Avant de protéger un réseau, il faut le connaître. Quels ports sont ouverts ? Quels services répondent ? Quelles données transitent ? Les outils d’analyse réseau répondent à ces questions, que ce soit pour un audit de sécurité, un diagnostic de panne ou une investigation après incident.
Pourquoi analyser le réseau ?
Section intitulée « Pourquoi analyser le réseau ? »L’analyse réseau intervient à plusieurs étapes :
- Inventaire : quels serveurs, quels services, quelles versions ?
- Audit de sécurité : quels ports ne devraient pas être ouverts ?
- Diagnostic : pourquoi cette connexion échoue ?
- Investigation : que s’est-il passé lors de l’incident ?
- Pentest : quelles vulnérabilités sont exploitables ?
Sans visibilité sur le réseau, impossible de le sécuriser efficacement.
Qui est concerné ?
Section intitulée « Qui est concerné ? »| Profil | Usage principal |
|---|---|
| Administrateur système | Diagnostic de connectivité, inventaire des services |
| Ops / SRE | Troubleshooting réseau, analyse de latence |
| Pentester | Reconnaissance, identification des vulnérabilités |
| Analyste SOC | Investigation d’incidents, analyse de trafic suspect |
Les outils essentiels
Section intitulée « Les outils essentiels »Scanner de ports : Nmap
Section intitulée « Scanner de ports : Nmap »Nmap identifie les hôtes actifs, les ports ouverts et les versions de services. C’est l’outil de reconnaissance par excellence, utilisé aussi bien par les administrateurs que par les pentesters.
Capture de paquets : tcpdump
Section intitulée « Capture de paquets : tcpdump »tcpdump capture le trafic réseau en temps réel. Idéal pour diagnostiquer des problèmes de connectivité ou analyser des échanges entre services.
Couteau suisse : Netcat
Section intitulée « Couteau suisse : Netcat »Netcat établit des connexions TCP/UDP, teste l’ouverture de ports, transfère des fichiers. Simple mais redoutablement efficace.
Scanner de vulnérabilités : OpenVAS
Section intitulée « Scanner de vulnérabilités : OpenVAS »OpenVAS scanne les systèmes pour identifier les vulnérabilités connues (CVE). Utile pour les audits de conformité et la gestion des correctifs.
Scénario : audit d’un nouveau serveur
Section intitulée « Scénario : audit d’un nouveau serveur »Vous prenez en charge un serveur existant. Première étape : comprendre ce qui tourne dessus.
- Nmap : scanner tous les ports pour lister les services exposés
- tcpdump : capturer le trafic pour identifier les flux actifs
- Netcat : tester la connectivité vers les services identifiés
- Analyse : comparer avec ce qui devrait être exposé
Résultat : vous découvrez un service FTP oublié sur le port 21.
Pièges courants
Section intitulée « Pièges courants »- Scanner sans autorisation — même en interne, prévenez les équipes
- Interpréter un port filtré comme fermé — le pare-feu peut masquer un service actif
- Oublier IPv6 — les services peuvent écouter sur les deux stacks
- Capturer sans filtrer — tcpdump sur une interface chargée génère des Go de données
- Faire confiance aux bannières — elles peuvent être modifiées ou trompeuses
Outils disponibles
Section intitulée « Outils disponibles »Outils à explorer
Section intitulée « Outils à explorer »- Wireshark — analyse graphique de captures réseau (alternative à tcpdump)
- Masscan — scanner de ports ultra-rapide pour les grands réseaux
- Nuclei — scanner de vulnérabilités basé sur des templates YAML
- Rustscan — wrapper Nmap plus rapide, écrit en Rust
À retenir
Section intitulée « À retenir »- Connaître avant de protéger — inventoriez vos services exposés
- Scanner régulièrement — la surface d’attaque évolue
- Capturer avec parcimonie — filtrez pour ne garder que l’utile
- Corréler les sources — Nmap + tcpdump + logs = vision complète
- Documenter les résultats — un audit non documenté est un audit perdu