La segmentation réseau consiste à diviser l'infrastructure en zones logiques isolées, chacune avec des règles de communication strictes. L'ISO 27002 mesure 8.22 recommande cinq principes de segmentation :

• Séparation par fonction : isoler les différents types de systèmes (postes utilisateurs, serveurs, équipements réseau, systèmes industriels) dans des zones distinctes
• Contrôle des flux : définir précisément quelles zones peuvent communiquer avec quelles autres, bloquer tout le reste par défaut (principe du moindre privilège réseau)
• Zones de sécurité graduées : créer des zones de confiance différenciée (Internet → DMZ → réseau interne → zone sensible) avec filtrage renforcé entre chaque niveau
• Isolation des environnements : séparer strictement développement, test et production pour éviter les contaminations croisées
• Micro-segmentation : pour les environnements critiques, aller jusqu'à l'isolation serveur par serveur voire conteneur par conteneur

Ces principes visent à garantir qu'une compromission dans une zone ne puisse pas se propager librement dans l'ensemble du réseau.

Segmentation physique

Utilisation de réseaux physiquement séparés : câblages distincts, switches dédiés, pas de connexion physique entre les réseaux. Utilisé pour les environnements les plus sensibles : réseaux de contrôle industriel (SCADA, automates), systèmes de sécurité critiques (vidéosurveillance, contrôle d'accès), données ultra-sensibles (défense, santé).

Avantages : isolation maximale, impossible de passer d'un réseau à l'autre sans connexion physique. Inconvénients : coût élevé (double infrastructure), complexité opérationnelle, difficile à maintenir.

Segmentation logique (VLAN)

Création de réseaux virtuels (VLAN - Virtual LAN) sur une infrastructure physique partagée. Les VLAN isolent le trafic au niveau de la couche 2 (liaison de données) : VLAN 10 : postes utilisateurs administratifs, VLAN 20 : postes utilisateurs production, VLAN 30 : serveurs applicatifs, VLAN 40 : serveurs bases de données, VLAN 50 : équipements réseau (switches, routeurs), VLAN 60 : WiFi invités, VLAN 70 : IoT et équipements connectés.

Avantages : coût faible (même infrastructure), flexibilité (reconfiguration logicielle), simplicité relative. Inconvénients : vulnérable au VLAN hopping si mal configuré, nécessite switches managés.

Zones de pare-feu

Création de zones de sécurité séparées par des pare-feu applicatifs (NGFW - Next Generation Firewall) : Zone externe (Internet), Zone DMZ (serveurs exposés publiquement), Zone interne (réseau d'entreprise), Zone sensible (serveurs critiques, bases de données).

Toutes les communications entre zones passent obligatoirement par le pare-feu qui inspecte et filtre selon des règles strictes.

Micro-segmentation

Isolation au niveau de chaque serveur ou workload, généralement dans les environnements virtualisés ou cloud : chaque serveur virtuel a ses propres règles de pare-feu, seuls les flux strictement nécessaires sont autorisés (exemple : serveur web peut uniquement contacter serveur applicatif sur port 8080, serveur applicatif peut uniquement contacter base de données sur port 3306).

Technologies : VMware NSX, Cisco ACI, Azure Network Security Groups, AWS Security Groups, Kubernetes Network Policies.

Zone Internet (Untrusted)

Le réseau public non maîtrisé. Source de toutes les attaques. Aucune confiance accordée au trafic provenant d'Internet.

Règles : tout le trafic entrant est suspect et filtré, seules les connexions explicitement autorisées passent (HTTPS vers serveur web en DMZ, VPN entrant), tout le reste est bloqué par défaut.

Zone DMZ (Demilitarized Zone)

Zone tampon entre Internet et le réseau interne. Héberge les serveurs qui doivent être accessibles depuis Internet : serveur web public, serveur email (MX), serveur VPN (point d'entrée), reverse proxy, serveurs API publics.

Règles : accessible depuis Internet sur des ports spécifiques, peut initier des connexions vers l'interne de manière très contrôlée (serveur web vers serveur applicatif backend sur des ports précis), ne peut jamais initier de connexions sortantes vers Internet (empêche l'exfiltration de données si compromis).

Zone interne (Trusted)

Le réseau d'entreprise principal où se trouvent les postes utilisateurs et serveurs internes. Niveau de confiance intermédiaire.

Sous-zones : VLAN utilisateurs (postes de travail), VLAN serveurs (serveurs applicatifs non critiques), VLAN imprimantes et périphériques, VLAN téléphonie (VoIP).

Règles : peut accéder à Internet via proxy filtrant, peut accéder aux serveurs internes selon les droits, accès aux serveurs critiques strictement contrôlé.

Zone sensible (Restricted)

Zone hautement protégée hébergeant les actifs les plus critiques : bases de données de production, serveurs de sauvegarde, systèmes de paiement, données personnelles sensibles (RGPD), propriété intellectuelle critique.

Règles : aucun accès direct depuis les postes utilisateurs, accès uniquement via serveurs applicatifs autorisés, connexions administrateur uniquement via bastion avec MFA, logs exhaustifs de toutes les connexions, interdiction totale d'initier des connexions sortantes.

Zone WiFi invités (Guest)

Réseau WiFi pour visiteurs, complètement isolé du réseau interne.

Règles : accès Internet uniquement (aucun accès au réseau interne), portail captif avec acceptation CGU, limitation de bande passante, durée de session limitée, VLAN dédié strictement isolé.

Zone IoT

Réseau dédié aux objets connectés (imprimantes réseau, caméras IP, thermostats connectés, équipements industriels connectés) qui sont souvent vulnérables.

Règles : isolation stricte du réseau principal, accès uniquement aux services cloud nécessaires (pas d'accès aux serveurs internes), surveillance renforcée du trafic (détection d'anomalies), mise à jour forcée ou remplacement si non patchable.

Principe du moindre privilège réseau

Par défaut, tout est interdit. On autorise explicitement uniquement les flux strictement nécessaires. Pour autoriser un flux, il faut justifier : source (qui initie la connexion), destination (vers quel système), protocole et port** (TCP/80, TCP/443, TCP/3306), justification métier (pourquoi ce flux est nécessaire).

Matrice de flux

Documenter tous les flux autorisés dans une matrice : Zone source → Zone destination → Protocole/Port → Justification. Exemple : Utilisateurs → Serveurs web DMZ → TCP/443 → Accès application métier, Serveurs web DMZ → Serveurs applicatifs internes → TCP/8080 → Backend API, Serveurs applicatifs → Bases de données → TCP/3306 → Requêtes MySQL, Administrateurs → Zone sensible → SSH via bastion → Administration.

Cette matrice est révisée trimestriellement pour supprimer les flux obsolètes.

Règles de pare-feu strictes

Configurer le pare-feu selon la matrice : deny all par défaut (tout est bloqué), puis allow explicite pour chaque flux autorisé (liste blanche), jamais de règles "permit any" (autoriser tout).

Ordonner les règles de la plus spécifique à la plus générale. Placer les règles de blocage explicite (deny) avant les règles d'autorisation pour les cas particuliers.

Inspection applicative

Pour les flux autorisés, ne pas se contenter de filtrer par port mais inspecter le protocole applicatif : Deep Packet Inspection (DPI) : vérifier que le trafic sur TCP/80 est vraiment du HTTP (pas un tunnel malveillant), Filtrage applicatif : autoriser HTTP mais bloquer certaines méthodes (PUT, DELETE) ou certaines URLs, Détection d'intrusion : analyser le contenu pour détecter des tentatives d'exploitation.

Topologie en couches

Architecture classique en trois couches : Couche accès (switches d'accès, connexion des postes utilisateurs et serveurs), Couche distribution (switches de distribution, interconnexion des VLAN, routage inter-VLAN), Couche cœur (switches/routeurs cœur, haute performance, redondance).

La segmentation s'opère principalement à la couche distribution où les routeurs/pare-feu filtrent le trafic inter-VLAN.

Zone DMZ multi-niveaux

Pour les environnements exposés à Internet, créer plusieurs niveaux de DMZ : DMZ externe : serveurs directement accessibles depuis Internet (serveur web public), DMZ interne : serveurs backend accessibles uniquement depuis la DMZ externe (serveurs applicatifs, bases de données de cache).

Chaque niveau est séparé par un pare-feu dédié.

Serveur bastion (jump host)

Pour administrer les serveurs en zone sensible, utiliser un serveur bastion : serveur durci dédié uniquement à l'administration, accessible uniquement via VPN avec MFA, les administrateurs se connectent d'abord au bastion, puis du bastion vers les serveurs cibles, toutes les sessions sont enregistrées (logging complet des actions).

Le bastion est la seule passerelle autorisée vers la zone sensible.

Séparation physique des réseaux d'administration

Créer un réseau d'administration (out-of-band management) complètement séparé : réseau dédié uniquement à l'administration des équipements (switches, routeurs, serveurs), accès uniquement depuis des postes d'administration dédiés, pas de routage vers les réseaux de production.

Garantit que même si le réseau de production est compromis, l'administration reste accessible.

VLAN et trunk

Créer les VLAN sur les switches managés : configurer chaque port de switch en mode access (appartient à un VLAN spécifique) ou trunk (transporte plusieurs VLAN tagués). Les liens entre switches (uplinks) sont en mode trunk pour transporter tous les VLAN. Le routeur ou pare-feu dispose d'une interface trunk recevant tous les VLAN et applique le filtrage inter-VLAN.

Routage inter-VLAN contrôlé

Par défaut, les VLAN ne peuvent pas communiquer entre eux. Pour permettre la communication, configurer le routage inter-VLAN sur un routeur/pare-feu : chaque VLAN a son propre sous-réseau IP (VLAN 10: 192.168.10.0/24, VLAN 20: 192.168.20.0/24), le routeur/pare-feu applique des ACL (Access Control Lists) définissant quels VLAN peuvent joindre quels autres.

Pare-feu en mode transparent

Pour les zones très sensibles, utiliser un pare-feu en mode bridge (transparent) : le pare-feu inspecte tout le trafic sans apparaître comme un élément réseau, impossible de le contourner (pas de route alternative).

Segmentation software-defined (SDN)

Dans les environnements modernes (datacenters virtualisés, cloud), utiliser la segmentation logicielle : VMware NSX : pare-feu distribué, micro-segmentation VM par VM, Cisco ACI : politique centralisée, application automatique, Azure NSG / AWS Security Groups : règles de sécurité par machine virtuelle.

Avantage : segmentation dynamique qui suit les workloads même lors de migrations.

Principe : minimiser les exceptions

Chaque exception (flux autorisé qui ne respecte pas la règle par défaut "deny all") est un risque. Toute demande d'exception doit être : justifiée métier (pourquoi ce flux est nécessaire), documentée (source, destination, protocole, justification), validée par le responsable sécurité, limitée dans le temps (réévaluation annuelle minimum), auditée (logs pour vérifier l'usage réel).

Flux temporaires

Pour les besoins ponctuels (maintenance, projet temporaire), créer des règles avec date d'expiration automatique : ouverture flux pour durée limitée (1 semaine, 1 mois), suppression automatique à l'expiration, alerte avant expiration pour demander renouvellement si nécessaire.

Revue trimestrielle des règles

Auditer les règles de pare-feu chaque trimestre : lister toutes les règles actives, vérifier la justification de chacune, identifier les règles jamais utilisées (logs montrent 0 hit), supprimer les règles obsolètes, simplifier les règles redondantes.

Identification et cartographie

Avant de segmenter, comprendre l'existant : cartographier le réseau actuel (tous les équipements, leurs adresses IP, leurs connexions), identifier les flux réels (analyser les logs réseau pour voir qui parle à qui), classifier les systèmes (criticité, sensibilité des données), définir les zones logiques (quels systèmes dans quelle zone).

Segmentation de base

Commencer par la segmentation la plus évidente : isoler le WiFi invités (priorité 1, risque élevé, facile à faire), séparer les serveurs des postes utilisateurs (VLAN distinct), créer une DMZ pour les serveurs publics.

Déployer et stabiliser avant de passer à la phase suivante.

Segmentation détaillée

Affiner la segmentation : séparer les différents types de serveurs (web, applicatifs, bases de données), créer une zone sensible pour données critiques, isoler les équipements IoT, segmenter les environnements (dev/test/prod).

Durcissement et micro-segmentation

Pour les environnements les plus critiques : micro-segmentation serveur par serveur, règles de filtrage très strictes (liste blanche exclusive), surveillance renforcée (IDS/IPS sur tous les flux).

• Règles "permit any" : autoriser tout le trafic entre deux zones annule la segmentation. Toujours définir explicitement les flux autorisés avec protocole et port précis.
• Pas de revue des règles : les règles de pare-feu s'accumulent au fil des ans, beaucoup deviennent obsolètes. Revue trimestrielle obligatoire pour nettoyer.
• WiFi invités sur réseau interne : laisser le WiFi visiteurs sur le même réseau que les serveurs internes est une erreur fréquente et grave. Isolation stricte obligatoire.
• Oublier les IoT : les objets connectés (imprimantes, caméras) sont souvent oubliés et restent sur le réseau principal. Les isoler dans un VLAN dédié.

La segmentation réseau divise l'infrastructure en zones isolées pour limiter les mouvements latéraux des attaquants. Les zones types incluent Internet (non fiable), DMZ (serveurs publics), réseau interne (utilisateurs et serveurs), zone sensible (données critiques), WiFi invités (totalement isolé), et zone IoT (objets connectés vulnérables).

Le principe du moindre privilège réseau impose un "deny all" par défaut avec autorisation explicite uniquement des flux strictement nécessaires, documentés dans une matrice de flux. La segmentation s'implémente via VLAN (isolation logique), pare-feu entre zones (inspection applicative), micro-segmentation (isolation serveur par serveur), et architecture en couches avec serveur bastion pour l'administration.

Le déploiement progressif commence par la segmentation de base (WiFi invités, serveurs vs utilisateurs) puis affine progressivement jusqu'à la micro-segmentation pour environnements critiques. La revue trimestrielle des règles de filtrage élimine les flux obsolètes et maintient la pertinence de la segmentation.