Microsegmentation: Pourquoi la segmentation réseau seule ne suffit plus

1 min de lecture

La segmentation réseau classique divise le réseau en zones – DMZ, production, bureau. Au sein de chaque zone, la communication est libre. La microsegmentation va plus loin : elle contrôle le trafic entre chaque charge de travail individuelle. Le mouvement latéral n’est pas seulement rendu plus difficile, mais bel et bien empêché.

L’essentiel

• Le mouvement latéral est la technique la plus fréquente après l’accès initial (MITRE ATT&CK)
• La microsegmentation réduit le rayon d’impact d’une violation de 70 à 90 %
• Mise en œuvre : définie par logiciel, basée sur l’hôte – aucune modification matérielle nécessaire
• Leaders du marché : Illumio, Akamai Guardicore, VMware NSX, Cisco Secure Workload

Le problème du mouvement latéral

La plupart des violations commencent par un seul point de terminaison compromis. De là, l’attaquant se déplace latéralement à travers le réseau – de serveur en serveur, de charge de travail en charge de travail – jusqu’à atteindre les systèmes critiques. Dans les réseaux plats, cela ne prend que quelques minutes.

La segmentation classique aide partiellement : l’attaquant doit franchir les limites entre zones. Mais au sein d’une même zone – où se trouvent souvent des centaines de serveurs – la circulation reste libre. La microsegmentation élimine ce défaut : chaque charge de travail dispose de sa propre politique de pare-feu.

Comment fonctionne la microsegmentation

Au lieu de déployer des pare-feux réseau aux frontières des zones, la microsegmentation applique des politiques directement sur les hôtes : chaque serveur, conteneur ou machine virtuelle est doté de règles précises définissant avec quelles autres charges de travail il peut communiquer – au niveau du port et du protocole.

Ces politiques sont gérées de façon centralisée et distribuées automatiquement. L’atout majeur ? Aucune modification matérielle n’est requise. Leur application s’effectue via un agent logiciel installé sur l’hôte ou au niveau de l’hyperviseur (VMware NSX). La topologie réseau existante reste entièrement inchangée.

Visibility First : voir avant de segmenter

L’erreur la plus courante consiste à définir des politiques sans connaître les relations réelles de communication. La microsegmentation commence donc par une phase de découverte : toutes les connexions entre charges de travail sont cartographiées automatiquement. Le résultat est une carte des dépendances applicatives.

Cette carte constitue la base des politiques : seules les communications explicitement autorisées sont permises ; tout le reste est bloqué. Cette phase de découverte dure généralement de deux à quatre semaines – au terme desquelles l’équipe dispose d’une vision complète des flux de communication.

Mise en œuvre : progressive, pas en un seul bloc

Phase 1 : déploiement des agents et obtention de la visibilité (4 à 6 semaines). Phase 2 : politiques en mode surveillance (affichage des blocages potentiels, sans blocage effectif). Phase 3 : application progressive – en commençant par les segments les plus critiques (bases de données, contrôleurs de domaine, systèmes de paiement). Phase 4 : application complète et gestion continue des politiques.

L’ensemble du processus prend de trois à six mois pour une entreprise de taille moyenne. La phase de surveillance est cruciale : elle permet de détecter les erreurs de politique avant qu’elles n’affectent le fonctionnement opérationnel.

Key Facts

Rayon d’impact : Réduction de 70 à 90 % grâce à la microsegmentation (Forrester)

Mouvement latéral : Présent dans 80 % des violations dans les 24 heures suivant l’intrusion (CrowdStrike)

Mise en œuvre : De 3 à 6 mois pour les entreprises de taille moyenne, sans aucune modification matérielle

Questions fréquentes

Ai-je besoin de microsegmentation si j’ai déjà des pare-feu ?

Les pare-feux protègent les frontières entre zones – la microsegmentation sécurise l’intérieur même des zones. Les deux approches se complètent parfaitement : le pare-feu gère le trafic Nord-Sud (Internet ↔ réseau interne), tandis que la microsegmentation contrôle le trafic Est-Ouest (serveur ↔ serveur).

À quel point la maintenance est-elle fastidieuse ?

Elle est initialement exigeante (phase de découverte, création des politiques), puis devient maîtrisable. Les plateformes modernes apprennent automatiquement les schémas de communication et proposent des mises à jour de politiques. Dans les environnements Infrastructure-as-Code, celles-ci peuvent même être générées automatiquement lors du déploiement.

La microsegmentation fonctionne-t-elle dans le cloud ?

Oui – et souvent plus facilement que sur site. Les groupes de sécurité AWS, les groupes de sécurité réseau Azure et les règles de pare-feu GCP constituent des solutions de microsegmentation natives. Des plateformes comme Illumio ou Guardicore offrent une approche hybride, avec des politiques identiques pour les environnements sur site et dans le cloud.

Articles connexes

• Gestion de la surface d’attaque : pourquoi les entreprises ne connaissent pas leur propre surface d’attaque
• Pourquoi l’identité est le nouveau pare-feu – et pourquoi les stratégies IAM échouent
• Tendances de la cybersécurité 2026 : les 7 développements que les décideurs en matière de sécurité doivent connaître

Plus du réseau MBF Media

• Cloud Magazin – Cloud, SaaS & infrastructure IT
• myBusinessFuture – Numérisation, IA & business
• Digital Chiefs – Leadership de pensée C-Level

Source de l’image : Pexels / Jef K

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow