ObjectifCyber

Chapitre 3 — Proxy, UTM, Zero Trust & SASE

Au-delà des pare-feux, plusieurs équipements et architectures complètent la sécurité réseau. Ce module couvre les proxys, UTM, IDS/IPS, load balancers, et les architectures modernes Zero Trust et SASE.

Mémorisez ! Proxy direct (Forward Proxy) = les clients passent par le proxy pour accéder à internet. Proxy inverse (Reverse Proxy) = masque les serveurs internes derrière une IP publique. Les deux peuvent inspecter et filtrer le trafic.
TypeSens du traficFonctionsExemple
Forward ProxyClient → Proxy → InternetFiltrage URL, mise en cache, anonymisation, loggingSquid, Blue Coat
Reverse ProxyInternet → Proxy → Serveurs internesLoad balancing, WAF, TLS offloading, masquage serveurnginx, HAProxy, Cloudflare
Transparent ProxyClient → (proxy invisible) → InternetLes clients ne savent pas qu'un proxy existe — pas de config requiseProxy sur le gateway
HTTPS Proxy / SSL InspectionBreak-and-inspectDéchiffre TLS pour inspecter, re-chiffrePalo Alto, Zscaler

Un UTM est un appareil qui regroupe plusieurs fonctions de sécurité en un seul boîtier :

Avantage : simplicité de gestion pour les PME. Inconvénient : single point of failure, peut être moins performant que des solutions spécialisées à grande échelle.

Les load balancers distribuent le trafic entrant entre plusieurs serveurs pour garantir la disponibilité et les performances.

Mémorisez ! Zero Trust n'est pas un produit — c'est une philosophie et une architecture. Les trois principes : vérifier explicitement, utiliser le moindre privilège, supposer une violation.

L'architecture Zero Trust remplace le modèle de "périmètre de confiance" (castle-and-moat) où tout ce qui est dans le réseau est fiable.

Exemple Zero Trust : Un employé connecté au Wi-Fi d'un café tente d'accéder à une application RH interne. Le Policy Engine évalue : identité (OK via MFA), appareil (portable géré, Intune compliant), localisation (réseau non géré → risque élevé), heure (heures ouvrables). Décision : accès accordé mais en lecture seule, avec surveillance renforcée et session enregistrée.

SASE (prononcé "sassy") est une architecture cloud qui combine les fonctions réseau (SD-WAN) et sécurité (CASB, FWaaS, SWG, ZTNA) en un service unifié délivré depuis le cloud.

Astuce Examen

ZTNA vs VPN : un VPN accorde un accès complet au réseau une fois connecté. ZTNA accorde uniquement l'accès aux applications spécifiques autorisées — beaucoup plus granulaire et conforme au moindre privilège.

1. Un "reverse proxy" est principalement utilisé pour :

Le reverse proxy s'interpose entre internet et les serveurs internes. Les clients ne voient que l'IP du proxy, jamais les serveurs réels. Il peut faire du load balancing, TLS offloading, et servir de WAF. nginx et HAProxy sont des exemples courants.

2. Dans l'architecture Zero Trust, le "Policy Enforcement Point (PEP)" a pour rôle de :

Le PEP est le composant qui applique (enforce) les décisions. Le Policy Engine décide "accès autorisé/refusé". Le PEP bloque ou laisse passer le trafic selon cette décision. Exemples : proxy, VPN gateway, pare-feu applicatif.

3. ZTNA (Zero Trust Network Access) représente une amélioration sur le VPN traditionnel car il :

Un VPN connecte l'utilisateur au réseau entier. ZTNA accorde l'accès uniquement à l'application spécifique pour laquelle l'utilisateur est autorisé. Si l'appareil ZTNA est compromis, l'attaquant n'a accès qu'à une application, pas à tout le réseau.

4. Un CASB (Cloud Access Security Broker) est principalement utilisé pour :

CASB s'interpose entre les utilisateurs et les services SaaS (Office 365, Salesforce, Google Drive). Il peut bloquer le téléchargement de fichiers depuis des appareils non gérés, empêcher le partage de données sensibles, ou forcer le MFA pour des apps cloud.

5. Un "transparent proxy" se distingue d'un proxy standard par le fait qu'il :

Un proxy transparent est configuré sur le gateway réseau. Tout le trafic HTTP/HTTPS passe par lui sans configuration sur les clients. Les utilisateurs ne savent pas qu'un proxy existe — pratique pour les déploiements d'entreprise à grande échelle.

6. Un load balancer en mode "Active-Passive" signifie que :

Active-Passive = haute disponibilité (HA) sans équilibrage de charge. Le nœud passif monitore le nœud actif et prend le relais (failover) si celui-ci tombe. Active-Active fait les deux : HA + load balancing.

7. SASE (Secure Access Service Edge) combine principalement :

SASE converge réseau (SD-WAN) et sécurité (ZTNA, CASB, SWG, FWaaS) dans un service cloud unique. Cela simplifie l'architecture et s'adapte naturellement aux organisations avec des utilisateurs mobiles et des apps cloud.

8. Quel est l'avantage principal du "TLS/SSL Offloading" sur un reverse proxy ou load balancer ?

Le TLS offloading déplace la charge de chiffrement/déchiffrement des serveurs web vers le load balancer/proxy (souvent avec des accélérateurs matériels). Les serveurs reçoivent du HTTP non chiffré et n'ont plus à gérer TLS.

9. Quelle est la différence principale entre un UTM et un NGFW ?

UTM = "tout-en-un" pour les PME (pare-feu + IPS + antivirus + filtrage web + VPN). NGFW = inspection applicative avancée (App-ID, user-ID, SSL inspection) pour les entreprises avec des volumes de trafic élevés et des exigences de performance.

10. Dans l'architecture Zero Trust, "supposer une violation" (assume breach) signifie que :

"Assume breach" signifie concevoir l'architecture en supposant que l'attaquant est déjà à l'intérieur. Cela mène à la micro-segmentation, la surveillance continue, et les contrôles d'accès granulaires — limiter l'impact d'une compromission inévitable.