🛡️ Ingénieur Réseau & Sécurité

Un métier “fondation” : concevoir, sécuriser et opérer les réseaux (LAN/WAN/DC/Cloud). Objectif final : disponibilité, performance, sécurité, traçabilité.

Domaines : switching/routing, firewalls, VPN/ZTNA, IDS/IPS, DDoS, DNS/IPAM, observabilité, NetDevOps, conformité.

1.1

Fondamentaux & rôle dans l’entreprise

Pourquoi ce métier est critique : stabilité, performance, Zero Trust, gouvernance, gestion du risque.

Missions KPI Risk

1.2

Architecture Réseau

LAN/WAN/DC, segmentation, VLAN/VRF, redondance, QoS, patterns (DMZ, Leaf-Spine, Hub&Spoke).

VLAN/VRF OSPF/BGP HA

1.3

Switching & Routing (expert)

STP/LACP/ECMP, OSPF, BGP edge, NAT, MTU/MSS, diag L2→L7, asymétries stateful.

L2/L3 BGP Troubleshooting

2.1

Sécurité Réseau (socle)

Firewall L3/L7, IDS/IPS/NDR, micro-seg, WAF/LB, logs/SIEM, hardening & hygiene.

FW IDS/IPS Zero Trust

2.2

VPN / ZTNA / IAM

IPsec/SSL, SASE, bastion, PAM, MFA, certificats/PKI, posture device, RBAC/ABAC.

IPsec SASE PAM

2.3

Incident Response & Forensic

DDoS, compromission, beaconing, exfiltration, captures PCAP, containment, RCA & playbooks.

SIEM IR DDoS

2.4

Réseau Cloud (AWS/Azure/GCP)

VPC/VNet, subnets/routes, SG/NSG, peering, TGW, PrivateLink, LB/WAF, Flow Logs.

VPC TGW PrivateLink

3.1

Ops, Monitoring & SRE réseau

SNMP/NetFlow, synthetic tests, SLO/SLA, capacity planning, runbooks, astreinte, MTTR.

NetFlow SLO NMS

3.2

NetDevOps & Automatisation

IaC, GitOps, Ansible/Terraform, NetBox, tests (Batfish), CI/CD réseau, rollback.

Ansible Terraform GitOps

3.3

Compliance & Gouvernance

ISO 27001 / NIS2 / PCI-DSS / RGPD : contrôles, preuves, logs, change mgmt, audits.

ISO27001 NIS2 RGPD

4.0

Toolbox & Cheatsheet

Commandes diag, captures, filtres Wireshark, check DNS/TLS, firewall Linux, bonnes pratiques.

tcpdump Wireshark nmap

4.1

Parcours & Interviews

Junior→Senior→Architecte : compétences, labs, certifications, questions d’entretien, “senior mindset”.

Certifs Labs Interview

1.1 Fondamentaux — Pourquoi l’ingénieur réseau & sécurité est indispensable

Ce que l’entreprise attend (concret)

Disponibilité : le service reste accessible malgré pannes liens/équipements (HA + tests).
Performance : latence, jitter, perte, congestion ; QoS pour voix/visio/temps réel.
Sécurité : réduire la surface exposée, empêcher l’intrusion, limiter l’impact (segmentation).
Traçabilité : logs centralisés (FW/VPN/DNS/LB/WAF) → enquête, audit, RCA.
Prévisibilité : change mgmt, rollback, doc vivante, standards.

Les facettes du métier

Facette	Exemples	Impact
Architecture	LAN/WAN/DC, DMZ, interco, cloud hybride.	Stabilité long-terme.
Ops	NMS, diag incident, maintenance, patching.	MTTR bas.
Security	FW/WAF/IDS, ZTNA, hardening, SIEM.	Risque ↓
Automation	Ansible/Terraform, SoT, CI/CD, tests policies.	Erreurs ↓
Incident	DDoS, containment, forensic, post-mortem.	Résilience ↑

Le bon modèle mental : “gérer des flux”

Un ingénieur réseau & sécurité ne gère pas “des boîtes” : il gère des flux. Tout (VLAN, routes, ACL, VPN, WAF) sert à répondre à : qui parle à qui, comment, et avec quel niveau de confiance.

Règle d’or : 1) Segmenter (blast radius) 2) Contrôler (policy explicite) 3) Observer (logs/metrics) 4) Automatiser (réduire l’humain) 5) Tester (avant-prod, rollback)

Livrables “pro”

Schémas L2/L3, plan IP, VRF/VLAN plan, matrice de flux, règles FW documentées.
Runbooks (incident & changements), standards de nommage, procédures d’exploitation.
Tableau des dépendances : DNS/LB/WAF/Proxy/EDR/SIEM.

KPI réseau qui comptent vraiment

KPI	Définition	Pourquoi
Availability	Uptime + redondance effective.	Continuité business.
Latency/Jitter	RTT & variance.	UX, temps réel.
Packet loss	Pertes / retransmissions.	Signal de congestion.
MTTR	Temps moyen de résolution.	Outillage/process.
Change failure rate	% changes qui cassent.	Maturité opérationnelle.
Security posture	Surface exposée, règles “laxistes”.	Risque réel.

Incidents “signature” fréquents

DNS (split-horizon, cache incohérent, latence résolution).
MTU/MSS (PMTU blackhole, surtout IPsec/VPN).
Asymétrie (FW stateful qui drop les retours).
Boucle L2 (ARP storm, MAC flapping).
Certificats (expiry, chain cassée, SNI).

Heuristique “diag rapide”

Quand c’est “bizarre”, pense dans cet ordre : DNS → MTU/MSS → asymétrie → stateful FW/NAT → LB → WAF → appli

Responsabilités selon contexte

PME : polyvalence (LAN/WiFi/VPN/FW + support).
ETI : segmentation, DC, SD-WAN, supervision, PRA.
Grand compte : multi-sites, SOC/SIEM, compliance, cloud hybride, fournisseurs.

Échelle de maturité (L1→L5)

L1 : exécute configs, dépannage “au feeling”.
L2 : diag structuré, lit logs/metrics.
L3 : design + HA + sécurité, comprend bout-en-bout.
L4 : standardise, automatise, gouverne, maîtrise le risque.
L5 : pilote stratégie (Zero Trust, cloud, budget, roadmap).

Réflexe senior en incident

Étape	Question	Action
1	Impact ?	Scope, priorisation.
2	Réseau ou appli ?	Tests RTT/trace/HTTP.
3	Change récent ?	Rollback si doute.
4	Preuves ?	PCAP + logs FW/LB/WAF/DNS.
5	Prévention ?	RCA + actions correctives.

Zero Trust (version opérationnelle)

Zero Trust = identité + posture + segmentation + logs. On ne “fait pas confiance” au LAN : on vérifie en continu.

Zero Trust (pratique) : - Identity first (SSO/MFA) - Least privilege (RBAC/ABAC + JIT) - Segmentation (zones + micro-seg) - Continuous verification (logs/SIEM) - Automation (policy as code)

Mini schéma (placeholder)

[User+Device] -> [ZTNA/SASE] -> [Policy Engine] -> [App Segment] | | | | MFA posture check logs microseg

Anti-patterns (très courants)

Any/Any “temporaire” qui devient permanent.
Pas d’IPAM : conflits, diag impossible, dette technique.
Pas de logs : pas de preuve, pas de RCA, pas d’audit.
Prod-first : changements non testés, sans rollback.
VLAN = sécurité : sans policy L3/FW, la segmentation est fragile.

Red flags sécurité

Signal	Risque	Fix
Admin exposé Internet	Compromission.	Bastion + MFA + allowlist.
RDP/SSH ouverts	Bruteforce/scan.	ZTNA/VPN + policy stricte.
Logs non centralisés	Investigation faible.	SIEM + retention.
Certs non gérés	Panne brutale.	Rotation + alert expiry.

À retenir : Sans logs, tu ne sécurises pas — tu espères.

1.2 Architecture — LAN/WAN/DC : segmentation, redondance, QoS, patterns

Topologies réalistes

Campus : Access / Distribution / Core (ou collapsed core).
Datacenter : Leaf-Spine, ECMP, overlays (VXLAN/EVPN si besoin).
WAN : SD-WAN / MPLS / multi-ISP, BGP edge.
DMZ : chaîne front (WAF/LB/Reverse) + segmentation stricte.

Ce qui rend un design “pro”

Principe	Concret	Pourquoi
Blocs	Zones + interfaces claires	Ops & audit.
Redondance	Actif-actif quand possible	Pas de SPOF.
Observabilité	Flow logs + syslog	Diag rapide.
Standards	Nommage, IP plan, SoT	Évolutif.

Schéma placeholder — DC Leaf/Spine

[Leaf-1]---\ [Leaf-2]----(Spine-1)====(Spine-2)----[Leaf-3] [Leaf-4]---/ ECMP

Avec ECMP, plusieurs chemins sont actifs en parallèle (plus performant que la redondance purement passive).

Livrables attendus

Plan IP, VLAN/VRF plan, route tables, points de coupure.
Carto dépendances : DNS/LB/WAF/Proxy/EDR.
Matrice de flux : base pour FW / audits / troubleshooting.

Segmentation : du VLAN à la micro-seg

VLAN : segmentation L2 (broadcast domains) — utile mais pas suffisant en sécurité.
VRF : isolation L3 (tables de routage séparées) — propre, “multi-tenant”.
FW inter-zones : la vraie politique (autoriser explicitement les flux).
Micro-seg : isolation par workload/identity (blast radius minimal).

Matrice de flux (exemple)

Source	Destination	Port	Justif
App	DB	5432/TCP	Accès applicatif strict.
Admin VPN	Mgmt	22/443	Via bastion/PAM.
Users	Web	443/TCP	Front via WAF/LB.

Zones (pattern simple & robuste)

INTERNET | [WAF/LB] -> ZONE: DMZ (Front) | [FW ] -> ZONE: APP | [FW ] -> ZONE: DATA (DB/Storage) | [FW ] -> ZONE: MGMT (Bastion/SIEM/Admin)

But : isoler fonctions, tracer, limiter mouvement latéral.

Haute disponibilité : design + tests

Liens redondés (dual uplinks), LACP, chemins diversifiés.
Routage (ECMP, OSPF cost, BGP policies).
FW cluster (sync state) + bascule maîtrisée.
DNS/LB health checks, multi-AZ/site, GSLB si besoin.

Checklist “fire drill”

Test	Action	Attendu
Uplink	Cut lien #1	Service up, dégradé acceptable.
FW	Failover	Sessions critiques ok.
BGP	Withdraw route	Re-route rapide.
DNS	health-check KO	Switch vers endpoint sain.

HA = Design + Tests + Observabilité. Sans tests réguliers, c’est juste un dessin.

Piège courant

Avoir de la redondance matérielle mais un seul point logique (ex: une seule route, une seule policy, un seul DNS, un seul bastion) → SPOF “logiciel”.

QoS : quand c’est indispensable

VoIP/Visio (jitter/loss), liens WAN congestionnés, temps réel.
Shaping/policing, classes, DSCP, priorisation maîtrisée.
DC : microbursts, queues, bufferbloat (à surveiller).

Signaux de saturation

RTT qui monte avec le débit, pertes, retransmissions TCP.
“Lent” côté user alors que CPU/RAM serveurs OK → suspect réseau.

Aide-mémoire

Latence = délai (ms) Jitter = variance latence Loss = pertes (%) Throughput = débit utile Voix robotisée → jitter/loss (QoS + congestion)

1.3 Switching & Routing — L2/L3/BGP : maîtriser le “flow”

L2 : stabilité (sinon tempête)

STP/RSTP/MST : éviter boucles → sinon broadcast storm.
LACP : agrégation + résilience.
DHCP Snooping / DAI : anti rogue DHCP + ARP spoofing.
Port-security : limiter MAC, sécuriser accès.

MAC flapping

Symptôme : pertes aléatoires + CPU switch haut → boucle / trunk mismatch / mauvais patch.

Mini diag L2

1) root STP (qui est root ?) 2) trunks (allowed/native VLAN ? mismatch ?) 3) MAC table (flapping ?) 4) isoler (couper par étapes)

OSPF : convergence & hygiène

Areas (scalabilité), cost (contrôle chemins), ECMP.
Redistribution : attention boucles (tags/policies).
Pièges : MTU/auth mismatch → adjacences instables.

Tracer un flux (méthode)

Source → GW → Core → FW → LB/WAF → App Pour chaque hop : - route table (next-hop) - ACL/FW policy (allow ?) - NAT (translation ?) - MTU/MSS (fragmentation ?)

Asymétrie + stateful FW

Cas classique : - Aller passe par FW-A - Retour passe par FW-B → FW drop (state absent) Fix : - symétriser routage - ou cluster/state sync correctement

BGP : edge internet / inter-sites

Contrôle annonces (prefix-lists), policies (route-maps).
Influencer trafic : local-pref, MED, communities, prepends.
Hygiène moderne : filtrage strict, max-prefix, monitoring.

Objet	Rôle
Prefix-list	Filtrer ce qui entre/sort.
Route-map	Appliquer policy (set attr.).
AS-PATH	Influencer trafic entrant.

Incident type : route leak

Route trop large annoncée → blackhole / détours / saturation. Fix : - filters stricts - max-prefix - alerting BGP

Approche L1→L7 (table)

Couche	Test	Exemples
L1	link/errors	CRC, duplex, optics.
L2	VLAN/STP	trunks, loops.
L3	routes	trace, ECMP.
L4	TCP/UDP	NAT/state.
L7	HTTP/TLS	cert, SNI.

Symptômes → causes

Timeout TCP : FW drop, asymétrie, ACL, MTU.
TLS fail : cert expiry, chain, ciphers, SNI.
Lent via VPN : MSS/MTU, DNS split, hairpin.
Aléatoire : flapping, saturation, NAT table pleine.

Méthode pro : Reproduire → Mesurer → Isoler → Capturer → Corriger + RCA

2.1 Sécurité Réseau — Firewall/WAF, IDS/IPS, logs/SIEM, hardening

Firewall : ce qui fait la différence

Policies courtes & justifiées (ticket, owner, date, expiration si temporaire).
Stateful : attention au routage asymétrique (sinon drop).
NAT : SNAT/DNAT, tables saturables, logs utiles.
L7 : App-ID, URL filtering, TLS termination/inspection (selon contexte).
Logging : “deny” essentiel, “allow” ciblé → SIEM.

Hygiène de ruleset

Règle	État	Action
Any → Any	Interdit	Remplacer par matrice de flux.
Temporaire	Expirable	TTL + revue.
Legacy	À auditer	Usage réel via logs.

Chaîne front (pattern)

Internet -> (DDoS) -> WAF -> Load Balancer -> Reverse Proxy -> App \-> logs -> SIEM

“Moins mais mieux” : 20 règles propres > 200 règles incompréhensibles.

Détection : IDS/IPS, NDR, SIEM

Solution	Rôle	Limites
IDS	Détecte (signatures/anomalies).	Bruit (faux positifs).
IPS	Bloque inline.	Risque de blocage légitime.
NDR	Analyse comportement réseau.	Chiffrement réduit visibilité.
SIEM	Corrèle logs multi-sources.	Dépend qualité logs.

Signaux réseau utiles

DNS anormal (tunneling, NXDOMAIN massifs).
Beaconing régulier (C2), destinations rares.
Scan interne (ports séquentiels), lateral movement.
Volumes sortants anormaux (exfiltration).

NetFlow/sFlow : le “radar”

NetFlow = qui parle à qui + volumes + temps. Utile pour : - cartographier dépendances - détecter exfiltration - comprendre saturation / DDoS

La qualité de l’IR dépend de la qualité des logs (centralisation + horodatage NTP).

Zero Trust : mise en œuvre

Identity (SSO/MFA), device identity/certificats.
Least privilege (RBAC/ABAC, JIT, break-glass).
Segmentation (zones + micro-seg), pas de LAN “plat”.
Posture (EDR, patch, chiffrement, conformité device).
Continuous verification (logs/SIEM, anomalies).

Accès admin “audit-friendly”

Étape	Contrôle	But
1	ZTNA/VPN + MFA	Auth forte
2	Bastion	Point de contrôle
3	PAM / JIT	Accès temporaire
4	Session recording	Audit

ZTNA en 1 phrase

On n’ouvre pas le réseau : on ouvre l’application à l’utilisateur, après vérification identité + posture, avec logs.

Remote user -> ZTNA -> App (no direct network access) \-> policy engine + logs

Hardening (le “boring” qui sauve tout)

Management plane isolé (VRF/VLAN mgmt), ACL strictes, pas d’admin public.
AAA (RADIUS/TACACS+), comptes nominatifs, MFA.
SNMPv3, SSH only, TLS moderne, NTP obligatoire.
Backups configs + versioning (diff, rollback).
Patch policy + priorisation CVE exposées.

Configuration drift

Drift = équipement hors “golden config”. Cause : hotfix, urgence, erreur humaine. Fix : IaC + audits auto + diff + approbation.

Automatiser + peer review = réduction massive des incidents de change.

2.2 VPN / ZTNA / IAM — IPsec, SSL, SASE, bastion, PKI, posture

Accès distant : les grands patterns

Type	Usage	Notes
SSL VPN	Remote users.	Simple, policy stricte.
IPsec S2S	Interco sites/partenaires.	Stable, attention MTU/routes.
ZTNA	Accès appli.	Surface réseau ↓
Bastion	Admin mgmt.	Audit + contrôle.

SASE (vue simple)

Security + réseau “as-a-service” : ZTNA, proxy, FW, CASB, policies globales.
Idéal pour workforce distribuée.

Pattern bastion

User (MFA) -> VPN/ZTNA -> Bastion -> Target (SSH/RDP) \-> logs + session recording

Très apprécié en compliance : preuves + contrôle central.

PKI : cycle de vie

Émission (CA), distribution, rotation, révocation.
Alertes expiry (30/15/7 jours), automatisation (ACME si possible).
Stockage clés : secrets manager / HSM selon criticité.

Mini check “panne TLS/VPN”

1) NTP (heure correcte ?) 2) expiry cert ? 3) chain (intermediate) ? 4) SNI/ciphers ? 5) rollback / renouveler

Posture device (moderne)

OS patché, disque chiffré, EDR actif, device compliant.
Accès conditionnel : posture KO → accès réduit / quarantine.
Réduit fortement l’impact du vol de credentials.

RBAC vs ABAC

RBAC : par rôle. ABAC : par attribut (pays, device, heure, conformité).

Le piège : VPN full-tunnel “trop large”

Un user compromis sur VPN “full LAN” → scan interne + lateral movement. Fix : - ZTNA par application - ou segmentation stricte + FW inter-zones

Pièges techniques fréquents

MTU/MSS : très fréquent en IPsec (MSS clamping).
DNS split : résolutions incohérentes interne/externe.
Overlap RFC1918 : partenaires avec mêmes IP (NAT ou redesign).
Asymétrie : multiples liens + stateful FW.

Cas “ça marche en 4G mais pas au bureau”

Hypothèses : - proxy / inspection TLS entreprise - DNS différent - firewall sortant restrictif - MTU sur le chemin

2.3 Incident Response — DDoS, compromission, forensic, playbooks

DDoS : types & mitigations

Type	Exemples	Mitigation
Volumétrique	UDP floods	Scrubbing/Anycast/ISP.
Protocol	SYN flood	FW tuning, SYN cookies.
L7	HTTP floods	WAF, rate-limit, caching.

Priorité

Protéger le service d’abord (mitigation), analyser ensuite (preuves), durcir enfin (post-mortem).

Plan “ordre utile”

1) Activer protections amont (CDN/WAF/Anycast) 2) Rate-limit / challenges / blocklists temporaires 3) Ajuster caching (si possible) 4) ISP scrubbing si volumétrique 5) RCA + mesures permanentes

Compromission : patterns réseau

Lateral movement : scans internes, SMB/RDP/SSH multi-hôtes.
Beaconing : petits paquets réguliers vers IP rares.
Exfiltration : volume sortant anormal, heures atypiques.
DNS tunneling : requêtes longues, NXDOMAIN élevés.

Containment (intelligent)

Isoler scope (quarantine VLAN/micro-seg) plutôt que “couper tout”.
Rotation creds / revoke tokens / forcer MFA reset.
Préserver preuves avant remédiation.

Piège : “tout couper”

Tout couper = business KO + preuves perdues. Mieux : - isoler le scope - capturer logs/pcap - maintenir critique si possible

Forensic réseau : savoir faire

Captures PCAP ciblées (5-tuple + timeframe).
Corrélation : FW + DNS + proxy + LB/WAF + EDR.
Timeline : qui, quand, comment, où.

tcpdump -i eth0 -w incident.pcap 'host 10.0.0.10 and port 443' tcpdump -nn -tttt -r incident.pcap

Chiffrement : ce qui reste visible

Sans déchiffrement TLS : SNI, IPs, volumes, timings.
Les métadonnées suffisent souvent (beaconing/exfiltration).
TLS inspection : puissant mais à cadrer (privacy/compat).

Bon réflexe : - logs centralisés - NTP fiable - retention (7j/30j selon criticité)

Playbooks (très utiles)

Incident	Action immédiate	Après
DDoS	WAF/rate-limit + amont	Durcir + RCA
Creds volés	Reset + revoke	Conditional access
Ransomware	Isoler segments	Restore + hardening

Post-mortem (structure)

- Résumé impact - Timeline - Cause racine - Ce qui a marché / pas marché - Actions correctives (tech + process) - Owner + date + validation

3.2 NetDevOps — IaC, SoT, CI/CD réseau, tests, rollback

Pourquoi automatiser ?

Réduire erreurs humaines, standardiser, accélérer.
Détecter drift, générer diffs, rollback fiable.
Industrialiser les audits (policy as code).

Idées “portfolio” utiles

Générer règles FW depuis matrice de flux (source-of-truth).
Tester reachability/policies en lab avant prod.
Scanner “any-any” + ports exposés + règles non utilisées.

Piège

Automatiser sans tests/approval/rollback = automatiser des pannes plus rapides.

Tooling typique

Besoin	Outils	Notes
Config mgmt	Ansible / Nornir	Templates + push contrôlé.
IaC cloud	Terraform	Réseau cloud reproductible.
SoT	NetBox	IPAM + inventory.
Tests	Batfish / pytest	Reachability & policy checks.
CI/CD	GitHub/GitLab CI	Lint + tests + approval.

Golden config (exemple)

- ssh only (no telnet) - snmpv3 only - syslog -> SIEM - ntp mandatory - AAA + comptes nominatifs - mgmt plane isolé

Pipeline CI/CD (simple)

git push -> lint -> simulate (lab) -> policy tests -> approval -> deploy -> post-checks -> tag release

Post-checks essentiels

Routes attendues présentes.
Interfaces up, erreurs stables.
Smoke tests HTTP/TLS.
Flow/logs toujours envoyés.

3.3 Compliance — ISO27001, NIS2, PCI-DSS, RGPD : contrôles & preuves

Ce que les audits veulent voir

Contrôle d’accès : MFA, comptes nominatifs, revues régulières.
Traçabilité : logs centralisés, retention, intégrité.
Segmentation : DMZ, zones, isolement data & mgmt.
Change mgmt : tickets, approvals, rollback, post-checks.
Patching : politique + preuves.

Exemples d’evidence

Contrôle	Preuve	Source
MFA	Logs IdP + policies	SSO/IdP
Segmentation	Matrice flux + ruleset	FW
Logging	Dashboards + retention	SIEM

Piège compliance

Compliance ≠ sécurité réelle, mais sans compliance la sécurité devient non démontrable. Le métier = sécurité + preuve.

Transformer les contrôles en automatisation (audit-as-code) est un gros levier de maturité.

4.1 Parcours & Interviews — progression, certifs, labs, Q/A

Progression naturelle

Junior : VLAN, routage simple, diag, tickets, WiFi.
Confirmé : OSPF/BGP basics, FW policies, VPN, monitoring.
Senior : design HA/seg, cloud net, lead incident, automation.
Architecte : standards, vendors, stratégie Zero Trust, roadmap.

Compétences qui font la différence

Expliquer clairement (schémas + justification).
Automation + change mgmt rigoureux.
Culture sécurité (pas “juste réseau”).
Incidents : calme, méthode, preuves, RCA.

Certifs (selon orientation)

Orientation	Certifs	Objectif
Réseau	CCNA/CCNP (ou équivalents)	Routing/switching solide.
Sécurité	Security+ / vendor FW	Socle sécu.
Cloud	Cloud networking certs	VPC/VNet patterns.
Ops	SRE/monitoring (selon)	Exploit & fiabilité.

Conseil

Les certifs aident, mais la crédibilité vient des labs + incidents + design.

Labs recommandés

GNS3 / EVE-NG : topologies, OSPF/BGP, HA.
containerlab : labs rapides + tests.
pfSense/OPNsense : FW/VPN/policies.
Cloud sandbox : VPC/TGW/Flow logs.

Mini défis (portfolio)

DMZ + WAF + LB + app + DB + logs centralisés.
Simuler un DDoS L7 & appliquer rate-limit/caching.
Générer règles FW depuis une matrice de flux.
CI/CD réseau : lint + tests + deploy + post-checks.

Questions fréquentes

Explique un incident MTU/MSS et comment tu le prouves.
Comment éviter l’asymétrie avec un FW stateful ?
Diff SG vs NACL (cloud) ?
Comment tu conçois une segmentation pragmatique ?
Comment tu sécurises l’admin (bastion/PAM/MFA/logs) ?

Réponse attendue (style senior)

- mesurer impact & scope - vérifier changements récents - reproduire & isoler (bypass/alt route) - capturer preuves (pcap + logs) - corriger + RCA + prévention