Cyber Shelf
Florian Amette
4 juin 20269 min de lecture

Les 7 meilleurs livres de sécurité réseau en 2026

Practical Packet Analysis, Attacking Network Protocols, Silence on the Wire, Nmap Network Scanning, Practice of Network Security Monitoring, Linux Firewalls, Zero Trust Networks : sept livres de sécurité réseau qui valent votre temps en 2026, dans le bon ordre.

#network-security#networking#protocol-analysis#reading-list

La sécurité réseau est la seule discipline où l'offensive et la défense lisent les mêmes paquets. L'attaquant qui ne sait pas parser un protocole ne sait pas le casser ; le défenseur qui ne sait pas lire un pcap ne saura pas attraper l'attaquant qui, lui, sait. Cette liste est donc volontairement mixte — Wireshark et Nmap côtoient le NSM et le zero trust — parce que le fil ne se soucie pas de votre camp. Ces sept livres vous emmènent d'un simple handshake TCP jusqu'aux décisions d'architecture qui déterminent si un réseau plat devient une brèche.

Les choix en un coup d'œil

  1. Practical Packet Analysis — le livre Wireshark ; lire les pcaps couramment avant toute chose. Commencez ici.
  2. Attacking Network Protocols — Forshaw sur capturer, parser et casser les protocoles depuis la couche 2.
  3. Silence on the Wire — Zalewski sur les données annexes que chaque couche fuite ; la reconnaissance passive comme façon de penser.
  4. Nmap Network Scanning — la référence définitive du scan et de la découverte, par l'auteur de Nmap.
  5. The Practice of Network Security Monitoring — le texte de Bejtlich qui a défini la détection sur le réseau.
  6. Linux Firewalls — le livre pratique pour vraiment appliquer une politique avec iptables et la réponse active.
  7. Zero Trust Networks — segmentation et architecture orientée identité, avant que le marketing s'en empare.

Les revues complètes, avec à qui chaque livre est destiné et qui devrait passer son tour, sont en dessous.

Le livre de lecture des paquets

Practical Packet Analysis de Chris Sanders est le livre qui transforme Wireshark d'intimidant en extension de vos mains. Filtres de capture contre filtres d'affichage, comportement TCP au niveau de l'octet — handshakes, retransmissions, resets — et la personnalisation des profils et règles de coloration qui fait de l'outil un flux de travail. Il est orienté dépannage et réponse à incident plutôt que théorie abstraite, ce qui est exactement le bon angle pour un premier livre : on apprend les protocoles en les regardant casser.

Si vous ne pouvez pas ouvrir un pcap et expliquer ce qui se passe, tous les autres livres de cette liste tombent à plat ; c'est donc non négociable. La troisième édition est celle à acheter — la seconde est datée face aux versions récentes de Wireshark. Faites chaque exercice et capturez votre propre trafic ; lire sur les paquets n'est pas lire des paquets. Passez votre chemin uniquement si vous êtes déjà fluide sous Wireshark, auquel cas allez droit à Forshaw.

Le livre qui casse les protocoles

Attacking Network Protocols de James Forshaw est l'endroit où voir le trafic devient le comprendre. Forshaw — vétéran de Project Zero qui sait réellement enseigner — vous fait capturer, parser et rejouer des protocoles depuis la couche 2 jusqu'au RPC niveau application, et le fil conducteur est que vous construisez votre propre outillage d'analyse plutôt que de faire confiance à Wireshark pour tout interpréter. Les chapitres d'audit de protocoles propriétaires, la partie que les cursus de sécurité sautent, sont ceux qui rapportent le plus, surtout pour les stacks embarquées, OT et propriétaires.

C'est le cœur offensif de la liste, mais les défenseurs devraient le lire aussi : on n'écrit pas de détection pour un protocole qu'on ne sait pas décoder soi-même. Il est classé avancé pour une raison — il suppose que vous avez déjà manipulé un pcap, et la valeur s'accumule à mesure que vous descendez. Passez votre chemin si vous ne touchez jamais qu'à HTTP et au web ; lisez-le dès que vous cessez de faire confiance à Burp et Wireshark pour vous raconter toute l'histoire.

Le classique de la reconnaissance passive

Silence on the Wire de Michal Zalewski est le livre le plus étrange et le plus original d'ici. Ce n'est pas un manuel ; c'est une série d'essais conceptuels sur l'information que chaque couche de protocole fuite et qui n'était pas dans le payload — fingerprinting de la pile TCP/IP, timing de cache DNS, idle scanning, canaux auxiliaires aveugles, écho du terminal. La prémisse est qu'un adversaire peut tout lire, passivement, et le livre défend cette thèse mieux que quiconque avant ou depuis.

Il a vingt ans et reste pourtant en avance sur le modèle mental de la plupart des gens, ce qui est tout l'enjeu : les empreintes d'OS précises sont datées, mais la façon de penser est intemporelle, et les classes d'attaques qu'il décrit ne cessent d'être redécouvertes tous les quelques années. Lisez-le pour la manière dont il recâble votre sens de ce qu'un réseau révèle. Passez votre chemin si vous voulez des recettes ou des commandes — il n'y en a aucune ici, seulement des idées aux tranchants pratiques.

La référence du scan et de la découverte

Nmap Network Scanning de Gordon « Fyodor » Lyon est le guide définitif de l'outil, écrit par celui qui a écrit l'outil. Les explications du pourquoi chaque type de scan se comporte comme il le fait — SYN, connect, ACK, idle — ont parfaitement vieilli, parce qu'elles portent sur ce que le réseau vous dit, pas seulement sur la vitesse. Les chapitres sur le timing et la performance sont là où le scan en conditions réelles réussit ou vous fait bloquer, et le livre traite le réglage comme un sujet de premier ordre plutôt qu'une note de bas de page.

C'est de la reconnaissance depuis les deux chaises : l'attaquant cartographie la cible, le défenseur cartographie sa propre surface d'attaque avant qu'un autre le fasse. Ce qui a vieilli, c'est le monde alentour — il précède l'explosion des scripts NSE et ne dit rien des cibles cloud ou conteneurisées — alors lisez-le comme la référence canonique du moteur, pas comme un tour d'horizon de recon actuel. Passez votre chemin si vous voulez une boîte à outils de découverte cloud-era large ; ceci est profond sur un seul outil, par choix.

Le livre de détection

The Practice of Network Security Monitoring de Richard Bejtlich est le livre qui a défini la détection réseau comme discipline. Où placer les capteurs de collecte, comment valider que vous voyez réellement ce que vous croyez voir, et les quatre types de données — contenu complet, session, transactionnel, statistique — qui restent le bon cadre pour raisonner sur la couverture. Son argument central, que la détection sans prévention est un choix stratégique délibéré et non un repli, avait des années d'avance sur le domaine et en demeure l'énoncé le plus clair.

Il précède l'EDR-par-défaut et la télémétrie cloud-native, donc l'outillage précis a une génération de retard — mais les principes se transfèrent proprement, et les chapitres sur les flux de travail, les runbooks et la progression des analystes sont toujours les meilleurs en imprimé. C'est le pivot défensif de la liste : une fois que vous savez lire les paquets et les protocoles, celui-ci vous apprend à bâtir un programme autour de leur observation. Passez votre chemin si vous voulez des configs SIEM actuelles ; lisez-le si vous voulez le vocabulaire que le domaine de la détection parle encore.

Le livre de l'application

Linux Firewalls de Michael Rash — auteur de psad et fwsnort — est le seul livre d'ici qui porte sur l'application effective d'une politique sur le fil plutôt que sur sa simple observation. Chaînes match-and-target d'iptables, détection de scans de ports avec psad, blocage par signature avec fwsnort, et un chapitre rafraîchissant de prudence sur les compromis de la réponse active. La couverture iptables de Rash reste l'introduction pratique la plus claire en imprimé, et le modèle mental se transfère directement même en environnement nftables ou eBPF, parce qu'il faut toujours savoir lire les jeux de règles que le domaine expédie.

Il est pré-nftables dans ses détails, alors traitez la syntaxe exacte comme datée et tirez les règles actuelles de la documentation netfilter. Mais la segmentation et le filtrage sont l'endroit où la sécurité réseau cesse d'être de l'analyse pour devenir du contrôle, et c'est le livre pratique pour cela. Passez votre chemin si vous vivez entièrement dans les security groups cloud-native ou voulez un traité d'architecture ; lisez-le s'il vous faut configurer un pare-feu, pas seulement le décrire.

Le livre d'architecture

Zero Trust Networks d'Evan Gilman et Doug Barth est le bon endroit pour finir, parce qu'il porte sur la décision sous-jacente à toutes les autres : le réseau est-il seulement une frontière de confiance. Écrit en 2017, avant que « zero trust » ne devienne un argument de vente, il parcourt le vrai substrat d'ingénierie — identité de service et d'appareil, attestation, politique dynamique, points de décision de politique — plutôt que le pitch des éditeurs. Sa thèse centrale, que le zero trust est une propriété d'une architecture et non un produit qu'on achète, est la première chose que quiconque pilote une initiative ZT doit intérioriser.

Le cadrage de 2017 est précisément ce qui le rend durable : il précède presque tout le marché produitisé, donc il enseigne des principes qui ont survécu aux produits. Les chapitres sur le déploiement incrémental sont les plus utiles en pratique, parce que la migration, et non la technologie, est le vrai projet. Passez votre chemin si vous voulez une comparaison d'éditeurs actuelle ; lisez-le en premier, et la littérature des éditeurs en dernier. Associez-le à NIST SP 800-207 et aux papiers BeyondCorp de Google pour les sources primaires.

Le bon ordre

  1. Practical Packet Analysis en premier — on ne fait pas de sécurité réseau sans lire les paquets couramment.
  2. Attacking Network Protocols ensuite, pour passer de voir le trafic à le décoder et le casser.
  3. Silence on the Wire en parallèle, pour recâbler votre façon de penser ce que le fil fuite.
  4. Nmap Network Scanning une fois que vous cartographiez des réseaux — les vôtres ou ceux des autres.
  5. The Practice of Network Security Monitoring pour le pivot des paquets vers un programme de détection.
  6. Linux Firewalls quand l'observation doit devenir application.
  7. Zero Trust Networks en dernier — les décisions d'architecture qui rendent tout le reste plus facile ou plus dur.

La seule meilleure chose à faire en parallèle de ces livres est de capturer et casser votre propre trafic. Montez un réseau de lab, lancez Nmap dessus, regardez les scans dans Wireshark, écrivez une règle Suricata, segmentez un VLAN et essayez de le franchir. Les livres vous apprennent à lire le fil ; le lab vous apprend ce que ça fait quand quelque chose dessus cloche.