Segmentation réseau : isoler vos assets critiques pour limiter l’impact d’une compromission
Si une machine est compromise, toutes les autres sont-elles vulnérables ? Avec une bonne segmentation, non.
Table des matières
Qu’est-ce que la segmentation réseau
La segmentation signifie diviser votre réseau en zones séparées qui ne communiquent pas directement. Plutôt qu’une seule grande réseau où tout communique avec tout, vous avez des segments : zone serveurs, zone développement, zone données sensibles, zone utilisateurs normaux.
Un attaquant qui accède à la zone utilisateurs ne peut pas automatiquement accéder à la zone données sensibles.
Le modèle de confiance zéro
Le modèle de confiance zéro (Zero Trust) part du principe que rien n’est de confiance par défaut. Même si vous êtes connecté à votre réseau, vous devez vérifier votre identité pour chaque ressource.
C’est l’évolution naturelle de la segmentation réseau.
Les types de segmentation
Segmentation par fonction : serveurs web d’un côté, bases de données de l’autre, données client isolées.
Segmentation par risque : données sensibles dans un segment plus sécurisé.
Segmentation par département : IT d’un côté, marketing d’un autre.
Segmentation par taille : les devices personnels avec moins de sécurité dans un segment séparé des systèmes critiques.
Micro-segmentation
Au-delà de la segmentation large, la micro-segmentation c’est des rules très granulaires : un server peut parler à cet autre serveur sur ce port seulement. Pas plus.
C’est plus complexe à gérer mais offre beaucoup plus de protection.
Les outils de segmentation
Les firewalls moderne supportent la segmentation avancée : les pare-feu de nouvelle génération (next-gen firewalls), les NSG d’Azure, les security groups d’AWS.
La complexité de la segmentation
La segmentation peut compliquer la gestion : si les serveurs ne peuvent pas communiquer, le déploiement d’une mise à jour devient plus complexe.
La solution : une orchestration centralisée qui gère les regles.
Le monitoring des communications
Une fois segmenté, monitez le trafic : qui parle à qui ? Est-ce autorised ? Les communications non-autorisés révèlent rapidement une tentative de mouvement latéral par un attaquant.
La segmentation physique vs logique
Physique : des réseaux littéralement séparés.
Logique : les mêmes fils physiques mais des VLANs séparent les trafic.
Logique est plus flexible, physique est plus sûr (mais coûteux).
Le défi du télétravail
Avec le télétravail, la segmentation devient plus difficile. Les employés se connectent depuis n’importe où.
Une solution : un VPN qui chiffre le trafic et le route via des serveurs sécurisés.
L’audit de segmentation
Vérifiez régulièrement que votre segmentation fonctionne : pouvez-vous les serveurs web accéder aux données client ? Non. Bon. Pouvez-vous un développeur malhonnête accéder à la zone de production ? Idéalement non.
Conclusion
La segmentation réseau est une protection essentielle et souvent négligée. Contactez-nous pour concevoir votre architecture de segmentation.
