Leçon 2 — Architecture & Réseaux sécurisés
Domaines 3 (13%) et 4 (13%) du CBK CISSP : modèles de sécurité, cryptographie, sécurité physique, modèles OSI/TCP-IP, segmentation réseau, VPN, IPS/IDS.
Objectifs pédagogiques
- Maîtriser les modèles formels de sécurité (Bell-LaPadula, Biba, Clark-Wilson, Brewer-Nash)
- Distinguer cryptographie symétrique (AES) et asymétrique (RSA, ECC) + PKI X.509
- Identifier les contrôles de sécurité physique (CPTED, BCP/DRP, contrôles d'accès)
- Comprendre les 7 couches OSI et la pile TCP/IP avec attaques par couche
- Configurer VLAN, VPN IPsec/TLS, IDS/IPS, NAT, Zero Trust
Prérequis
Leçon 1 assimilée (gouvernance, risques, asset security). Bases cryptographie (AES, RSA, hashes), modèle OSI/TCP-IP, vocabulaire réseau (firewall, NAT, DMZ).
Introduction contextuelle
Les domaines 3 et 4 du CISSP totalisent 26% de l'examen. Ils couvrent l'architecture sécurité depuis les fondamentaux théoriques (modèles formels de sécurité élaborés dans les années 70-80) jusqu'aux concepts modernes (Zero Trust Architecture publié par NIST SP 800-207 en août 2020). Le candidat doit lier théorie et pratique : par exemple connaître les principes du modèle Bell-LaPadula (Department of Defense, 1976) tout en sachant configurer une politique de sécurité d'accès dans Azure AD ou Okta.
La cryptographie est centrale au CISSP et constitue un piège fréquent : il faut connaître les algorithmes (AES, RSA, ECC, Diffie-Hellman, hashes), leurs forces relatives, les attaques modernes, et savoir conseiller le bon algorithme dans un contexte donné. Préférer la compréhension aux mémorisations brutes : l'examen reformule sans cesse les concepts.
1. Domaine 3 — Security Architecture and Engineering (13%)
1.1 Modèles formels de sécurité
| Modèle | Focus | Règles clés |
|---|
| Bell-LaPadula (1976) | Confidentialité (militaire DoD) | No Read Up / No Write Down (*-property) |
| Biba (1977) | Intégrité | No Read Down / No Write Up |
| Clark-Wilson (1987) | Intégrité commerciale | Triple (utilisateur, programme, donnée) + séparation des tâches |
| Brewer-Nash / Chinese Wall (1989) | Conflits d'intérêts | Accès dynamique selon historique |
| Graham-Denning | Création/suppression objets/sujets | 8 règles fondamentales |
| Harrison-Ruzzo-Ullman (HRU) | Matrice droits d'accès | Sécurité indécidable en général |
| Lattice-Based | Niveaux MLS | Treillis algébrique des niveaux |
| Take-Grant | Propagation droits | 4 opérations (take, grant, create, revoke) |
1.2 Trusted Computing Base (TCB)
Le TCB regroupe tous les composants critiques sécurité (hardware, OS kernel, drivers, microcode). Plus le TCB est petit, mieux il peut être audité (principe de moindre privilège). Évaluation TCSEC (Orange Book, 1985, retiré 2002), Common Criteria (ISO/IEC 15408) avec niveaux EAL 1-7.
1.3 Critères d'évaluation
- TCSEC (Orange Book) US : D, C1, C2, B1, B2, B3, A1 — historique, retiré
- ITSEC Europe : E0-E6 + F1-F10 — historique
- Common Criteria (ISO 15408) : EAL 1 (functionally tested) → EAL 7 (formally verified design and tested) — actuel
- FIPS 140-3 (NIST) : modules cryptographiques (niveaux 1-4)
1.4 Cryptographie pour CISSP
Symétrique
- AES (FIPS 197) : 128/192/256 bits ; modes ECB (jamais), CBC, CTR, GCM (recommandé : confidentialité + intégrité)
- ChaCha20-Poly1305 : alternative AEAD à AES-GCM, performance excellente
- DES (56 bits) : cassé 1998 — bannir
- 3DES (112-168 bits) : Sweet32 → dépréciation NIST 2023
- Blowfish, Twofish, RC4 : historiques, RC4 banni RFC 7465
Asymétrique
- RSA : factorisation entiers ; 2048+ bits actuel, 3072+ recommandé NIST 2031
- ECC (Elliptic Curve) : courbes P-256, P-384, Curve25519/Ed25519 ; clés courtes (256 bits ECC = 3072 bits RSA)
- ElGamal : logarithme discret
- Diffie-Hellman : échange clé sans contact (DH classique ou ECDH)
Post-quantique
NIST a standardisé en août 2024 :
- FIPS 203 (ML-KEM/Kyber) : key encapsulation
- FIPS 204 (ML-DSA/Dilithium) : digital signatures
- FIPS 205 (SLH-DSA/SPHINCS+) : signatures hash-based
Hashes
- SHA-256 / SHA-3 : standards actuels
- BLAKE3 : moderne, ultra-rapide
- MD5, SHA-1 : cassés (collisions), bannir
- Password hashing : Argon2id (winner PHC 2015), bcrypt, scrypt
1.5 PKI et certificats X.509
Composants : CA (Certificate Authority), RA (Registration Authority), CRL (Certificate Revocation List), OCSP (Online Cert Status Protocol), CSR (Certificate Signing Request). Format X.509 v3 standard.
1.6 Sécurité physique (souvent négligée)
- CPTED (Crime Prevention Through Environmental Design) : Natural Surveillance, Access Control, Territorial Reinforcement, Maintenance
- Mantraps (sas anti-piggyback)
- Tailgating = piggybacking : pénétration en suivant employé autorisé
- Faraday cages : protection EMI/EMC, anti-TEMPEST
- Fire suppression : pre-action, FM-200 (datacenters), CO2 (mortel pour humains)
- HVAC : 18-27°C, 40-60% humidité, ASHRAE TC 9.9
- Disposition : DC en sous-sol vs étage (inondation vs effraction)
2. Domaine 4 — Communication and Network Security (13%)
2.1 Modèle OSI vs TCP/IP
| OSI | Protocoles | TCP/IP |
|---|
| 7. Application | HTTP, FTP, SMTP, SSH, DNS | Application |
| 6. Presentation | TLS, SSL, JPEG, ASCII | Application |
| 5. Session | NetBIOS, RPC, NFS | Application |
| 4. Transport | TCP, UDP, QUIC | Transport |
| 3. Network | IP, ICMP, ARP, IPsec | Internet |
| 2. Data Link | Ethernet, PPP, MAC, VLAN | Network Access |
| 1. Physical | Câbles, fibres, signaux | Network Access |
Mnémonique anglais : « Please Do Not Throw Sausage Pizza Away » (du bas vers le haut).
2.2 Attaques par couche
- L1 — coupure fibre, tapping
- L2 — ARP spoofing, MAC flooding, VLAN hopping
- L3 — IP spoofing, ICMP flood, Smurf
- L4 — SYN flood, UDP flood, RST hijack
- L5 — Session hijacking, replay
- L6 — POODLE, BEAST, Heartbleed (TLS)
- L7 — SQLi, XSS, CSRF, DDoS applicatif
2.3 Segmentation et zonage
- VLAN (IEEE 802.1Q) : segmentation L2
- Subnetting CIDR : segmentation L3
- DMZ : zone tampon Internet ↔ LAN
- Air gap : isolation physique totale
- Micro-segmentation : par charge, via SDN/NSX/Cilium
2.4 Zero Trust Architecture (NIST SP 800-207, 2020)
Principe : Never trust, always verify. Plus de notion de périmètre, chaque accès est authentifié, autorisé et chiffré indépendamment.
- Authentification continue (MFA + contexte)
- Politique d'accès dynamique selon device posture
- Segmentation jusqu'au workload
- Chiffrement de bout en bout (mTLS)
- Logs et analytics permanents
Selon NIST SP 800-207 : « Zero Trust Architecture is an enterprise's cybersecurity plan that utilizes zero trust concepts, eliminating implicit trust in any one element, node, or service. » (NIST, août 2020).
2.5 VPN et chiffrement réseau
- IPsec (RFC 4301) : modes Transport et Tunnel, protocoles AH (Authentication Header) + ESP (Encapsulating Security Payload). IKE/IKEv2 pour échange clés
- TLS VPN (OpenVPN, WireGuard récent et préféré 2026) — moins de complexité que IPsec
- SSH tunneling : port forwarding sécurisé
- PPP, L2TP : historiques, sécurité limitée seuls
2.6 IDS / IPS
| Type | Action | Exemple |
|---|
| IDS (Intrusion Detection) | Détecte et alerte | Snort, Suricata (mode IDS) |
| IPS (Intrusion Prevention) | Détecte et bloque | Suricata IPS, Palo Alto |
| NIDS | Network — capture trafic | Zeek (Bro) |
| HIDS | Host — sur l'endpoint | OSSEC, Wazuh |
| Signature-based | Patterns connus | YARA rules |
| Anomaly-based | Comportement statistique | UEBA, ML-driven |
2.7 Pare-feu — générations
- Packet filter (stateless) — ACL L3/L4
- Stateful inspection — table d'états connexions
- Application proxy (L7) — inspection contenu
- NGFW (Next-Gen Firewall) — IDS/IPS, app awareness, threat intel (Palo Alto, Fortinet, Check Point)
- WAF (Web Application Firewall) — protection L7 web (ModSecurity, Cloudflare WAF)
Cas pratique — Architecture Zero Trust pour SaaS
Concevez l'architecture sécurité pour une SaaS B2B (200 employés, 10k clients) :
- SSO + MFA obligatoire (Okta + WebAuthn) pour collaborateurs et clients
- Device posture check (CrowdStrike Falcon agent obligatoire)
- Réseau : pas de VPN classique, accès direct via Cloudflare Access (ZTNA)
- Segmentation : prod/staging/dev isolés (3 AWS accounts séparés)
- Toutes APIs en mTLS + JWT signé Ed25519
- Audit logs centralisés (AWS CloudTrail + Splunk SIEM)
- Encryption : KMS multi-region keys + Hashicorp Vault pour secrets
- Disaster Recovery : cross-region replication + RTO 1h / RPO 15min
Livrable : diagramme C4 + matrice de contrôles vs NIST 800-53.
Pièges fréquents CISSP :
- Confondre Bell-LaPadula (confidentialité) et Biba (intégrité) — règles inversées
- Penser ECC moins sûre que RSA → c'est l'inverse à taille équivalente
- Confondre IDS (détecte) et IPS (bloque)
- Croire que les VPN site-to-site garantissent l'intégrité sans AH/ESP
- Oublier que TLS 1.3 supprime CBC, RC4, MD5, SHA-1, RSA key exchange
- NAT n'est PAS un mécanisme de sécurité (vrai mais débat fréquent)
Synthèse — points-clés à retenir
- Bell-LaPadula = confidentialité, Biba = intégrité, Clark-Wilson = intégrité commerciale
- Common Criteria EAL 1-7 (ISO 15408) actuel
- AES-256-GCM + ChaCha20-Poly1305 = standards 2026
- RSA 3072+, ECDSA P-256 / Ed25519 préféré
- Post-quantum NIST : Kyber + Dilithium + SPHINCS+
- 7 couches OSI (PDNTSPA), attaques par couche distinctes
- Zero Trust NIST SP 800-207 = standard moderne
- IPsec (Transport / Tunnel, AH/ESP, IKEv2) vs WireGuard (préféré 2026)
- NGFW + WAF + EDR = stack défense moderne
- Think like a manager : Avoid > Mitigate > Transfer > Accept
Pour aller plus loin
