Fondamentaux de la sécurité infrastructure¶
Defense en profondeur, moindre privilege, Zero Trust et réduction de la surface d'attaque.
Defense en profondeur¶
La defense en profondeur repose sur la superposition de couches de protection indépendantes. Si une couche est compromise, les couches suivantes ralentissent ou arrêtent l'attaquant.
graph TB
A["Couche physique — controle d'acces, datacenter"] --> B["Couche reseau — firewall, segmentation, IDS"]
B --> C["Couche systeme — hardening OS, patching, audit"]
C --> D["Couche application — WAF, auth, input validation"]
D --> E["Couche donnees — chiffrement, DLP, backup"]Chaque couche doit être protégée independamment. Aucune ne doit être considérée comme suffisante seule.
Principes clés¶
| Principe | Définition | Application |
|---|---|---|
| Independance des couches | La compromission d'une couche ne doit pas entraîner celle de la suivante | Secrets distincts par niveau |
| Détection à chaque niveau | Logger et alerter sur chaque couche | SIEM centralise, alertes correlees |
| Récupération par couche | Chaque niveau peut être restaure independamment | Backup par composant, immutabilite |
Moindre privilege¶
Le principe de moindre privilege stipule que tout composant — utilisateur, service, processus, API — ne doit disposer que des droits strictement nécessaires a sa fonction, ni plus, ni moins.
Application par type d'entité¶
| Entité | Mauvaise pratique | Bonne pratique |
|---|---|---|
| Utilisateur humain | Compte root partage pour les ops | Comptes nominatifs, sudo contextuel |
| Service applicatif | Exécution en root | Utilisateur dédié, capabilities Linux minimales |
| API / token | Token admin permanent | Token a portee limitee, TTL court |
| Rôle cloud | Politique AdministratorAccess | Rôle IAM avec permissions granulaires |
Mise en œuvre¶
- Auditez régulièrement les droits avec des outils type
access-analyzer(AWS) ouIAM Recommender(GCP) - Appliquez le just-in-time access pour les accès privilegies ponctuels (PAM, Teleport, Boundary)
- Revoque automatiquement les tokens après usage ou expiration
Le moindre privilege est evolutif
Les besoins changent. Un rôle créé pour une migration peut rester en place des années après. Planifiez des revues trimestrielles des droits accordes.
Zero Trust¶
Le modèle Zero Trust repose sur un principe fondamental : ne jamais faire confiance, toujours vérifier. Il s'oppose au modèle "chateau fort" ou l'intérieur du réseau est considéré comme sur.
Piliers du Zero Trust¶
- Vérification continue : chaque accès est authentifie et autorise, même depuis le réseau interne
- Micro-segmentation : pas de lateral movement possible entre zones
- Authentification forte : MFA, certificats, short-lived credentials
- Contextualisation : l'autorisation tient compte du contexte (device, heure, localisation, comportement)
flowchart LR
U["Utilisateur / Service"] --> P["Policy Engine"]
P --> V{"Verification\nidentite + contexte"}
V -->|Autorise| R["Ressource"]
V -->|Refuse| D["Acces refuse + log"]Adoption progressive¶
Le Zero Trust ne s'implémenté pas en une seule fois. Une approche incrementale :
- Inventaire des ressources et des flux
- Authentification forte sur les accès critiques
- Micro-segmentation des zones sensibles
- Extension progressive à l'ensemble du SI
Surface d'attaque¶
La surface d'attaque désigne l'ensemble des points d'entree potentiels qu'un attaquant peut exploiter. La réduire diminue mecaniquement le risque.
Composantes de la surface d'attaque¶
| Composante | Exemples | Réduction |
|---|---|---|
| Ports et services | Ports ouverts inutiles, services inactifs | Désactiver ce qui n'est pas utilisé |
| Identités | Comptes obsolètes, tokens permanents | Revue et nettoyage réguliers |
| Dépendances | Bibliotheques tierces, images de base | Minimiser, scanner, mettre à jour |
| Exposition réseau | APIs publiques, endpoints admin exposes | Restreindre aux flux legitimes |
Inventaire continu¶
Un inventaire exhaustif est prérequis à toute réduction de surface :
- CMDB : base de configuration des actifs
- Scan de découverte : Nmap, Shodan (monitoring externe), outils cloud-native
- SBOM : software bill of materials pour les composants logiciels
Séparation des responsabilités¶
La séparation des responsabilités (SoD — Segregation of Duties) empêché qu'une seule personne puisse à la fois initier et valider une action sensible.
- Un développeur ne devrait pas avoir accès direct à la production sans approbation
- Le déploiement en production passe par un pipeline valide, pas par un accès SSH direct
- Les sauvegardes sont gereees par un compte distinct de celui qui géré les données
La sécurité est un processus continu
Il n'existe pas d'état "sécurisé une fois pour toutes". Les menaces evoluent, les configurations derivent (configuration drift), les nouvelles vulnérabilités apparaissent. La sécurité est une discipline opérationnelle permanente, pas un projet avec une date de fin.