Connaître, verrouiller, tenir : le plan des Arcades
Imagine qu'on te confie la sécurité d'un centre commercial flambant neuf, « Les Arcades ». Deux niveaux, quarante boutiques, une bijouterie, un parking, des réserves, un local technique, des dizaines de livreurs qui passent chaque jour. Tu ne peux pas tout verrouiller en une matinée. Si tu poses des vigiles à l'entrée avant même de connaître le plan, tu surveilles des couloirs qui ne mènent nulle part et tu laisses la porte de la réserve grande ouverte.
La sécurité informatique, c'est pareil. On ne sécurise pas un système d'information d'un seul geste. On suit un ordre, celui dans lequel on s'en occuperait vraiment si le bâtiment était sous nos pieds.
Le fil rouge de toute cette série tient en trois mouvements : connaître les lieux, verrouiller les accès, tenir la galerie. On apprend dans cet ordre parce que c'est l'ordre où chaque étape rend la suivante possible.
Cette page est la carte. Elle ne t'apprend aucune notion en détail : elle te montre le chemin, les trois paliers, les huit domaines, et l'ordre des billets dans chacun. Garde-la ouverte dans un onglet. Tu reviendras dessus entre deux étapes.
Chaque billet de la série s'ancre dans Les Arcades (le scénario A, notre centre commercial commun), puis transpose la notion sur un cas technique réel documenté (le scénario B). Une métaphore tangible d'abord, la mise en pratique ensuite.
Le parcours en un schéma
Voici les trois paliers et les huit domaines qu'ils contiennent, dans l'ordre de lecture. On descend de gauche à droite : on ne passe au palier suivant qu'une fois le précédent compris.
Le découpage n'est pas un classement par difficulté. C'est une séquence d'action : on cartographie avant de cloisonner, on cloisonne avant de surveiller.
Palier 1 : Connaître les lieux
Avant la première serrure, le directeur de la sécurité fait le tour du bâtiment. Combien d'entrées ? Où est le coffre ? Qu'est-ce qui a de la valeur, et qui voudrait y toucher ? Tant que ces réponses manquent, n'importe quelle mesure est un coup dans le vide.
Ce palier pose le vocabulaire et la grille de lecture du reste de la série. Il a deux domaines.
Fondations
C'est le socle conceptuel. Ce qu'on protège (les données et leurs trois propriétés : confidentialité, intégrité, disponibilité), pourquoi on ne vise jamais le risque zéro, et comment on empile les protections pour que la chute d'une serrure n'ouvre pas tout le centre. On y croise aussi les principes qui guident toutes les décisions suivantes : ne donner à chacun que le strict nécessaire, et ne faire confiance à personne par défaut.
Lis ces billets dans l'ordre :
- La triade DICP, le risque et la défense en profondeur
- Zero Trust, moindre privilège et surface d'attaque
Page du domaine : Fondations.
Menaces
Connaître les lieux, c'est aussi connaître ceux d'en face. Comment un braquage des Arcades se prépare-t-il, du repérage discret au passage à l'acte ? Ce domaine décrit l'anatomie d'une attaque, la façon de nommer et de noter les failles exploitables, et la méthode pour lister à froid ce qui peut mal tourner avant que ça arrive.
Lis ces billets dans l'ordre :
- La Cyber Kill Chain et MITRE ATT&CK
- CVE, CVSS et zero-day pour prioriser les vulnérabilités
- Le threat modeling avec STRIDE
Page du domaine : Menaces.
À la fin du palier 1, tu sais nommer ce que tu protèges et ce dont tu te protèges. Sans ça, tout le reste serait posé au hasard.
Palier 2 : Verrouiller les accès
Le plan est en tête, les menaces sont listées. On peut enfin poser les serrures. C'est le moment où Les Arcades cloisonnent leurs galeries, blindent le coffre de la bijouterie et distribuent les badges au personnel.
Ce palier est le plus technique. Il compte trois domaines, à parcourir dans cet ordre.
Réseau & systèmes
Comment on cloisonne le bâtiment et comment on filtre qui passe d'une galerie à l'autre. On y voit les couches par lesquelles une attaque peut passer, et l'arsenal de barrières qui filtre les flux : portiques d'entrée, agents qui contrôlent les sacs, tunnels protégés pour les prestataires.
Lis ces billets dans l'ordre :
Page du domaine : Réseau & systèmes.
Cryptographie
Le coffre de la bijouterie et le jeu de clés du gardien. Comment on rend un message illisible pour qui n'a pas la bonne clé, comment on vérifie qu'un document n'a pas été trafiqué, et comment toute une chaîne de confiance permet à deux inconnus de se parler sans se faire intercepter.
Lis ces billets dans l'ordre :
Page du domaine : Cryptographie.
Identité & accès
Les badges du personnel et les zones réservées. Comment on prouve qu'on est bien la personne qu'on prétend être, et comment on gère le cas particulier des accès les plus sensibles, ceux qui ouvrent le local technique ou la salle des coffres.
Lis ces billets dans l'ordre :
Page du domaine : Identité & accès.
À la fin du palier 2, le bâtiment est cloisonné, le coffre est scellé, les badges sont distribués. Mais un centre verrouillé n'est pas un centre tenu.
Palier 3 : Tenir la galerie
Les serrures ne suffisent pas. Un centre commercial vit, il ouvre tous les jours, des incidents arrivent, des règles changent, de nouvelles boutiques s'installent. Tenir la galerie, c'est le travail qui ne s'arrête jamais : surveiller, encadrer, et accompagner ce qui se construit.
Ce palier compte trois domaines.
Détection & réponse
Le PC sécurité avec ses écrans de vidéosurveillance, et l'équipe qui intervient quand une alarme sonne. Comment on collecte et trie les signaux, comment on enquête sur un incident en cours, et comment on se met dans la peau de l'attaquant pour tester ses propres défenses avant lui.
Lis ces billets dans l'ordre :
Page du domaine : Détection & réponse.
Gouvernance & conformité
Le règlement intérieur, la commission de sécurité et les audits qui valident que Les Arcades respectent les normes. Qui décide quoi, quels cadres structurent l'organisation, à quelles obligations on doit se conformer, et pourquoi le maillon le plus fragile reste souvent l'humain qu'un faux livreur peut berner.
Lis ces billets dans l'ordre :
- La gouvernance de la sécurité et ses frameworks
- Conformité : ISO 27001, SOC 2, RGPD et NIS2
- Le facteur humain : phishing et ingénierie sociale
Page du domaine : Gouvernance & conformité.
Cloud & applications
Les nouvelles boutiques qui s'installent dans la galerie, et les locaux qu'on loue à des prestataires. Quand une partie du bâtiment appartient à un tiers, qui est responsable de quoi ? Et comment on sécurise ce qui se construit, les vitrines numériques par lesquelles les clients entrent.
Lis ces billets dans l'ordre :
Page du domaine : Cloud & applications.
Tenir la galerie, c'est le seul palier qui n'a pas de fin. Connaître et verrouiller se font une fois ; surveiller et gouverner se refont chaque jour.
Les huit domaines en un coup d'œil
Si tu veux repérer rapidement où aller, ce tableau résume tout : le palier, le domaine, ce qu'on y apprend, et la liste des billets.
| Palier | Domaine | Ce qu'on y apprend | Billets |
|---|---|---|---|
| 1. Connaître les lieux | Fondations | Ce qu'on protège, la notion de risque, l'empilement des défenses | DICP & défense en profondeur · Zero Trust |
| 1. Connaître les lieux | Menaces | Anatomie d'une attaque, notation des failles, modélisation des risques | Kill Chain & ATT&CK · CVE/CVSS · STRIDE |
| 2. Verrouiller les accès | Réseau & systèmes | Cloisonnement, couches réseau, filtrage des flux | OSI sécurité · Pare-feu/WAF/IDS/VPN |
| 2. Verrouiller les accès | Cryptographie | Chiffrement, intégrité, chaîne de confiance | Chiffrement & hachage · PKI/TLS |
| 2. Verrouiller les accès | Identité & accès | Prouver son identité, gérer les accès sensibles | MFA & SSO · IAM/PAM |
| 3. Tenir la galerie | Détection & réponse | Surveillance, enquête sur incident, test offensif | SOC/SIEM/SOAR · CTI/réponse · Pentest |
| 3. Tenir la galerie | Gouvernance & conformité | Rôles, cadres, obligations légales, facteur humain | Frameworks · ISO/RGPD/NIS2 · Phishing |
| 3. Tenir la galerie | Cloud & applications | Responsabilité partagée, sécurité du code | Cloud IaaS/PaaS/SaaS · API & OWASP |
Comment lire la série
Quelques repères pour tirer le meilleur de ce parcours.
Commence au palier 1, même si tu connais déjà les outils. Beaucoup de praticiens savent configurer un pare-feu mais buttent sur la question « qu'est-ce que je protège, au juste ? ». Les Fondations donnent le vocabulaire que tous les billets suivants réutilisent. Sauter ce palier, c'est lire la suite avec un dictionnaire incomplet.
Dans un domaine, suis l'ordre des billets. Ils sont numérotés parce que chacun s'appuie sur le précédent. La PKI n'a de sens qu'après le chiffrement ; le PAM n'a de sens qu'après l'authentification.
Pour chaque notion, repère d'abord son coin des Arcades. Chaque billet ouvre sur le centre commercial (scénario A) avant de transposer sur un cas réel (scénario B). Cette double lecture est volontaire : la métaphore ancre l'intuition, le cas technique ancre la pratique. Si une notion reste floue, retourne à son coin des Arcades, c'est souvent là que le déclic se fait.
Reviens à cette page entre deux paliers. Quand tu termines un palier, relis le schéma du parcours. Tu verras où tu en es et pourquoi le palier suivant arrive maintenant et pas avant. La carte n'a de valeur que si tu la consultes en chemin.
Cette série est concept-first : elle vise à faire comprendre une notion, pas à dérouler une procédure d'exploitation. L'objectif est que tu saches pourquoi un outil existe avant d'apprendre à le manier.
Points clés
- La série suit un fil rouge unique, connaître les lieux, verrouiller les accès, tenir la galerie, l'ordre dans lequel on sécuriserait vraiment Les Arcades.
- Trois paliers regroupent huit domaines : Fondations et Menaces ; Réseau & systèmes, Cryptographie et Identité & accès ; Détection & réponse, Gouvernance & conformité et Cloud & applications.
- Chaque billet ancre la notion dans Les Arcades (scénario A) avant de la transposer sur un cas technique réel (scénario B).
- L'ordre compte : commence au palier 1, suis la numérotation des billets dans chaque domaine, et reviens à cette carte entre deux paliers.
- L'approche est concept-first : comprendre la notion d'abord, manier les outils ensuite.
Pour aller plus loin
- Cette série prolonge le billet Qu'est-ce que le DevSecOps ?, qui montre comment la sécurité s'intègre au cycle de vie logiciel.
- Chaque domaine a sa propre page, qui regroupe ses billets au fil de leur publication. Pars de cette carte, choisis un palier, et entre dans le premier domaine.