4. Sécurité Réseau et Périmétrique
1. Exigence réglementaire et bon usage
NIS2
Article 21(2)(a, d, g) : Les entités doivent mettre en place des politiques et mesures techniques pour :
- Prévenir les incidents de sécurité ;
- Assurer la continuité des services ;
- Surveiller et gérer les risques liés aux systèmes et réseaux.
ISO 27001
- A.5.20 – A.5.23 : Sécurité des services réseau, segmentation, filtrage, journalisation et supervision.
- A.5.28 : Protection des services externes et interconnexions.
- A.5.30 : Sauvegarde et durcissement des configurations réseau.
Bonnes pratiques ANSSI
- Pare-feux à règles restrictives, supervision des logs, VLAN par fonction.
- VPN obligatoire et MFA sur les accès distants.
- Mises à jour régulières et isolation des interfaces d’administration.
- Supervision des flux et alertes sur anomalies.
2. État des lieux
| Élément | Situation actuelle |
|---|---|
| Pare-feux | Fortigate sur Medithau (principal) et Frontignan (VPN intersite). Fortigate sans licence au Domaine (fibre dédiée). Gestion confiée à prestataire SNS. |
| Logs pare-feu | Stockés sur un serveur FortiAnalyzer (version gratuite) hébergé en VM. |
| Segmentation réseau | VLAN limité à certaines zones (Wi-Fi invité). La majorité des serveurs, postes et équipements sont sur le même LAN. |
| Accès distants | VPN SSL FortiClient obligatoire pour accéder au LAN. Aucun RDP exposé en direct. Pas de MFA sur le VPN. |
| Supervision et détection | Aucune supervision active des flux réseau, pas de corrélation d’événements ni détection d’intrusion. |
| Mises à jour | Pare-feux à jour, mais switches non mis à jour. Interfaces d’administration restreintes mais améliorable (plage IP restreinte). |
| Wi-Fi | Deux réseaux Unifi (pro / invité, VLAN séparé, WPA3) + un réseau Ruckus pour la zone hôtelière. Bon cloisonnement global. |
3. Analyse synthétique
Forces
- Infrastructure Fortigate solide avec VPN intersites.
- Prestataire dédié à la gestion réseau (SNS).
- Cloisonnement de base via VLAN pour Wi-Fi invité et réseau hôtelier.
- Pas d’exposition RDP / ports ouverts vers Internet.
- Journaux pare-feu déjà centralisés.
Points de vigilance
- Segmentation réseau quasi inexistante entre postes, serveurs et production.
- Absence de MFA sur le VPN et les consoles d’administration réseau.
- Supervision réseau inexistante (aucune détection d’intrusion, aucune alerte).
- Firmware switches obsolètes, non supervisés.
- Manque d’audit de configuration pare-feu.
- Accès d’administration encore trop permissifs (manque de filtrage IP/MFA).
4. Recommandations
🟥 À faire absolument (priorité)
- Mettre en place une supervision réseau minimale :
- Collecte des logs Fortigate, switches, VPN dans Grafana / Graylog.
- Alertes sur connexions anormales, VPN, échecs de connexion.
- Activer le MFA sur les accès VPN FortiClient et sur les interfaces Fortigate.
- Lancer un audit complet de configuration pare-feu avec le prestataire SNS.
- Mettre à jour les firmwares des switches et documenter les configurations réseau.
🟧 À faire conseillé
- Créer des VLAN dédiés : serveurs / postes / invités / IoT / caméras / administration.
- Isoler les hyperviseurs et NAS dans un VLAN “Infra” accessible uniquement par les comptes IT.
- Restreindre les interfaces d’administration aux IP du réseau IT et au VPN uniquement.
- Sauvegarder automatiquement les configurations réseau (Fortigate, switches, Unifi, Ruckus).
🟩 À faire pour le top du top
- Déployer un IDS/IPS (FortiAnalyzer complet, Zeek, ou Suricata).
- Corréler les logs réseau dans un SIEM (Wazuh, ELK, Grafana Loki).
- Mettre en place une cartographie dynamique du réseau (NetBox, Nmap auto).
- Mise en conformité totale ISO 27001 A.5.20 à A.5.23 avec suivi trimestriel des règles de filtrage.
5. Suivi d’action
| Action | Priorité | Responsable | Échéance | Statut |
|---|---|---|---|---|
| Audit complet Fortigate avec SNS | 🟥 | IT / SNS | [date] | ☐ |
| Activation MFA sur VPN et console Fortigate | 🟥 | IT | [date] | ☐ |
| Mise à jour firmwares switches | 🟥 | IT | [date] | ☐ |
| Collecte logs VPN / Fortigate dans Grafana | 🟧 | IT | [date] | ☐ |
| Segmentation réseau (VLAN) | 🟧 | IT | [date] | ☐ |
| Sauvegarde auto configs réseau | 🟩 | IT | [date] | ☐ |
6. Niveau de maturité estimé : 🟡 Moyen
Infrastructure solide, gestion déléguée, mais segmentation, supervision et MFA à renforcer pour atteindre un niveau “sécurisé” et conforme aux attentes NIS2.
7. Exemple de plan d’action priorisé (résumé)
| Étape | Objectif | Délai cible |
|---|---|---|
| Semaine 1–4 | Audit pare-feu et activation MFA VPN | court terme |
| Mois 2–3 | Segmentation LAN (serveurs / postes / invités) | moyen terme |
| Mois 3–6 | Centralisation logs réseau et supervision basique | moyen terme |
| Mois 6–12 | IDS/IPS et corrélation logs dans Grafana | long terme |
No comments to display
No comments to display