ediverse Explorer la plateforme

À la une PEPPOL BIS Billing 3.0 L’obligation européenne d’e-invoicing arrive : France sept 2026, Belgique janv 2026, Allemagne 2025.

Defense in Depth

Plusieurs barrières indépendantes : si une cède, les suivantes tiennent. Le contraire de la stratégie « un mur très épais qu'on prie de ne pas voir tomber ».

Problème

Reposer la sécurité sur une seule défense (firewall périmétrique, antivirus, IPS) crée un point unique d'échec : sa compromission expose l'ensemble du système. Or aucune défense n'est infaillible (CVE 0-day, mauvaise configuration, ingénierie sociale). Comment limiter l'impact d'une faille découverte ?

Forces

  • Toute défense isolée finit par tomber (CVE 0-day, social engineering, supply chain).
  • L'attaquant n'a besoin que d'une faille ; le défenseur doit fermer toutes les portes.
  • Empiler trop de défenses redondantes alourdit l'opérationnel et masque les vrais incidents.
  • Une faille en couche N doit déclencher la détection en couche N+1 (alerte précoce).
  • Les contraintes réglementaires (PCI-DSS, HDS, ISO 27001) imposent souvent plusieurs couches.

Solution

Empiler plusieurs couches de contrôle indépendantes — chacune protégeant contre la défaillance des autres. Le principe vient de la doctrine militaire (lignes de défense successives) et s'applique en sécurité informatique : réseau (firewall, IDS), application (WAF, validation entrée), identité (MFA, RBAC), donnée (chiffrement, classification), monitoring (SIEM, anomaly detection), réponse (IR plan, backups). Chaque couche doit utiliser une mécanique différente (pas 3 firewalls de la même marque qui partagent les mêmes CVE).

Couches typiques

Internet
   │
   ▼
┌──────────────────────────────────────────┐
│ Couche 1: Edge — DDoS, WAF, CDN          │
├──────────────────────────────────────────┤
│ Couche 2: Network — Firewall, segmentation │
├──────────────────────────────────────────┤
│ Couche 3: Endpoint — EDR, OS hardening   │
├──────────────────────────────────────────┤
│ Couche 4: Identity — SSO, MFA, RBAC      │
├──────────────────────────────────────────┤
│ Couche 5: App — Input validation, WAF L7 │
├──────────────────────────────────────────┤
│ Couche 6: Data — Encryption, masking     │
├──────────────────────────────────────────┤
│ Couche 7: Monitoring — SIEM, audit logs  │
└──────────────────────────────────────────┘

Implémentation EDI

Un hub EDI accepte des INVOIC AS2 entrants. Couches successives : (1) WAF / DDoS sur l'edge (Cloudflare, Akamai) ; (2) endpoint AS2 avec mTLS et IP allow-list ; (3) vérification de signature S/MIME applicative — le certificat partenaire est vérifié contre une CA dédiée et un CRL/OCSP ; (4) parsing strict EDIFACT qui rejette toute structure invalide ; (5) validation métier (montants cohérents, partenaire connu) ; (6) archivage chiffré (AES-256, KMS) ; (7) audit log immuable et alerte sur anomalie. Une faille à la couche 3 (cert compromis) est rattrapée à la couche 5 (volumes ou patterns anormaux).

Anti-patterns

  • Couches redondantes mais homogènes — 3 firewalls Cisco partagent les mêmes CVE.
  • Couche unique « ultime » sans plan B — pari risqué.
  • Multiplication des contrôles sans monitoring — l'attaquant teste tranquillement.
  • Couches périmétriques sans contrôles internes — la philosophie Zero Trust est ignorée.
  • Faux sens du sécurisé après empilement — l'overhead masque que les couches sont mal configurées.

Patterns liés

Sources

  • NIST SP 800-53 Rev. 5 — Security and Privacy Controls for Information Systems. NIST SP 800-53r5 PDF
  • NSA — Defense in Depth: A practical strategy, Information Assurance Solutions Group.
  • OWASP Cheat Sheet — Defense in Depth. cheatsheetseries.owasp.org