Académique Documents
Professionnel Documents
Culture Documents
1. Ne pas sur-segmenter
Une segmentation excessive peut réduire la visibilité globale sur votre réseau et entraver sa
gestion, mais une segmentation insuffisante élargit votre surface d’attaque et nuit à votre
posture de sécurité.
En appliquant le principe du moindre privilège à tous vos segments, vous garantissez à vos
utilisateurs, aux administrateurs de réseau et à l’équipe de sécurité que l’accès n’est accordé
que si nécessaire. L’accès sur la base du moindre privilège est fondamental pour un accès réseau
Zero Trust.
Les pares-feux traditionnels souffrent d’un défaut majeur qui s’oppose directement à la
segmentation : ils créent des réseaux plats qui facilitent les déplacements latéraux. Essayer de
compenser ces risques est incroyablement contraignant et complexe d’un point de vue
opérationnel. Même les pares-feux de nouvelle génération placent toujours les utilisateurs sur
votre réseau pour accéder aux applications, et les VLAN présentent la même faiblesse.
• Une confiance excessive : comme la segmentation traditionnelle basée sur les pares-
feux est conçue pour empêcher les attaques de l’extérieur, elle peut vous laisser vulnérable
aux menaces internes.
• Des erreurs de configuration : les VLAN se prêtent facilement à des erreurs de
configuration dans les architectures actuelles, surtout si vous utilisez des fournisseurs de
cloud tiers et que vous ne pouvez pas modifier l’infrastructure vous-même.
• Une gestion exigeante : chaque nouvelle application, chaque nouvel appareil ou chaque
changement implique la mise à jour des règles de pare-feu, et même les activités banales
comme l’analyse de la vulnérabilité nécessitent davantage de ressources.
• Des contrôles complexes : les méthodes traditionnelles souffrent d’un manque de
contrôles précis, ce qui complique l’élaboration d’une politique de segmentation pour les
télétravailleurs, les partenaires, les clients, etc.
• Des problèmes d’évolutivité : pour faire face à la croissance du réseau, vous devez
créer des segments plus petits ou mettre à niveau les segments existants, ce qui entraîne
des coûts d’évolution et de maintenance plus élevés.
• De piètres performances : l’ajout de périphériques réseau supplémentaires (par
exemple, des pares-feux, des routeurs) aura un effet négatif cumulatif sur les performances
globales de votre réseau.
(Source : https://www.zscaler.fr/resources/security-terms-glossary/what-is-network-segmentation)
Les équipements :
À retenir : le hub envoie les données telles qu’il les a reçues sans les traiter et les diffuse à tous les
ports, ce qui signifie que sa bande passante est partagée et qu’il peut présenter des ralentissements
dans la navigation. C’est l’une des principales raisons pour lesquelles il a été peu à peu remplacé par
des accessoires comme les switches. Le switch et le routeur sont des dispositifs intelligents qui savent
où emmener les données, consommant moins de bande passante et boostant ainsi les performances
du réseau informatique.
Le commutateur réseau se décline sous plusieurs modèles. Voici les principaux types de switches
Ethernet disponibles sur le marché :
Les switches non manageables
Les switches RJ45 non manageables sont les switches les plus communs et suffisent généralement pour
la plupart des usages. Ils sont équipés en général de 5 à 16 ports. En termes d’énergie dépensée, les
switches non manageables sont les plus économiques. Ils sont utilisés la plupart du temps pour un
réseau professionnel, mais ils peuvent aussi convenir pour des bureaux personnels, de petites
entreprises ou même pour des installations privées.