Sécurité des réseaux : segmenter et protéger les infrastructures

Isoler les zones sensibles, filtrer le trafic et détecter les intrusions pour protéger le système d'information

L'enjeu

Le réseau informatique interconnecte tous les systèmes de l'organisation : serveurs, postes de travail, imprimantes, équipements IoT, connexions Internet. Un réseau mal sécurisé permet à un attaquant qui compromet un seul poste de se propager librement dans toute l'infrastructure, d'accéder aux serveurs critiques, et d'exfiltrer des données. Une imprimante connectée compromise peut devenir un point d'entrée vers le réseau interne. La sécurité des réseaux transforme une infrastructure ouverte en zones isolées et contrôlées, limitant la propagation des attaques.

Qu'est-ce que la sécurité des réseaux ?

La sécurité des réseaux regroupe l'ensemble des mesures techniques qui protègent les infrastructures réseau contre les accès non autorisés, les intrusions, les écoutes et les dénis de service. L'ISO 27002 mesure 8.20 recommande cinq contrôles principaux :

Segmentation réseau : diviser le réseau en zones distinctes selon la sensibilité des systèmes et les besoins d'accès
Filtrage du trafic : contrôler les communications entre zones par pare-feu et règles de filtrage
Protection périmétrique : sécuriser les points d'entrée/sortie du réseau (connexion Internet, VPN, interconnexions
Détection des intrusions : surveiller le trafic réseau pour identifier les comportements suspects ou malveillants
Isolation des équipements non fiables : séparer les équipements IoT, invités, et non maîtrisés du réseau interne

Ces exigences visent à garantir qu'une compromission locale ne peut pas se propager à l'ensemble du système d'information.

La segmentation réseau

Pourquoi segmenter

Un réseau plat où tous les équipements peuvent communiquer librement permet à un malware de se propager instantanément de poste en poste, à un attaquant qui compromet un poste utilisateur d'accéder directement aux serveurs de production, et à une imprimante vulnérable de servir de point d'entrée vers les données sensibles.

Les zones réseau essentielles

Zone publique (DMZ) : serveurs web, serveurs email, services accessibles depuis Internet. Cette zone est directement exposée aux attaques et doit être isolée du réseau interne.

Zone interne (LAN) : postes de travail, imprimantes, ressources partagées. Les utilisateurs accèdent aux services internes depuis cette zone.

Zone serveurs : serveurs de bases de données, serveurs applicatifs, serveurs de fichiers critiques. Cette zone héberge les données sensibles et doit être protégée.

Zone administration : serveurs d'infrastructure (Active Directory, DNS, DHCP), équipements réseau (switches, routeurs). La compromission de cette zone permet de contrôler toute l'infrastructure.

Zone invités : WiFi invités, équipements visiteurs. Cette zone doit être totalement isolée du réseau interne, avec accès uniquement vers Internet.

Zone IoT : imprimantes, caméras, capteurs, équipements connectés. Ces équipements sont souvent peu sécurisés et doivent être isolés.

Règles de communication entre zones

Définir précisément quelles zones peuvent communiquer entre elles et dans quel sens.

Principe par défaut : tout est interdit sauf ce qui est explicitement autorisé. Les postes utilisateurs peuvent accéder aux serveurs applicatifs (flux entrant autorisé), mais les serveurs ne peuvent pas initier de connexion vers les postes (flux sortant interdit). La zone invités ne peut accéder qu'à Internet, jamais au réseau interne.

Protection périmétrique

Sécurisation de la connexion Internet

La connexion Internet est le point d'entrée principal des attaques. Mesures de protection : pare-feu de nouvelle génération (NGFW) analysant le contenu applicatif, filtrage DNS pour bloquer les domaines malveillants, proxy web pour inspecter le trafic HTTPS, protection anti-DDoS si l'organisation héberge des services publics.

VPN pour les accès distants

Tout accès distant au réseau interne doit passer par un VPN avec authentification renforcée (MFA). Le VPN crée un tunnel chiffré qui protège les communications et permet de contrôler finement les accès selon l'identité de l'utilisateur.

Interconnexions sécurisées

Les connexions avec des partenaires, filiales ou prestataires doivent être isolées du reste du réseau. Créer une zone dédiée (extranet) avec accès limité uniquement aux ressources partagées. Ne jamais donner un accès direct au réseau interne à un tiers.

Détection des intrusions et surveillance

IDS (Intrusion Detection System)

Un système de détection des intrusions analyse le trafic réseau et génère des alertes lorsqu'il identifie des comportements suspects : scans de ports, tentatives d'exploitation de vulnérabilités, communications vers des serveurs de commande et contrôle (C&C), exfiltration de données.

Analyse des flux réseau

Collecter et analyser les logs réseau (NetFlow, sFlow) pour identifier les communications anormales : volumes de données inhabituels, connexions vers des pays non autorisés, communications entre zones normalement isolées.

Détection des équipements non autorisés

Surveiller les équipements qui se connectent au réseau et détecter ceux qui ne sont pas autorisés. Un équipement inconnu qui apparaît sur le réseau peut être un attaquant qui s'est introduit physiquement dans les locaux ou un employé qui a branché un équipement personnel non sécurisé.

Tableau décisionnel

Zone réseau	Niveau de sensibilité	Protection requise	Communication autorisée
Zone publique (DMZ)	Très élevé	Pare-feu NGFW, WAF, IPS, surveillance renforcée	Internet → DMZ, DMZ → Internet (ports spécifiques uniquement)
Zone serveurs	Critique	Pare-feu, IPS, segmentation micro, surveillance	LAN → Serveurs (ports applicatifs), Admin → Serveurs (gestion)
Zone interne (LAN)	Moyen	Pare-feu, filtrage DNS, protection endpoints	LAN → Serveurs, LAN → Internet (via proxy), LAN ↔ LAN
Zone administration	Critique	Pare-feu, accès MFA obligatoire, journalisation complète	Admin → toutes zones (gestion uniquement), isolation stricte
Zone invités	Faible	Isolation totale, portail captif, bande passante limitée	Invités → Internet uniquement, AUCUN accès au LAN
Zone IoT	Moyen	Isolation stricte, VLAN dédié, accès contrôlé	IoT → Internet si nécessaire, LAN → IoT (gestion), IoT ↔ IoT

Isolation des équipements à risque

WiFi invités totalement isolé

Le réseau WiFi invités doit être sur un VLAN complètement séparé, sans aucune possibilité de communication avec le réseau interne. Les invités accèdent uniquement à Internet. Utiliser un portail captif pour l'authentification et tracer les connexions.

Équipements IoT et imprimantes

Les imprimantes réseau, caméras de surveillance, capteurs, thermostats connectés sont souvent peu sécurisés et rarement mis à jour. Les isoler sur un réseau dédié et limiter strictement leurs communications : l'imprimante peut recevoir des impressions depuis le LAN mais ne peut pas initier de connexions vers les postes.

Équipements personnels (BYOD)

Les équipements personnels doivent soit passer par le WiFi invités (accès Internet uniquement), soit être strictement contrôlés par MDM et isolés sur un VLAN dédié avec accès limité aux seules ressources autorisées.

Points d'attention

Réseau plat sans segmentation : tous les équipements sur le même réseau permettent une propagation instantanée des attaques. Segmenter obligatoirement par zones de sensibilité.
Règles de pare-feu trop permissives : autoriser "tout le monde vers tout" ou utiliser des règles "any any" rend le pare-feu inutile. Appliquer le principe du moindre privilège réseau.
Règles de pare-feu trop permissives : autoriser "tout le monde vers tout" ou utiliser des règles "any any" rend le pare-feu inutile. Appliquer le principe du moindre privilège réseau.
WiFi invités connecté au réseau interne : permettre aux invités d'accéder au réseau interne est une brèche de sécurité majeure. Isolation totale obligatoire.
Pas de surveillance du trafic réseau : ne pas analyser les flux réseau empêche de détecter les intrusions et les comportements anormaux. Déployer IDS/IPS et analyser les logs.

En résumé

La sécurité des réseaux protège l'infrastructure en segmentant le réseau en zones distinctes (DMZ, LAN, serveurs, administration, invités, IoT), en filtrant le trafic entre zones par pare-feu, et en surveillant les communications pour détecter les intrusions.

La segmentation transforme un réseau plat vulnérable en zones isolées : une compromission locale ne peut pas se propager à l'ensemble du système. Le filtrage applique le principe du moindre privilège aux communications réseau : seuls les flux strictement nécessaires sont autorisés. La détection des intrusions (IDS/IPS) et l'analyse des flux complètent la protection en identifiant les attaques en cours.