Administration Réseau, Nicolas Lages

→ Infrastructure sécurisée → Firewall cœur de réseau Paritel

Définition

L'administration réseau consiste à concevoir, mettre en place et maintenir des infrastructures réseau adaptées aux besoins d'une organisation. Elle implique la gestion des topologies, des flux, des protocoles et des équipements, afin de garantir la disponibilité, la performance et la sécurité des communications. Cette discipline mobilise une compréhension fine des protocoles (routage, commutation, filtrage) et une maîtrise des interactions entre équipements : routeurs, commutateurs, pare-feu, contrôleurs Wi-Fi, et terminaux utilisateurs.

Mon contexte professionnel est particulièrement riche sur ce plan : je suis aujourd'hui rattaché à l'équipe Sécurité & Réseaux d'un opérateur télécom national, avec un cœur de réseau interconnectant plusieurs datacenters, des portes de collecte fibre Orange et Covage, et un parc d'équipements multi-constructeurs (Juniper, Fortinet, Palo Alto, Cisco MX). En parallèle, mon expérience précédente chez Valesys m'a permis d'aborder la conception réseau à plus petite échelle, en partant d'une feuille blanche.

L'actualité récente rappelle régulièrement l'importance de cette discipline : entre les pannes BGP Cloudflare et Meta, les incidents de routage chez plusieurs opérateurs en 2024-2025, et la pression croissante sur la cybersécurité des infrastructures critiques, la qualité de l'administration réseau est devenue un sujet de souveraineté autant qu'un sujet technique. Mon orientation personnelle place le réseau comme socle de la sécurité plutôt que comme spécialité principale, mais c'est un socle que je tiens à maintenir solide.

Constructeurs et équipements pratiqués

Juniper (MX, SRX)

Cisco MX, switching

Fortinet FortiGate

Palo Alto

pfSense / OPNsense

La compétence en pratique

Anecdote 1, décembre 2025 → mars 2026, Paritel, firewall cœur de réseau

Définir les profils de filtrage d'une nouvelle offre firewall cœur de réseau

Paritel a porté tout au long de l'année 2025 un projet structurant : intégrer un pare-feu cœur de réseau directement dans la chaîne CGN / LNS afin de proposer aux clients de l'opérateur une protection mutualisée, sans déploiement d'équipement chez eux. La VM hôte du firewall a été installée par une équipe dédiée, et j'ai pris en charge la partie qui m'intéressait le plus : la conception des profils de règles commercialisables.

Concrètement, entre décembre 2025 et février 2026, j'ai défini et formalisé 5 profils de filtrage répondant chacun à une typologie client distincte (politiques différentes selon les usages : services publics exposés, postes utilisateurs uniquement, environnement hybride, etc.). Pour chaque profil, il a fallu trancher sur les flux autorisés par défaut, les blocages explicites, la posture vis-à-vis des protocoles courants (DNS, HTTP/HTTPS, SMTP, RDP) et le niveau de logging conservé pour la corrélation côté SIEM. Les premiers clients en phase de test ont été déployés en mars 2026.

Résultat & valeur ajoutée : les 5 profils que j'ai définis sont aujourd'hui commercialisés par Paritel auprès de sa base clients. Ma contribution n'a duré que 2 mois sur un projet annuel, mais elle portait précisément sur la partie de définition fonctionnelle qui détermine la valeur du service vendu. Cette expérience m'a fait passer d'une logique de "règle par règle" à une logique de "politique de sécurité par typologie de client", qui est exactement la maturité attendue à l'échelle opérateur.

→ Voir la réalisation complète : Firewall cœur de réseau Paritel

Anecdote 2, Paritel, refonte de la matrice de flux interne

Reprendre une matrice de flux historique encombrée de règles "any/any"

L'infrastructure interne Paritel compte plus de 50 VLAN historiques regroupés en une quinzaine de zones de sécurité (VOIP, Management, Serveurs, Utilisateurs, VPN, etc.) répartis sur les pare-feux Fortinet, Palo Alto et Juniper, avec des règles plus générales côté Cisco MX. À mon arrivée, certaines règles historiques entre zones Serveurs et Utilisateurs (et VOIP) étaient configurées en any/any, ce qui est l'antithèse d'une bonne hygiène réseau : aucun moindre privilège, aucune visibilité fine sur les flux légitimes, journalisation diluée.

J'ai pris en charge la réécriture complète de ces règles historiques, en réécrivant l'ensemble des règles pour mes projets et en intégrant un processus de ticketing auprès de l'équipe DSI Dev pour toute nouvelle demande d'ouverture de flux. La méthode : identifier les flux réellement utilisés en analysant les logs, valider chaque flux avec son propriétaire fonctionnel, écrire les règles fines, puis remplacer progressivement les "any/any" sans interruption de service. J'ai créé 2 nouveaux VLAN dans le cadre de ces projets, là où la majorité du travail consistait à rationaliser l'existant plutôt qu'à étendre.

Résultat & valeur ajoutée : la posture de sécurité interne a été significativement renforcée par la suppression des règles "any/any" entre zones critiques. Le processus de ticketing mis en place avec la DSI Dev rend désormais traçable toute évolution de la matrice de flux, ce qui facilite les audits et limite la dette technique réseau. Ma valeur ajoutée a été de transformer un travail ingrat (réécrire des règles existantes) en processus pérenne documenté.

Anecdote 3, Paritel, deux incidents formateurs

Diagnostiquer un Wi-Fi saturé et une perte de porte de collecte opérateur

Deux incidents distincts chez Paritel ont durablement marqué ma compréhension du réseau au-delà des couches théoriques.

Le premier concernait le Wi-Fi interne : les utilisateurs remontaient une latence croissante et des déconnexions intermittentes. Le diagnostic interne ne suffisant pas à isoler la cause, nous avons fait intervenir une société spécialisée en analyse spectrale Wi-Fi. Le verdict a été contre-intuitif : nous avions trop de bornes dans les locaux, créant des conflits de canaux et de la pollution radio. La densification, prévue pour améliorer la couverture, avait en réalité dégradé la performance. Cet incident illustre parfaitement le principe que "plus" ne signifie pas "mieux" en réseau radio, et que sans mesure objective on travaille à l'aveugle.

Le second incident concernait une panne de carte réseau sur une porte de collecte Orange. La bascule vers la porte de collecte secondaire Zion a fonctionné, mais cette dernière s'est retrouvée presque saturée sous le trafic redirigé. Pendant 10 heures, le temps qu'Orange intervienne, nous avons surveillé en continu les flux pour anticiper un éventuel basculement de secours. Finalement, aucun impact client n'a été constaté, mais cet incident a confirmé l'importance de dimensionner correctement les liens de secours en partant du principe qu'ils peuvent être amenés à porter 100 % du trafic, pas seulement un appoint.

Résultat & valeur ajoutée : ces deux incidents m'ont apporté ce qu'aucune certification ne donne : la lecture instinctive des signaux faibles d'une dégradation réseau. Au-delà de la résolution elle-même, ils ont ancré chez moi le réflexe de dimensionner les infrastructures pour le pire cas, pas pour le nominal.

Anecdote 4, Valesys, conception réseau depuis zéro

Concevoir une segmentation réseau de petite infrastructure

Chez Valesys, j'arrivais dans un environnement sans segmentation. Avec un autre alternant, nous avons découpé l'infrastructure en 3 VLAN (production, lab/pré-production, management) sur les commutateurs et le pare-feu OPNsense, complétés par des règles firewalld et iptables au niveau des serveurs eux-mêmes pour une défense en profondeur. Le VPN d'administration utilisait WireGuard pour éviter l'exposition directe des interfaces de gestion sur Internet.

Avec le recul, mon découpage initial était perfectible : à l'époque, je ne maîtrisais pas la notion de zones regroupant plusieurs VLAN, que j'ai découverte ensuite chez Paritel. Sur une infrastructure plus mature, j'aurais distingué une zone DMZ pour les services exposés, une zone serveurs internes et une zone clients/postes, chacune pouvant contenir plusieurs VLAN logiques. C'est exactement le type d'apprentissage que seul le passage à une échelle supérieure permet.

Résultat & valeur ajoutée : l'infrastructure Valesys a fonctionné sans incident réseau notable sur toute la durée de mon contrat. Plus important pour ma progression : cette première conception m'a donné un référentiel concret que j'ai pu confronter ensuite à des architectures plus complexes, ce qui a accéléré ma compréhension du modèle zones / VLAN à l'échelle opérateur.

→ Voir la réalisation complète : Infrastructure sécurisée

Certifications obtenues

Mes connaissances théoriques sont validées par plusieurs certifications Cisco obtenues en 2025 dans le cadre de mon cursus à l'ESIEA via la Cisco Networking Academy. Elles couvrent aussi bien les fondamentaux de routage et commutation que les volets sécurité et opérations.

Cisco CCNA 1 Cisco CCNA 2 Network Security CyberOps Associate Ethical Hacker

Mon niveau de maîtrise

Je me positionne aujourd'hui comme un profil junior en administration réseau. Mon orientation est plus marquée vers la sécurité du réseau que vers une spécialisation purement réseau, ce qui se reflète dans mes niveaux : très solide sur le filtrage et les politiques de sécurité, plus modeste sur les protocoles de routage avancés.

Routage / commutation (VLAN, OSPF)

13/20 · Bases CCNA solides

BGP

11/20 · Compréhension, peu d'opérations

Pare-feu multi-constructeurs

17/20 · Production opérateur

Wi-Fi entreprise

15/20 · Diagnostic + déploiement

VPN / IPSec / WireGuard

14/20 · Déploiement autonome

Contextualisation : ma compétence ne fonctionne pas de la même façon partout. Je suis à l'aise sur les pare-feux multi-constructeurs et la conception de politiques de filtrage, sur la segmentation VLAN/zone, et sur la sécurisation des accès distants. Je suis en revanche moins outillé sur l'ingénierie réseau pure : optimisation BGP fine, conception de cœurs de réseau MPLS, traffic engineering avancé. Cette spécialisation est cohérente avec mon projet professionnel, qui place le réseau comme socle de la sécurité plutôt que comme cœur de métier.

Place dans mon profil et vitesse d'acquisition

Le réseau occupe une place de socle indispensable dans mon profil, mais pas de spécialisation principale. Aucune architecture sécurisée ne se conçoit sans une compréhension solide des couches réseau, et c'est exactement le rôle qu'il joue dans ma trajectoire : connaître suffisamment pour concevoir, dialoguer avec les spécialistes réseau, et identifier les zones où une expertise pointue est nécessaire.

Vitesse d'acquisition : les fondamentaux ont été acquis de façon structurée via les cursus Cisco Networking Academy, ce qui a donné une base théorique très complète en 2025 sur les volets routage, commutation, sécurité et CyberOps. La maîtrise opérationnelle, elle, s'est construite par exposition au terrain : la rencontre avec un environnement opérateur (Paritel) en cours d'alternance a accéléré la prise de hauteur sur des notions absentes des cursus académiques, comme la gestion de zones multi-VLAN ou le dimensionnement de portes de collecte.

Mon recul sur la compétence

Le premier conseil que je donnerais à quelqu'un qui s'attaque au réseau, c'est qu'apprendre seul est très difficile et très répétitif. Cette compétence est probablement celle où l'isolement coûte le plus cher en temps. Je conseille donc fortement de s'entourer de personnes qui peuvent apprendre avec vous ou vous aider : un mentor, des collègues plus seniors, une communauté technique en ligne, ou simplement un binôme qui avance en parallèle. Mes propres progressions les plus rapides ont toutes eu lieu au contact direct d'autres personnes, jamais en lisant des cours dans mon coin.

Au-delà de la dimension humaine, je conseille de visualiser physiquement les flux avant de configurer quoi que ce soit. Un schéma à jour, qui montre les VLAN, les zones, les firewalls et les chemins réels du trafic, vaut mille pages de configuration. Beaucoup d'erreurs viennent du fait qu'on configure sans avoir dessiné ce qu'on cherche à obtenir.

Je conseille aussi de ne jamais accepter une règle "any/any" en production, même temporaire, même "le temps de débugger". Une règle "any/any" temporaire est presque toujours une règle "any/any" définitive : c'est la cause racine d'une bonne partie des dettes techniques réseau que j'ai eu à reprendre. Mieux vaut perdre 30 minutes à écrire la règle fine du premier coup.

Enfin, et c'est un constat plus large que le réseau, les certifications théoriques ne remplacent pas l'exposition terrain. Mes CCNA m'ont donné un vocabulaire et une grille de lecture, mais c'est le travail quotidien sur des équipements réels, avec des incidents réels, qui m'a fait comprendre ce que signifie vraiment administrer un réseau. Le diplôme valide le potentiel, pas la maîtrise.

Évolution et formations

Le réseau reste une composante essentielle de tout métier d'ingénieur infrastructure, et je n'ai aucune intention de l'écarter de mon périmètre de compétences. En revanche, je ne souhaite pas en faire ma spécialisation principale. Mon évolution privilégie donc une complémentarité avec mes axes forts (configuration système, sécurité, virtualisation) plutôt qu'une montée en spécialisation pure réseau type CCNP ou JNCIE.

À court terme, je veux continuer à élargir ma base multi-constructeurs. J'ai aujourd'hui une exposition concrète sur Juniper, Fortinet, Palo Alto, Cisco, pfSense et OPNsense, et je souhaite consolider cette polyvalence plutôt que de m'enfermer sur un seul vendeur. Cela m'aide à raisonner en termes de concepts (zones, politiques, NAT, peering) plutôt qu'en commandes propres à un constructeur.

Sur le plan des certifications, mes parcours en cours sur Microsoft Azure et Google Cloud Associate Cloud Engineer incluent une composante réseau (VNet, peering, NSG côté Azure ; VPC, Cloud NAT, Cloud Armor côté GCP) qui complète ma vision on-premise par une compréhension du réseau cloud. Je ne vise plus de certification spécifiquement réseau au-delà de mes CCNA : cette discipline n'étant pas mon axe principal de spécialisation, je préfère investir mon temps de formation sur la sécurité, le système et le cloud.

En revanche, je veux renforcer ma veille réseau pour rester au fait de l'actualité du domaine sans pour autant me spécialiser. Je cherche actuellement de bons journaux ou newsletters hebdomadaires sur le réseau (Packet Pushers Weekly, NANOG mailing-lists, blog Cloudflare, blog Juniper) pour comprendre les évolutions de l'écosystème sans y consacrer plus de temps que nécessaire. Ma veille passive reste structurée autour de mes flux RSS, des échanges sur Keybase avec ma communauté technique, et de Twitter sur les comptes pertinents.

Réalisations rattachées

Cette compétence est principalement mobilisée dans deux réalisations détaillées. Le Firewall cœur de réseau Paritel illustre la conception de profils de filtrage commercialisables à l'échelle opérateur. L'Infrastructure sécurisée Valesys montre la conception réseau d'une petite infrastructure depuis zéro, avec segmentation VLAN, pare-feu OPNsense et VPN d'administration.