Qu’est-ce qu’un réseau DMZ ?

Une zone démilitarisée (DMZ) est un réseau périphérique qui protège le réseau local (LAN) interne
d'une organisation contre le trafic non sécurisé.

Une DMZ est communément définie comme un sous-réseau qui se situe entre l'internet public et les
réseaux privés. Il expose les services externes à des réseaux non fiables et ajoute une couche de
sécurité supplémentaire pour protéger les données sensibles stockées sur les réseaux internes, grâce
à des pare-feux pour filtrer le trafic.

L’objectif final d’une DMZ est de permettre à une entreprise d’accéder à des réseaux non sécurisés,
tels qu’Internet, tout en garantissant la sécurité de son réseau privé ou LAN. Les entreprises stockent
généralement dans la DMZ des services et des ressources externes, ainsi que des serveurs pour le
système de noms de domaine (DNS), le protocole de transfert de fichiers (FTP), la messagerie, le
proxy, la VoIP et les serveurs web.

Ces serveurs et ressources sont isolés et bénéficient d’un accès limité au LAN afin de s’assurer qu’ils
sont accessibles via Internet, mais pas le réseau LAN interne. Par conséquent, une approche DMZ
rend plus difficile pour un hacker l’accès direct aux données et aux serveurs internes d’une entreprise
via Internet.

Comment fonctionne un réseau DMZ ?

Les entreprises disposant d’un site web public que leurs clients utilisent doivent rendre leur serveur
web accessible sur Internet. Ce faisant, elles mettent en danger l'ensemble de leur réseau interne.
Pour éviter cela, une entreprise pourrait payer une société d’hébergement pour héberger son site
web ou ses serveurs publics sur un pare-feu, mais cela affecterait leurs performances. Les serveurs
publics seraient ainsi hébergés sur un réseau distinct et isolé.

Un réseau DMZ sert de tampon entre Internet et le réseau privé d’une entreprise. La DMZ est isolée
par une passerelle de sécurité, telle qu’un pare-feu, qui filtre le trafic entre la DMZ et un réseau LAN.
La DMZ est protégée par une autre passerelle de sécurité qui filtre le trafic provenant de réseaux
externes.

Elle est idéalement située entre deux pare-feux, et la configuration du pare-feu de la DMZ garantit
que les paquets réseau entrants sont contrôlés par un pare-feu, ou d’autres outils de sécurité, avant
qu’ils ne soient transmis aux serveurs hébergés dans la DMZ. Cela implique que même si un assaillant
complexe parvient à passer le premier pare-feu, il doit également accéder aux services renforcés de
la DMZ avant de pouvoir causer des dommages à l'entreprise.

Si un assaillant parvient à infiltrer le pare-feu externe et à compromettre un système dans la DMZ, il

doit également franchir un pare-feu interne avant d’accéder aux données sensibles de l’entreprise.
Un acteur malveillant complexe peut très bien être capable de s’infiltrer dans une DMZ sécurisée,
mais les ressources qui s'y trouvent doivent déclencher des alarmes qui permettent d'avertir à temps
qu'une violation est en cours.

Les entreprises qui doivent se conformer à des réglementations, telles que la loi HIPAA (loi
américaine sur la portabilité et la responsabilité des assurances maladie), installeront parfois un
serveur proxy dans la DMZ. Cela leur permet de simplifier la surveillance et l’enregistrement de
l’activité des utilisateurs, de centraliser le filtrage du contenu web et de s’assurer que les employés
utilisent le système pour accéder à Internet.

Avantages de l’utilisation d’une DMZ

Le principal avantage d’une DMZ est d’apporter à un réseau interne une couche de sécurité
supplémentaire en limitant l’accès aux données et serveurs sensibles. Une DMZ permet aux visiteurs
du site web d’obtenir certains services tout en servant de tampon entre eux et le réseau privé de
l’entreprise. Par conséquent, la DMZ offre également d’autres avantages en matière de sécurité,
notamment :

Faciliter le contrôle d’accès : Les entreprises peuvent fournir aux utilisateurs un accès à des
services en dehors du périmètre de leur réseau via l’Internet public. La DMZ permet d’accéder à ces
services tout en mettant en œuvre la segmentation du réseau pour rendre plus difficile l’accès au
réseau privé par un utilisateur non autorisé. Une DMZ peut également inclure un serveur proxy, qui
centralise le flux de trafic interne et simplifie la surveillance et l’enregistrement de ce trafic.

Empêcher la reconnaissance du réseau : En faisant office de tampon entre Internet et un réseau

privé, une DMZ empêche les assaillants d’effectuer le travail de reconnaissance qu’ils font pour pour
trouver des cibles potentielles. Les serveurs au sein de la DMZ sont exposés publiquement, mais
bénéficient d'une autre couche de sécurité grâce à un pare-feu qui empêche tout assaillant de
pénétrer dans le réseau interne. Même si un système DMZ est compromis, le pare-feu interne sépare
le réseau privé de la DMZ pour en assurer la sécurité et rendre la reconnaissance externe difficile.

Empêcher l’usurpation d’adresse IP : les assaillants peuvent essayer d’accéder aux systèmes en
usurpant une adresse IP et en se faisant passer pour un appareil autorisé connecté à un réseau. Une
DMZ peut découvrir et bloquer de telles tentatives d’usurpation d’identité, car un autre service
vérifie la légitimité de l’adresse IP. La DMZ permet également de segmenter le réseau afin de créer
un espace où le trafic peut être organisé et où les services publics sont accessibles en dehors du
réseau privé interne.

Les services d’une DMZ comprennent :

Les serveurs DNS

Les serveurs FTP

Les serveurs de messagerie

Les serveurs proxy

Les serveurs Web

Conception et architecture DMZ

Une DMZ est un « réseau grand ouvert ». Toutefois, plusieurs approches de conception et
d'architecture permettent de la protéger. Une DMZ peut être conçue de plusieurs façons, d’une
approche à pare-feu unique à des pare-feux doubles et multiples. La majorité des architectures DMZ
modernes utilisent des pare-feux doubles qui peuvent être étendus afin de développer des systèmes
plus complexes.

Pare-feu unique : Une DMZ dotée d’une conception à pare-feu unique nécessite trois interfaces
réseau ou plus. Le premier est le réseau externe, qui relie la connexion Internet publique au pare-feu.
Le deuxième est le réseau interne, tandis que le troisième est connecté à la DMZ. Diverses règles
permettent de surveiller et contrôler le trafic autorisé à accéder à la DMZ et limitent la connectivité
au réseau interne.

Double pare-feu : le déploiement de deux pare-feux avec une DMZ entre eux reste généralement
une option plus sécurisée. Le premier pare-feu n'autorise que le trafic externe vers la DMZ et le
second n'autorise que le trafic qui relie la DMZ au réseau interne. Un assaillant devrait compromettre
les deux pare-feux pour accéder au réseau LAN de l'entreprise.

Les entreprises peuvent également affiner les contrôles de sécurité pour divers segments de réseau.
Cela signifie qu’un système de détection d’intrusion (IDS) ou un système de prévention d’intrusion
(IPS) au sein d’une DMZ peut être configuré pour bloquer tout trafic autre que les requêtes HTTPS
(Hypertext Transfer Protocol Secure) sur le port TCP (Transmission Control Protocol) 443.

L’importance des réseaux DMZ : comment sont-ils utilisés ?

Les réseaux DMZ sont essentiels à la sécurisation des réseaux d'entreprise depuis la création des
pare-feux. Ils protègent les données, les systèmes et les ressources sensibles des entreprises en
maintenant les réseaux internes séparés des systèmes qui pourraient être la cible d’assaillants. Les
DMZ permettent également aux entreprises de contrôler et de réduire les niveaux d’accès aux
systèmes sensibles.

Les entreprises utilisent de plus en plus les conteneurs et les machines virtuelles pour isoler leurs
réseaux ou des applications spécifiques du reste de leurs systèmes. La croissance du marché du cloud
implique que de nombreuses entreprises n’ont plus besoin de serveurs web internes. Elles ont
également migré une grande partie de leur infrastructure externe vers le cloud en utilisant des
applications SaaS (Software-as-a-Service).

Par exemple, un service cloud comme Microsoft Azure permet à une entreprise qui exécute des
applications sur site et sur des réseaux privés virtuels (VPN) de recourir à une approche hybride, avec
la DMZ entre les deux. Cette méthode peut également être utilisée lorsque le trafic sortant nécessite
un audit ou pour contrôler le trafic entre un centre de données sur site et des réseaux virtuels.

En outre, les DMZ s’avèrent utiles pour contrer les risques de sécurité que présentent les dispositifs
de l’Internet des objets (IoT) et les systèmes de technologie opérationnelle (OT), ce qui rend la
production et la fabrication plus intelligentes, mais crée une grande surface de menaces. En effet, les
équipements OT n'ont pas été conçus pour faire face aux cyberattaques ou être restaurés de la
même manière que les appareils IoT, ce qui présente un risque considérable pour les données et les
ressources sensibles des entreprises. Une DMZ permet de segmenter le réseau afin de réduire le
risque d’attaque susceptible de causer des dommages aux infrastructures industrielles.