Votre box internet a un firewall intégré. Votre antivirus a un firewall. Votre serveur a un firewall. Alors pourquoi des entreprises équipées de tout ça se font-elles quand même compromettre ?

Parce que tous les firewalls ne se valent pas, et la plupart des PME utilisent le mauvais type pour leur menace principale.

Firewall réseau (stateful) — le gardien des portes

Un firewall réseau fonctionne au niveau des couches 3 et 4 du modèle OSI : IP et TCP/UDP. Il regarde :

  • L'adresse IP source et destination
  • Le port de destination (80=HTTP, 443=HTTPS, 22=SSH...)
  • L'état de la connexion (établie, nouvelle, liée)

C'est efficace pour bloquer les scans de ports et les connexions non sollicitées. Mais il laisse passer tout ce qui arrive sur un port ouvert, sans regarder le contenu.

Règle typique firewall réseau :
ACCEPT tcp -- any -> 0.0.0.0/0 dpt:443

Traduction : tout trafic HTTPS est autorisé. Point. Que ce soit votre site vitrine ou une exfiltration de données chiffrées vers un serveur C2 — le firewall réseau ne voit pas la différence.

Firewall applicatif (WAF/L7) — le douanier qui inspecte les bagages

Un firewall applicatif opère au niveau 7 : il comprend les protocoles applicatifs (HTTP, DNS, SMTP). Il peut :

  • Bloquer une injection SQL dans une requête HTTP apparemment légitime
  • Détecter un tunnel DNS (exfiltration de données dans les requêtes DNS)
  • Identifier un C2 en HTTPS par l'analyse comportementale du trafic
  • Bloquer les uploads malveillants avant qu'ils atteignent le serveur

Ce que chaque PME devrait avoir

La configuration minimale

[Internet] → [Firewall réseau] → [LAN] → [Postes]

Firewall réseau à la périphérie pour bloquer les connexions entrantes non sollicitées. C'est le minimum absolu — et la plupart des PME n'ont que ça.

La configuration recommandée

[Internet] → [Firewall L7] → [DMZ] → [Firewall interne] → [LAN segmenté]
  • Firewall L7 en entrée : inspecte et filtre le trafic web entrant
  • DMZ : zone démilitarisée pour les serveurs exposés (site web, mail)
  • Firewall interne : segmente le LAN en VLANs (postes / serveurs / IoT)
  • Règles iptables sur chaque poste : dernier rempart

Ce que nous déployons sur les postes Fortress

Chaque poste D3-Cyber embarque un firewall iptables en liste blanche : tout est bloqué par défaut, seuls les flux nécessaires sont autorisés explicitement.

# Politique par défaut : tout bloquer
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Autoriser uniquement le trafic établi
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Autoriser HTTPS sortant uniquement
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

Combinée à AppArmor qui sandboxe chaque application, cette configuration rend le mouvement latéral extrêmement difficile même en cas de compromission d'un poste.

Vous souhaitez auditer votre architecture réseau ? Nous réalisons un diagnostic complet sous 48h.