La SEGMENTATION et les EQUIPEMENTS

Pourquoi utiliser la segmentation de réseau ?

La segmentation du réseau est une défense proactive et non réactive, qui offre divers avantages
clés. La défense réactive, qui consiste à mener une enquête et à limiter les dégâts uniquement
après une violation, est généralement coûteuse et peut néanmoins impliquer la perte de données,
des problèmes de conformité et une atteinte à la réputation de l’entreprise.

La défense proactive, c’est-à-dire la prévention, cherche à répondre aux risques et vulnérabilités

potentiels avant qu’ils ne puissent être exploités. La segmentation du réseau est l’un des moyens
les plus courants d’y recourir aujourd’hui.

Types de segmentation de réseau

Traditionnellement, il existe deux types de base de segmentation du réseau :
• La segmentation physique utilise des pares-feux, des câbles, des commutateurs et des
connexions Internet distincts pour séparer les parties d’un réseau informatique. Il s’agit du
type de segmentation le plus coûteux et le moins évolutif.
• La segmentation virtuelle, également appelée segmentation logique, segmente
généralement les flux de trafic réseau à l’aide de réseaux locaux virtuels (VLAN), qui
peuvent être protégés par le même pare-feu.

Cas d’utilisation de la segmentation du réseau

Alors, à quoi sert concrètement la segmentation du réseau ? En bref, elle est conçue pour vous
aider à :
• Arrêter le déplacement latéral des menaces externes : dans un réseau segmenté, une
violation de données dans un segment ne constitue pas une menace immédiate pour les
données d’un autre segment.
• Arrêter le déplacement latéral des menaces internes : la segmentation de l’accès en
fonction des besoins de l’entreprise (par exemple, rendre les données financières
inaccessibles aux RH) réduit le risque d’attaques d’initiés.
• Séparer les réseaux internes et les réseaux d’invités : en maintenant les invités dans
un segment distinct, vous leur permettez de se connecter sans mettre en danger vos
appareils et vos données internes.
• Protéger les données réglementées et rester conforme : le stockage des données
sensibles dans un segment dont l’accès est restreint les protégera mieux et vous aidera à
vous conformer aux réglementations en matière de données.

Avantages de la segmentation du réseau

Quel que soit le schéma retenu par une entreprise, un réseau segmenté présente des avantages
évidents par rapport à un réseau plat, sans hiérarchie ni sous-réseaux. Citons les avantages
suivants :
• Cybersécurité plus robuste pour les données sensibles : cet avantage englobe la
prévention des failles (mouvement nord-sud), un contrôle plus strict des accès et des
contrôles de sécurité spécifiques à chaque segment.
• Conformité réglementaire facilitée : en limitant l’accès à certaines données et en
contrôlant leur flux, vous pouvez simplifier la conformité et les audits dans le cadre de
réglementations telles que PCI DSS et RGPD.
• Analyse des risques et contrôle des dommages plus simples : lorsque les
cybercriminels ne peuvent pas se déplacer librement sur l’ensemble de votre réseau, il
devient plus simple de repérer leurs techniques et d’identifier les faiblesses de votre
posture de sécurité.
• Terminaux et utilisateurs plus sécurisés : les utilisateurs finaux et les terminaux sont
plus en sécurité lorsque les menaces ne peuvent pas facilement se propager à travers les
segments, et parallèlement les segments eux-mêmes sont plus à l’abri des menaces qui
commencent sur les terminaux.
• Congestion du réseau réduite : une activité dans un segment n’entraînera pas la
congestion d’une autre partie du réseau. Par exemple, l’utilisation du Wi-Fi par les clients
ne ralentira pas les transactions par carte de crédit.

Bonnes pratiques de la segmentation du réseau

Voici cinq bonnes pratiques à respecter pour mettre en œuvre et maintenir une segmentation de
réseau efficace :

1. Ne pas sur-segmenter

Une segmentation excessive peut réduire la visibilité globale sur votre réseau et entraver sa
gestion, mais une segmentation insuffisante élargit votre surface d’attaque et nuit à votre
posture de sécurité.

2. Procéder à des audits réguliers

La segmentation du réseau n’améliorera la sécurité de votre réseau que si vous effectuez un

audit continu sur les vulnérabilités, les autorisations strictes et les mises à jour de vos segments.
Si vous savez que votre couverture ne souffre d’aucune faille exploitable, vous aurez une
longueur d’avance sur les hackers.

3. Adopter le principe du moindre privilège

En appliquant le principe du moindre privilège à tous vos segments, vous garantissez à vos
utilisateurs, aux administrateurs de réseau et à l’équipe de sécurité que l’accès n’est accordé
que si nécessaire. L’accès sur la base du moindre privilège est fondamental pour un accès réseau
Zero Trust.

4. Limiter l’accès des tiers

Accorder l’accès à des tiers est risqué en soi ; il est donc important d’y consentir que lorsque
c’est nécessaire, surtout si vous accordez l’accès à plusieurs segments. Il est essentiel
d’examiner attentivement les nouvelles autorisations pour maintenir une sécurité réseau solide.

5. Automatiser autant que possible

Outre les avantages acquis de l’automatisation en général, (tels que l’amélioration de la

visibilité, de la sécurité et du MTTR), l’automatisation de la segmentation du réseau vous
permet d’identifier rapidement et de classer les nouvelles ressources et données, ce qui constitue
en soi une autre bonne pratique de segmentation.

Inconvénients de la segmentation du réseau

Dans les architectures réseau complexes modernes, réparties sur plusieurs environnements
cloud et data centers, les anciens modèles de segmentation (basés sur les pares-feux, les VLAN
et les périmètres de réseau) présentent quelques lacunes majeures.

Les pares-feux traditionnels souffrent d’un défaut majeur qui s’oppose directement à la
segmentation : ils créent des réseaux plats qui facilitent les déplacements latéraux. Essayer de
compenser ces risques est incroyablement contraignant et complexe d’un point de vue
opérationnel. Même les pares-feux de nouvelle génération placent toujours les utilisateurs sur
votre réseau pour accéder aux applications, et les VLAN présentent la même faiblesse.

Une approche traditionnelle vous expose à :

• Une confiance excessive : comme la segmentation traditionnelle basée sur les pares-
feux est conçue pour empêcher les attaques de l’extérieur, elle peut vous laisser vulnérable
aux menaces internes.
• Des erreurs de configuration : les VLAN se prêtent facilement à des erreurs de
configuration dans les architectures actuelles, surtout si vous utilisez des fournisseurs de
cloud tiers et que vous ne pouvez pas modifier l’infrastructure vous-même.
• Une gestion exigeante : chaque nouvelle application, chaque nouvel appareil ou chaque
changement implique la mise à jour des règles de pare-feu, et même les activités banales
comme l’analyse de la vulnérabilité nécessitent davantage de ressources.
• Des contrôles complexes : les méthodes traditionnelles souffrent d’un manque de
contrôles précis, ce qui complique l’élaboration d’une politique de segmentation pour les
télétravailleurs, les partenaires, les clients, etc.
• Des problèmes d’évolutivité : pour faire face à la croissance du réseau, vous devez
créer des segments plus petits ou mettre à niveau les segments existants, ce qui entraîne
des coûts d’évolution et de maintenance plus élevés.
• De piètres performances : l’ajout de périphériques réseau supplémentaires (par
exemple, des pares-feux, des routeurs) aura un effet négatif cumulatif sur les performances
globales de votre réseau.

(Source : https://www.zscaler.fr/resources/security-terms-glossary/what-is-network-segmentation)
Les équipements :

SWITCH, HUB ET ROUTEUR

Les notions de hub, switch et routeur peuvent semer la confusion, car ils sont tous les trois destinés à
distribuer des données en réseau. Seulement, le mode de fonctionnement de chacun de ces appareils
n’est pas le même :

Eléments Hub Commutateur -Switch Routeur

Fonction Relier des ordinateurs Autoriser la connexion Faciliter
entre eux ou avec des à plusieurs appareils, l’acheminement des
périphériques de gérer les ports et gérer paquets (blocs de
réseau via un hub les paramètres de données) pour
central et transférer sécurité d’un réseau parvenir aux
des données entre eux local virtuel (VLAN) destinataires, en
faisant passer les
données d’une
interface réseau vers
une autre interface.
Transmission de Signaux électriques ou Trames (suite de bits) Paquets
données bits et paquets (fragments
de données)
Type de transmission Diffusion de Diffusion intelligente Analyse des données
l’ensemble des des informations reçues, modification
informations reçues reçues sur les ports des données
sur tous les ports sans concernés empaquetées et envoi
filtration vers un autre réseau
ou via un autre réseau
Vitesse de transfert 10, 100 et 1000 Mbit/s 10, 100, 1000 Mbit/s 10, 100, 1000, 2000
et 10 Gbit/s (avec port Mbit/s et 10 Gbit/s (ou
SFP+ et RJ45) GbE)

À retenir : le hub envoie les données telles qu’il les a reçues sans les traiter et les diffuse à tous les
ports, ce qui signifie que sa bande passante est partagée et qu’il peut présenter des ralentissements
dans la navigation. C’est l’une des principales raisons pour lesquelles il a été peu à peu remplacé par
des accessoires comme les switches. Le switch et le routeur sont des dispositifs intelligents qui savent
où emmener les données, consommant moins de bande passante et boostant ainsi les performances
du réseau informatique.

LES DIFFÉRENTS TYPES DE SWITCHES ETHERNET OU

COMMUTATEURS RÉSEAU

Le commutateur réseau se décline sous plusieurs modèles. Voici les principaux types de switches
Ethernet disponibles sur le marché :
Les switches non manageables
Les switches RJ45 non manageables sont les switches les plus communs et suffisent généralement pour
la plupart des usages. Ils sont équipés en général de 5 à 16 ports. En termes d’énergie dépensée, les
switches non manageables sont les plus économiques. Ils sont utilisés la plupart du temps pour un
réseau professionnel, mais ils peuvent aussi convenir pour des bureaux personnels, de petites
entreprises ou même pour des installations privées.

Les switches manageables ou administrables

Il est vivement recommandé d’utiliser ce type de switch lorsque le réseau Ethernet est conséquent. Les
switches manageables peuvent gérer plus de 200 postes. Leurs fonctionnalités sont nombreuses et
variées : elles permettent de mettre en place et de gérer des réseaux VLAN, de configurer les ports
individuellement, de faire des mesures statistiques du site, etc. Ainsi, ces commutateurs sont parfaits
pour avoir un contrôle complet des données, de la bande passante et du trafic. Certains sont dotés de
logements SFP/SFP+ qui permettent une extension du réseau optimale.