, une démonstration service (AD, web ou BDD), une démonstration de sécurité.
(10 min) Bilan personnel : ce qui a été difficile, ce qui est maintenant acquis, les lacunes honnêtement identifiées, les certifications envisagées et pourquoi elles correspondent au profil construit.
(15 min) Questions du jury : le formateur explore les zones grises — les décisions techniques que l'apprenant n'a pas eu le temps de justifier, les scénarios de panne inattendus, les cas limites de l'architecture.
NOTE AU FORMATEUR — CONDUITE DE LA SOUTENANCE FINALE

Questions types discriminantes : "Si votre contrôleur de domaine unique tombe en panne à 8h un lundi matin, que se passe-t-il pour les 50 utilisateurs qui arrivent au bureau ?" ; "Votre serveur web sert maintenant des données personnelles — quelles sont les trois premières mesures de sécurité que vous ajouteriez ?" ; "Un collègue vous dit que le ping ne répond plus entre deux VMs — par où commencez-vous ?"

Ce que cette soutenance valide : pas la mémorisation de commandes — ça, c'est accessible à tout le monde avec un moteur de recherche. Ce qu'elle valide, c'est la capacité à raisonner sur un système complexe, à identifier la couche concernée, à proposer une méthode de diagnostic structurée, et à prendre des décisions justifiées en conditions d'incertitude.

◆ BILAN COMPLET DE FORMATION — LES 9 BRIQUES DU SOCLE DU FER
Brique 1 — Électricité et physique (S1) : tension, courant, puissance — la fondation de tout.
Brique 2 — Numérique et logique (S2-S3) : binaire, octal, hexadécimal, algèbre de Boole.
Brique 3 — Automatisation physique (S4-S5) : microcontrôleur, capteurs, actionneurs, projet intégrateur.
Brique 4 — Microinformatique et stockage (S6-S7) : hardware PC/serveur, BIOS/UEFI, filesystems, RAID, images disque.
Brique 5 — OS bare metal (S8-S16) : Linux (S8-S10), Windows Server (S11-S12), virtualisation (S13), HA/sauvegarde (S14), sécurité OS (S15), synthèse mi-parcours (S16).
Brique 6 — Réseau fondamental (S17-S19) : OSI, adressage, commutation, VLANs, routage.
Brique 7 — Services réseau (S20-S21) : DHCP, DNS — infrastructure de nommage et d'adressage automatique.
Brique 8 — Services d'entreprise (S22-S25) : Active Directory, GPO, serveur web HTTPS, base de données relationnelle.
Brique 9 — Sécurité réseau et synthèse (S26) : ACL, pare-feu périmétrique, audit, architecture complète, soutenance finale.