Domaine 4 · 13% Poids examen

Sécurité des communications et des réseaux

Le Domaine 4 couvre la conception, la sécurisation et l'exploitation des réseaux : modèles en couches OSI et TCP/IP, encapsulation, adressage IP, protocoles sécurisés (TLS, IPsec, SSH), équipements de filtrage (firewalls, IDS/IPS, NAC), architectures modernes (Zero Trust, SDN, SD-WAN, CDN), réseaux sans-fil et cellulaires, voix et réseaux convergés, ainsi que les attaques réseau et leurs contre-mesures. Comptez 13 % de l'examen.

Objectifs du CBK (ISC)²

Les 3 domaines d'apprentissage officiels du Domaine 4. Cliquez un objectif pour le détail.

Objectif A

Évaluer et implémenter les principes de conception réseau

Diagramme — Évaluer et implémenter les principes de conception réseau

Modèles OSI (7 couches) et TCP/IP (4 couches). Segmentation (VLAN, subnet, microsegmentation). Defense in depth appliquée au réseau : périmètre, DMZ, interne, hardening host. Zero Trust Network Access (ZTNA) : aucune confiance par défaut.

Points clés

  • OSI mnémo : All People Seem To Need Data Processing
  • Segmentation limite la propagation latérale
  • Zero Trust = verify always, assume breach
Objectif B

Sécuriser les composants réseau

Diagramme — Sécuriser les composants réseau

Composants : routeurs, switches (VLAN, port security), firewalls (packet, stateful, NGFW), IDS/IPS (signature, heuristique), proxies, load balancers, WAF. Chacun doit être durci (désactiver services inutiles, patch, authent forte) et monitoré.

Points clés

  • NGFW = DPI + IPS + contrôle applicatif
  • IDS passif, IPS actif - choix selon risque
  • WAF en front d'applis web publiques
Objectif C

Canaux de communication sécurisés

Diagramme — Canaux de communication sécurisés

Protocoles sécurisés : TLS 1.3 (web), IPsec (site-to-site, tunnel), SSH (admin), WPA3 (wifi), DNSSEC (DNS intégrité), DKIM/SPF/DMARC (email). Voice/Video : SRTP. Messagerie : Signal Protocol. Toujours chiffrement de bout en bout quand sensible.

Points clés

  • IPsec : AH (intégrité) + ESP (chiffrement), modes Tunnel/Transport
  • WPA3 résiste aux attaques dictionnaire (SAE)
  • TLS 1.3 : handshake 1-RTT, forward secrecy obligatoire

Concepts clés

Modèle OSI - 7 couches

L1 Physical (bits), L2 Data Link (trames, MAC), L3 Network (paquets, IP), L4 Transport (segments, TCP/UDP), L5 Session, L6 Presentation (chiffrement/format), L7 Application. Modèle de référence ISO pour décomposer et dépanner les communications. Mnémo ascendant : « All People Seem To Need Data Processing ».

Modèle TCP/IP - 4 couches

Network Access (≈ OSI L1-L2), Internet (≈ L3, IP/ICMP), Transport (≈ L4, TCP/UDP), Application (≈ L5-L7). Modèle réel d'Internet, plus concis qu'OSI. La cartographie OSI vers TCP/IP est un classique d'examen.

Encapsulation et PDU

Chaque couche ajoute son en-tête (et parfois sa fin) aux données reçues de la couche supérieure : données → segment (L4) → paquet (L3) → trame (L2) → bits (L1). À la réception, désencapsulation en sens inverse. Sécurité : la fragmentation et le tunneling exploitent ces frontières.

Topologies, média et CSMA

Topologies : bus, star (étoile, dominante), ring, mesh. Média : cuivre (UTP/STP, sensible aux EMI), coaxial, fibre (immune aux EMI, longue portée). Accès au média : CSMA/CD (Ethernet filaire, détection de collision) vs CSMA/CA (Wi-Fi, évitement de collision).

Adressage IP, sous-réseaux et NAT

IPv4 = 32 bits (classes A/B/C, CIDR, masques). Privés RFC 1918 : 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16. IPv6 = 128 bits. NAT traduit privé↔public (PAT = surcharge de ports). APIPA 169.254.x.x si DHCP échoue.

Routage et protocoles

Le routeur (L3) sépare les broadcast domains et achemine entre réseaux. Protocoles : RIP (distance-vector, ancien), OSPF (link-state, interne), BGP (path-vector, entre AS d'Internet). Attaques : route poisoning défensif vs injection de routes malveillantes, détournement BGP.

TCP, UDP et ports

TCP = connecté, fiable, ordonné (3-way handshake). UDP = sans connexion, rapide, sans garantie (DNS, VoIP, streaming). Ports well-known 0-1023, registered 1024-49151, dynamiques 49152-65535. Clés : 22 SSH, 25 SMTP, 53 DNS, 80 HTTP, 443 HTTPS, 389 LDAP, 636 LDAPS.

3-way handshake TCP

SYN → SYN/ACK → ACK pour établir la session ; FIN/ACK pour la fermer proprement. Exploité par le SYN Flood (semi-ouvertes laissées en suspens, épuisement de la table de connexions) ; parade : SYN cookies.

DHCP, DNS et DNSSEC

DHCP attribue dynamiquement les IP (ports 67/68 UDP) ; menacé par le rogue DHCP/DHCP starvation. DNS résout nom↔IP (53). DNSSEC signe les enregistrements (intégrité/authenticité) mais ne chiffre pas. Attaques : DNS spoofing, cache poisoning, DNS tunneling (exfiltration).

Protocoles d'administration sécurisés

SSH (22) remplace Telnet/rlogin. SNMPv3 (gestion d'équipements) ajoute auth + chiffrement absents de v1/v2c. LDAP (389) / LDAPS (636) pour l'annuaire. Kerberos (88) pour l'authentification réseau par tickets (KDC, TGT).

TLS / SSL

TLS chiffre la session au-dessus de TCP (HTTPS, SMTPS, FTPS). Handshake : négociation, échange de clés, authentification par certificat X.509, clé de session symétrique. SSLv2/v3 et TLS 1.0/1.1 sont obsolètes ; viser TLS 1.2/1.3.

IPsec - AH, ESP, modes

IPsec sécurise IP (L3). AH = intégrité/authentification sans confidentialité. ESP = chiffrement + intégrité. IKE négocie les SA et les clés. Mode Transport : seul le payload est protégé (host-to-host). Mode Tunnel : paquet IP entier encapsulé (gateway-to-gateway, VPN site à site).

VPN - PPTP / L2TP / IPsec / SSL-VPN

PPTP (L2, obsolète, faible). L2TP (L2, pas de chiffrement seul - combiné à IPsec). IPsec (L3, robuste, site-à-site). SSL/TLS VPN (portail applicatif, accès distant sans client lourd). Choisir selon couche et cas d'usage.

Firewalls, IDS/IPS, WAF, NAC

Firewalls : 1) packet filter, 2) application/proxy, 3) stateful, 4) dynamic/DMZ, 5) kernel proxy, NGFW (DPI + IPS + identité). IDS = détecte et alerte (passif) ; IPS = détecte et bloque (en ligne). WAF filtre HTTP (L7, OWASP). NAC contrôle l'admission des terminaux (posture, 802.1X).

SDN, SD-WAN, CDN, Zero Trust, DMZ

SDN sépare plan de contrôle et plan de données (programmable). SD-WAN orchestre des liens WAN multiples par politique. CDN distribue le contenu en périphérie (latence, anti-DDoS). Zero Trust = « never trust, always verify », micro-segmentation, vérification continue (NIST SP 800-207). DMZ = zone tampon entre Internet et LAN.

Wi-Fi, Bluetooth, RFID/NFC, cellulaire

Wi-Fi : WEP (RC4, cassé) < WPA (TKIP) < WPA2 (AES-CCMP) < WPA3 (SAE, anti-bruteforce). Enterprise = 802.1X + EAP + RADIUS. Bluetooth : bluejacking/bluesnarfing. RFID/NFC : courte portée, écoute/clonage. Zigbee : IoT basse conso. Cellulaire 4G/5G : SIM, chiffrement de l'air.

VoIP et réseaux convergés

VoIP : SIP (signalisation), RTP (média), SRTP (média chiffré). Menaces : vishing, SPIT, écoute RTP. Réseaux convergés (data + storage) : FCoE et iSCSI (SAN sur IP), MPLS (commutation par labels, WAN opérateur). Isoler la voix dans un VLAN dédié.

AAA et Root of Trust

AAA = Authentication, Authorization, Accounting. RADIUS (UDP, chiffre seulement le mot de passe, mélange authn/authz). TACACS+ (TCP, chiffre tout le payload, sépare AAA - usage Cisco/équipements). Diameter = successeur de RADIUS (mobile). RoT/TPM ancre matériellement la confiance (clés, attestation, boot mesuré).

Attaques réseau

MITM, ARP poisoning/spoofing, DNS spoofing, session hijacking, replay. DoS/DDoS : SYN flood, Smurf (ICMP amplifié par broadcast, usurpe la victime), Fraggle (idem en UDP echo/chargen), Ping of Death, Teardrop (fragments). VLAN hopping, MAC flooding, eavesdropping. Parades : segmentation, chiffrement, anti-spoofing, rate limiting.

Frameworks & standards

FrameworkRôle
Modèle OSI (ISO/IEC 7498-1) Modèle de référence en 7 couches pour décomposer et dépanner les communications.
Modèle TCP/IP (DoD) Modèle en 4 couches réellement implémenté sur Internet.
NIST SP 800-207 (Zero Trust) Architecture Zero Trust : vérification continue, micro-segmentation, moindre confiance.
Cyber Kill Chain (Lockheed Martin) 7 étapes d'une intrusion : reconnaissance → weaponization → delivery → exploitation → installation → C2 → actions.
IEEE 802.x Famille de standards LAN/WLAN : 802.3 (Ethernet), 802.11 (Wi-Fi), 802.1X (NAC), 802.1Q (VLAN).
NIST SP 800-41 (Firewalls) Recommandations de conception et de politique des pare-feu.
DOCSIS Standard de transmission de données sur réseaux câblés (modems câble).

Acronymes

SigleSignification
OSI Open Systems Interconnection
ARP Address Resolution Protocol (IP→MAC)
ICMP Internet Control Message Protocol (ping, erreurs)
IGMP Internet Group Management Protocol (multicast)
DHCP Dynamic Host Configuration Protocol
DNS Domain Name System (nom↔IP)
DNSSEC DNS Security Extensions (signe, ne chiffre pas)
NAT Network Address Translation
PAT Port Address Translation (NAT surchargé)
MPLS Multiprotocol Label Switching
FCoE Fibre Channel over Ethernet (SAN)
iSCSI Internet Small Computer Systems Interface (SAN sur IP)
SIP Session Initiation Protocol (signalisation VoIP)
RTP Real-time Transport Protocol (média)
SRTP Secure Real-time Transport Protocol (média chiffré)
EAP Extensible Authentication Protocol
WPA Wi-Fi Protected Access
SAE Simultaneous Authentication of Equals (WPA3)
TACACS+ Terminal Access Controller Access-Control System Plus
RADIUS Remote Authentication Dial-In User Service
Diameter Successeur de RADIUS (AAA mobile)
AAA Authentication, Authorization, Accounting
SDN Software-Defined Networking
SD-WAN Software-Defined Wide Area Network
NFV Network Functions Virtualization
CDN Content Delivery Network
VPC Virtual Private Cloud
NAC Network Access Control
WAF Web Application Firewall
RoT Root of Trust (ancre de confiance matérielle)
TPM Trusted Platform Module
MITM Man-in-the-Middle
DDoS Distributed Denial of Service
VLAN Virtual Local Area Network
IPsec Internet Protocol Security
AH Authentication Header (intégrité seule)
ESP Encapsulating Security Payload (chiffrement)
IKE Internet Key Exchange
SSH Secure Shell (remplace Telnet)
TLS Transport Layer Security
LDAP Lightweight Directory Access Protocol
SNMP Simple Network Management Protocol (v3 sécurisé)
BGP Border Gateway Protocol (entre AS)
OSPF Open Shortest Path First (link-state)
RIP Routing Information Protocol (distance-vector)
DMZ Demilitarized Zone (zone tampon)
NGFW Next-Generation Firewall
802.1X Authentification réseau par port (NAC)
CSMA/CD Carrier Sense Multiple Access / Collision Detection
CSMA/CA Carrier Sense Multiple Access / Collision Avoidance
APIPA Automatic Private IP Addressing (169.254.x.x)

Mnémotechniques

Mémo · OSI montant

OSI L1→L7 : « All People Seem To Need Data Processing » (Physical, Data Link, Network, Transport, Session, Presentation, Application).

Mémo · OSI descendant

OSI L7→L1 : « All People Seem To Need Data Processing » lu à l'envers, ou « Please Do Not Throw Sausage Pizza Away ».

Mémo · IPsec AH/ESP

AH = intégrité seule (pas de confidentialité). ESP = chiffre ET protège. Astuce : ESP a un E comme « Encrypt ».

Mémo · IPsec modes

Transport = protège le payload (host-to-host, en-tête IP visible). Tunnel = encapsule tout le paquet (gateway-to-gateway, VPN site à site).

Mémo · Wi-Fi

Sans-fil, du pire au mieux : WEP (cassé) < WPA (TKIP) < WPA2 (AES-CCMP) < WPA3 (SAE).

Mémo · Ports clés

22 SSH · 25 SMTP · 53 DNS · 80 HTTP · 88 Kerberos · 389 LDAP · 443 HTTPS · 636 LDAPS · 3389 RDP.

Mémo · RADIUS vs TACACS+

RADIUS : UDP, chiffre seulement le mot de passe, mélange AAA. TACACS+ : TCP, chiffre tout, sépare AAA. « TACACS+ Tout en TCP ».

Mémo · Firewall générations

Firewall : 1-packet filter → 2-proxy → 3-stateful → 4-dynamic/DMZ → 5-kernel proxy → NGFW (DPI + IPS).

Mémo · PDU par couche

L'unité de données (PDU) change de nom en descendant : Data (L5-L7) → Segment (L4 TCP) / Datagram (L4 UDP) → Packet (L3) → Frame (L2) → Bits (L1). « Des Sots Pas Fins Bavardent » (Data, Segment, Packet, Frame, Bits).

Mémo · Three-way handshake

Ouverture TCP en 3 temps : SYN → SYN/ACK → ACK. Fermeture propre en 4 temps : FIN → ACK → FIN → ACK. « Le client toque (SYN), le serveur répond (SYN/ACK), le client confirme (ACK) ».

Mémo · Classes IP & hôtes

Classes : A = /8 (1-126), B = /16 (128-191), C = /24 (192-223), D = multicast (224-239), E = expérimental (240-255). Hôtes utilisables = 2^h − 2 (on retire réseau + broadcast).

Mémo · Zero Trust

Mantra Zero Trust (NIST SP 800-207) : « never trust, always verify ». Le périmètre disparaît : on vérifie identité, posture et contexte à chaque accès, par micro-segmentation.

Formules

À retenir

Hôtes par sous-réseau = 2^h − 2

h = bits d'hôte. On retire l'adresse réseau et l'adresse de broadcast (d'où −2).

À retenir

Sous-réseaux = 2^s

s = bits empruntés au masque pour le subnetting.

À retenir

Espace IPv4 = 2^32 ≈ 4,29 milliards

32 bits d'adresse ; épuisement à l'origine de NAT et IPv6.

À retenir

Espace IPv6 = 2^128

128 bits ; environ 3,4 × 10^38 adresses, supprimant le besoin de NAT.

À retenir

Ports TCP/UDP : 0-1023 / 1024-49151 / 49152-65535

Well-known / registered / dynamiques (éphémères). 16 bits → 65 536 ports.

Pièges d'examen

Piège

AH ne chiffre pas

AH offre intégrité et authentification mais aucune confidentialité. Pour chiffrer, il faut ESP. L'examen oppose souvent AH (intégrité) et ESP (chiffrement).

Piège

Multicast vs broadcast vs unicast

Unicast = 1 vers 1. Multicast = 1 vers un groupe (IGMP). Broadcast = 1 vers tous (limité au broadcast domain). Le routeur bloque le broadcast, d'où la séparation des domaines.

Piège

Smurf vs Fraggle

Smurf = amplification ICMP (echo) via broadcast, source usurpée = victime. Fraggle = même principe en UDP (echo/chargen). Confondre le protocole est un piège classique.

Piège

IDS détecte, IPS bloque

IDS = passif (hors bande, alerte). IPS = en ligne (in-line, peut couper le trafic). Un IPS mal réglé crée des faux positifs bloquants ; un IDS ne stoppe jamais une attaque seul.

Piège

TACACS+ vs RADIUS

RADIUS : UDP, chiffre seulement le mot de passe, combine authn/authz. TACACS+ : TCP, chiffre tout le payload, sépare A/A/A. Ne pas inverser le protocole de transport.

Piège

WEP et WPA(1) sont cassés

WEP (RC4, IV faibles) est trivialement cassé ; WPA/TKIP l'est aussi. Minimum acceptable : WPA2-AES ; préférer WPA3 (SAE) contre le bruteforce hors-ligne.

Piège

Route poisoning n'est pas une attaque

Le route poisoning est un mécanisme défensif des protocoles de routage (annoncer une route inaccessible avec métrique infinie pour éviter les boucles). À ne pas confondre avec l'injection de routes malveillantes.

Piège

PPTP et L2TP sont en couche 2

PPTP et L2TP opèrent à la couche 2 ; IPsec est en couche 3. L2TP seul ne chiffre pas : il faut L2TP/IPsec. PPTP est obsolète (chiffrement MPPE faible).

Piège

DNSSEC signe mais ne chiffre pas

DNSSEC garantit l'intégrité et l'authenticité des réponses DNS (signatures), pas la confidentialité. Pour chiffrer les requêtes : DoH (DNS over HTTPS) ou DoT (DNS over TLS).

Piège

Switch (L2) vs Router (L3)

Le switch crée des collision domains et des VLANs (L2) mais propage le broadcast. Le routeur sépare les broadcast domains (L3). MAC flooding vise le switch, pas le routeur.

Piège

SNMP v1/v2c vs v3

SNMP v1/v2c transmet la community string en clair (souvent « public »/« private »). Seul SNMPv3 ajoute authentification et chiffrement. L'examen valorise v3.

Piège

TCP fiable, UDP rapide

TCP garantit livraison et ordre (handshake, retransmission) ; UDP non. Voix, vidéo et DNS utilisent UDP pour la latence. Confondre leurs propriétés est piégeux.

Cas concrets

Cas concret · Scénario pédagogique

DMZ à double pare-feu devant un serveur web

Internet → Firewall externe → DMZ (serveur web, reverse-proxy) → Firewall interne → LAN. Le serveur exposé vit en DMZ : s'il est compromis, l'attaquant ne touche pas directement le LAN. Règle d'or : aucun flux entrant Internet→LAN ne traverse sans passer par la DMZ.

Cas concret · Scénario pédagogique inspiré du réel

Choisir IPsec Tunnel pour un VPN site à site

Deux agences à relier via Internet. On déploie IPsec en mode Tunnel entre les deux passerelles : ESP chiffre le paquet IP interne entier, IKE négocie les clés. Les postes n'ont rien à configurer. Mode Transport aurait été réservé à du host-to-host, pas à du gateway-to-gateway.

Cas concret · Scénario pédagogique

Contenir une attaque SYN Flood

Un serveur web ralentit : sa table de connexions est saturée de connexions semi-ouvertes (SYN reçus, ACK jamais reçus). Diagnostic : SYN Flood (DoS L4). Parades : SYN cookies, réduction du timeout half-open, rate limiting et filtrage anti-spoofing en amont, voire CDN/anti-DDoS.

Cas concret · Scénario pédagogique

Wi-Fi Enterprise avec 802.1X

Une entreprise veut éviter une clé Wi-Fi partagée (PSK) difficile à révoquer. Solution : WPA2/WPA3-Enterprise = 802.1X + EAP + serveur RADIUS. Chaque utilisateur s'authentifie avec ses identifiants ou un certificat ; on révoque un compte sans changer la clé globale.

À retenir en 10 secondes

À retenir en 10 secondes

  • OSI 7 couches (mnémo APSTNDP), TCP/IP 4 couches ; encapsulation à chaque couche.
  • Handshake TCP : SYN / SYN-ACK / ACK ; UDP sans connexion pour DNS/VoIP.
  • IPsec : AH = intégrité, ESP = chiffrement ; Transport (payload) vs Tunnel (paquet entier).
  • VPN moderne : IPsec (site-à-site) ou SSL/TLS VPN (accès distant) ; PPTP/L2TP en L2.
  • Wi-Fi : minimum WPA2-AES, préférer WPA3 (SAE) ; Enterprise = 802.1X + EAP + RADIUS.
  • Firewalls jusqu'au NGFW ; IDS détecte, IPS bloque ; NAC contrôle l'admission.
  • AAA : RADIUS (UDP, mot de passe seul) vs TACACS+ (TCP, tout chiffré, AAA séparé).
  • Zero Trust (SP 800-207) : never trust, always verify, micro-segmentation.
  • Attaques : Smurf (ICMP) vs Fraggle (UDP), SYN flood, ARP/DNS spoofing, MITM.

Quiz du domaine

Trois niveaux disponibles. Choisissez selon le temps dont vous disposez.

🔒 Inscription requise pour les quiz

Les quiz format examen sont réservés aux membres (gratuit). Connectez-vous par lien magique ou passkey pour vous entraîner et enregistrer vos scores.