Isoler les zones sensibles, filtrer le trafic et détecter les intrusions pour protéger le système d'information
L'enjeu
Le réseau informatique interconnecte tous les systèmes de l'organisation : serveurs, postes de travail, imprimantes, équipements IoT, connexions Internet. Un réseau mal sécurisé permet à un attaquant qui compromet un seul poste de se propager librement dans toute l'infrastructure, d'accéder aux serveurs critiques, et d'exfiltrer des données. Une imprimante connectée compromise peut devenir un point d'entrée vers le réseau interne. La sécurité des réseaux transforme une infrastructure ouverte en zones isolées et contrôlées, limitant la propagation des attaques.
Qu'est-ce que la sécurité des réseaux ?
La sécurité des réseaux regroupe l'ensemble des mesures techniques qui protègent les infrastructures réseau contre les accès non autorisés, les intrusions, les écoutes et les dénis de service. L'ISO 27002 mesure 8.20 recommande cinq contrôles principaux :
- Segmentation réseau : diviser le réseau en zones distinctes selon la sensibilité des systèmes et les besoins d'accès
- Filtrage du trafic : contrôler les communications entre zones par pare-feu et règles de filtrage
- Protection périmétrique : sécuriser les points d'entrée/sortie du réseau (connexion Internet, VPN, interconnexions
- Détection des intrusions : surveiller le trafic réseau pour identifier les comportements suspects ou malveillants
- Isolation des équipements non fiables : séparer les équipements IoT, invités, et non maîtrisés du réseau interne
Ces exigences visent à garantir qu'une compromission locale ne peut pas se propager à l'ensemble du système d'information.
La segmentation réseau
Pourquoi segmenter
Un réseau plat où tous les équipements peuvent communiquer librement permet à un malware de se propager instantanément de poste en poste, à un attaquant qui compromet un poste utilisateur d'accéder directement aux serveurs de production, et à une imprimante vulnérable de servir de point d'entrée vers les données sensibles.
Les zones réseau essentielles
Zone publique (DMZ) : serveurs web, serveurs email, services accessibles depuis Internet. Cette zone est directement exposée aux attaques et doit être isolée du réseau interne.
Zone interne (LAN) : postes de travail, imprimantes, ressources partagées. Les utilisateurs accèdent aux services internes depuis cette zone.
Zone serveurs : serveurs de bases de données, serveurs applicatifs, serveurs de fichiers critiques. Cette zone héberge les données sensibles et doit être protégée.
Zone administration : serveurs d'infrastructure (Active Directory, DNS, DHCP), équipements réseau (switches, routeurs). La compromission de cette zone permet de contrôler toute l'infrastructure.
Zone invités : WiFi invités, équipements visiteurs. Cette zone doit être totalement isolée du réseau interne, avec accès uniquement vers Internet.
Zone IoT : imprimantes, caméras, capteurs, équipements connectés. Ces équipements sont souvent peu sécurisés et doivent être isolés.
Règles de communication entre zones
Définir précisément quelles zones peuvent communiquer entre elles et dans quel sens.
Principe par défaut : tout est interdit sauf ce qui est explicitement autorisé. Les postes utilisateurs peuvent accéder aux serveurs applicatifs (flux entrant autorisé), mais les serveurs ne peuvent pas initier de connexion vers les postes (flux sortant interdit). La zone invités ne peut accéder qu'à Internet, jamais au réseau interne.
Protection périmétrique
Sécurisation de la connexion Internet
La connexion Internet est le point d'entrée principal des attaques. Mesures de protection : pare-feu de nouvelle génération (NGFW) analysant le contenu applicatif, filtrage DNS pour bloquer les domaines malveillants, proxy web pour inspecter le trafic HTTPS, protection anti-DDoS si l'organisation héberge des services publics.
VPN pour les accès distants
Tout accès distant au réseau interne doit passer par un VPN avec authentification renforcée (MFA). Le VPN crée un tunnel chiffré qui protège les communications et permet de contrôler finement les accès selon l'identité de l'utilisateur.
Interconnexions sécurisées
Les connexions avec des partenaires, filiales ou prestataires doivent être isolées du reste du réseau. Créer une zone dédiée (extranet) avec accès limité uniquement aux ressources partagées. Ne jamais donner un accès direct au réseau interne à un tiers.
Détection des intrusions et surveillance
IDS (Intrusion Detection System)
Un système de détection des intrusions analyse le trafic réseau et génère des alertes lorsqu'il identifie des comportements suspects : scans de ports, tentatives d'exploitation de vulnérabilités, communications vers des serveurs de commande et contrôle (C&C), exfiltration de données.
Analyse des flux réseau
Collecter et analyser les logs réseau (NetFlow, sFlow) pour identifier les communications anormales : volumes de données inhabituels, connexions vers des pays non autorisés, communications entre zones normalement isolées.
Détection des équipements non autorisés
Surveiller les équipements qui se connectent au réseau et détecter ceux qui ne sont pas autorisés. Un équipement inconnu qui apparaît sur le réseau peut être un attaquant qui s'est introduit physiquement dans les locaux ou un employé qui a branché un équipement personnel non sécurisé.
Tableau décisionnel
| Zone réseau | Niveau de sensibilité | Protection requise | Communication autorisée |
|---|---|---|---|
| Zone publique (DMZ) | Très élevé | Pare-feu NGFW, WAF, IPS, surveillance renforcée | Internet → DMZ, DMZ → Internet (ports spécifiques uniquement) |
| Zone serveurs | Critique | Pare-feu, IPS, segmentation micro, surveillance | LAN → Serveurs (ports applicatifs), Admin → Serveurs (gestion) |
| Zone interne (LAN) | Moyen | Pare-feu, filtrage DNS, protection endpoints | LAN → Serveurs, LAN → Internet (via proxy), LAN ↔ LAN |
| Zone administration | Critique | Pare-feu, accès MFA obligatoire, journalisation complète | Admin → toutes zones (gestion uniquement), isolation stricte |
| Zone invités | Faible | Isolation totale, portail captif, bande passante limitée | Invités → Internet uniquement, AUCUN accès au LAN |
| Zone IoT | Moyen | Isolation stricte, VLAN dédié, accès contrôlé | IoT → Internet si nécessaire, LAN → IoT (gestion), IoT ↔ IoT |
Isolation des équipements à risque
WiFi invités totalement isolé
Le réseau WiFi invités doit être sur un VLAN complètement séparé, sans aucune possibilité de communication avec le réseau interne. Les invités accèdent uniquement à Internet. Utiliser un portail captif pour l'authentification et tracer les connexions.
Équipements IoT et imprimantes
Les imprimantes réseau, caméras de surveillance, capteurs, thermostats connectés sont souvent peu sécurisés et rarement mis à jour. Les isoler sur un réseau dédié et limiter strictement leurs communications : l'imprimante peut recevoir des impressions depuis le LAN mais ne peut pas initier de connexions vers les postes.
Équipements personnels (BYOD)
Les équipements personnels doivent soit passer par le WiFi invités (accès Internet uniquement), soit être strictement contrôlés par MDM et isolés sur un VLAN dédié avec accès limité aux seules ressources autorisées.
Points d'attention
- Réseau plat sans segmentation : tous les équipements sur le même réseau permettent une propagation instantanée des attaques. Segmenter obligatoirement par zones de sensibilité.
- Règles de pare-feu trop permissives : autoriser "tout le monde vers tout" ou utiliser des règles "any any" rend le pare-feu inutile. Appliquer le principe du moindre privilège réseau.
- Règles de pare-feu trop permissives : autoriser "tout le monde vers tout" ou utiliser des règles "any any" rend le pare-feu inutile. Appliquer le principe du moindre privilège réseau.
- WiFi invités connecté au réseau interne : permettre aux invités d'accéder au réseau interne est une brèche de sécurité majeure. Isolation totale obligatoire.
- Pas de surveillance du trafic réseau : ne pas analyser les flux réseau empêche de détecter les intrusions et les comportements anormaux. Déployer IDS/IPS et analyser les logs.
En résumé
La sécurité des réseaux protège l'infrastructure en segmentant le réseau en zones distinctes (DMZ, LAN, serveurs, administration, invités, IoT), en filtrant le trafic entre zones par pare-feu, et en surveillant les communications pour détecter les intrusions.
La segmentation transforme un réseau plat vulnérable en zones isolées : une compromission locale ne peut pas se propager à l'ensemble du système. Le filtrage applique le principe du moindre privilège aux communications réseau : seuls les flux strictement nécessaires sont autorisés. La détection des intrusions (IDS/IPS) et l'analyse des flux complètent la protection en identifiant les attaques en cours.
