Segmenter le réseau selon le principe Zero Trust : pourquoi les réseaux plats constituent le plus grand risque de sécurité

7 min de lecture

Une imprimante compromise dans le service comptabilité. Cela semble anodin, jusqu’à ce que l’attaquant passe par le réseau plat vers le contrôleur de domaine, puis atteigne la supervision de production, et chiffre l’ensemble de la chaîne de fabrication trois jours plus tard. La segmentation du réseau empêche précisément ce scénario. Pourtant, selon Zscaler, 68 % des PME allemandes n’ont pas de concept Zero Trust pour leur réseau interne.

L’essentiel

• 🔒 68 % des PME de la région DACH n’ont pas de concept de réseau Zero Trust (Zscaler, 2025).
• 📊 Le déplacement latéral est l’étape d’attaque la plus fréquente après l’accès initial (MITRE ATT&CK, 2025).
• ⏱️ Durée moyenne de présence d’un attaquant dans le réseau : 10 jours (Mandiant M-Trends, 2025).
• 🏢 Siemens segmente complètement et sépare IT et OT depuis 2024. Un modèle pour les entreprises industrielles.
• 🛡️ La micro-segmentation réduit la surface d’attaque jusqu’à 90 % (Forrester, 2025).

Pourquoi les réseaux plats constituent le plus grand risque de sécurité

Dans un réseau plat, chaque appareil peut communiquer avec tous les autres. L’ordinateur du stagiaire dialogue avec le serveur ERP, l’imprimante de l’accueil accède à la supervision de production. Pour les attaquants, c’est un véritable paradis : un seul point d’extrémité compromis ouvre l’accès à l’ensemble du système.

MITRE ATT&CK documente le déplacement latéral comme l’étape d’attaque la plus courante après l’accès initial. L’attaquant se déplace horizontalement dans le réseau, élève ses privilèges et atteint son objectif réel : données, systèmes de contrôle ou infrastructure de sauvegarde. Mandiant estime la durée moyenne de présence à 10 jours. Dix jours durant lesquels l’attaquant opère sans être détecté.

« La micro-segmentation réduit le rayon d’impact d’une attaque au minimum. Plutôt que de compromettre l’ensemble du réseau, l’attaquant reste confiné dans un segment isolé. »

Forrester Research, Zero Trust Microsegmentation Report, 2025

Segmenter le réseau selon le principe Zero Trust en trois étapes

Étape 1 : Macro-segmentation (mise en œuvre immédiate). Séparez votre réseau en grandes zones : IT bureautique, OT de production, Wi-Fi invité, DMZ serveurs. Chaque zone dispose de ses propres VLANs et règles de pare-feu. Aucune communication entre les zones sans autorisation explicite. En 2024, Siemens a exactement mis en œuvre cette étape pour tous ses sites allemands : IT et OT sont physiquement et logiquement complètement séparés.

Étape 2 : Micro-segmentation (3 à 6 mois). À l’intérieur de chaque zone, isolez les charges de travail individuelles. Le serveur web ne communique qu’avec la base de données, pas avec le serveur de fichiers. Des outils comme Illumio, Guardicore (Akamai) ou VMware NSX permettent cela sans modification matérielle. Forrester estime la réduction de la surface d’attaque à 90 %.

Étape 3 : Segmenter selon l’identité (6 à 12 mois). Ce n’est plus le segment réseau qui détermine l’accès, mais l’identité de l’utilisateur et de l’appareil. L’accès Zero Trust (ZTNA) remplace les VPN classiques. Zscaler, Cloudflare et Palo Alto proposent le ZTNA en tant que service cloud. Pour les entreprises avec télétravail et environnements multi-cloud, c’est l’évolution logique.

Le contre-argument : la segmentation ralentit l’agilité

Tous les responsables informatiques ne sont pas enthousiastes. L’argument le plus fréquent contre une segmentation stricte : elle ralentit le développement. Les équipes DevOps ont besoin d’un accès rapide à divers environnements. Une micro-segmentation avec des règles rigides peut ralentir les cycles de déploiement et provoquer des incidents si le trafic légitime est bloqué.

La solution réside dans la politique en tant que code (Policy-as-Code) : les règles de segmentation ne sont plus gérées manuellement dans les pare-feu, mais définies sous forme de code, versionnées et déployées automatiquement. Terraform, Ansible et les API des plateformes de segmentation rendent cela possible. L’effort initial est plus élevé, mais l’agilité à long terme augmente car les modifications de règles s’appliquent en minutes plutôt qu’en jours.

Conclusion : la segmentation, l’investissement de sécurité le plus rentable

La segmentation du réseau ne nécessite pas de budgets à plusieurs millions. La macro-segmentation avec les commutateurs et pare-feu existants peut être mise en œuvre en quelques semaines. La micro-segmentation par logiciel coûte à partir de 10 000 Euro par an pour des environnements de taille moyenne. Le rapport coût-efficacité est imbattable : 90 % de surface d’attaque en moins pour une fraction du coût d’une plateforme EDR. La première étape : dessiner une carte du réseau. Qui communique avec qui ? Le résultat vous surprendra.

Questions fréquentes

Nous avons 200 employés et un réseau plat. Par où commencer ?

Commencez par la macro-segmentation : séparez au moins 4 zones (IT bureautique, serveurs, invités, réseau de gestion). Cela fonctionne avec des commutateurs gérés existants (configuration VLAN) et une règle de pare-feu par transition entre zones. Temps nécessaire : 2 à 4 jours pour un administrateur réseau. Coût : quasi nul si le matériel supporte les VLAN.

La micro-segmentation fonctionne-t-elle dans des environnements virtualisés ?

Oui, même particulièrement bien. VMware NSX, Illumio et Guardicore fonctionnent au niveau de l’hyperviseur et peuvent isoler des machines virtuelles individuelles sans modifier le matériel. Dans les environnements Kubernetes, les Network Policies assument la même fonction. L’avantage par rapport à la segmentation matérielle : les règles suivent la charge de travail lorsqu’elle est déplacée.

Quel est le coût de la micro-segmentation pour une entreprise avec 500 points d’accès ?

Les options open source (OPNsense, pfSense avec VLAN) ne coûtent rien hormis l’effort d’implémentation. Les solutions logicielles commerciales (Illumio, Guardicore) commencent à environ 10 000 à 25 000 Euro par an pour 500 points d’accès. Les plateformes entreprise (Cisco Secure Workload, Palo Alto Prisma) se situent entre 30 000 et 80 000 Euro. En comparaison, le coût moyen d’une attaque par rançongiciel s’élève à 1,8 million d’Euro par incident (Sophos, 2025).

Nous avons un environnement OT (production). Les règles sont-elles différentes ?

Oui. La segmentation OT suit le modèle Purdue : séparation stricte entre l’IT d’entreprise (niveaux 4-5) et le réseau de production (niveaux 0-3) via une zone démilitarisée (DMZ niveau 3.5). Aucun accès direct de l’IT vers l’OT. Siemens a mis en œuvre cela pour tous ses sites allemands et recommande comme standard minimal : pare-feu distincts entre IT et OT, aucun domaine Active Directory partagé, réseaux de gestion dédiés pour les systèmes SCADA.

La segmentation perturbe-t-elle l’accès VPN de nos employés distants ?

Oui, pour les VPN site-à-site classiques, car ils insèrent l’utilisateur dans un segment réseau disposant d’un accès complet. La solution : Zero Trust Network Access (ZTNA) au lieu du VPN. Le ZTNA accorde l’accès à des applications spécifiques plutôt qu’à l’ensemble du réseau. L’employé en télétravail accède à son système ERP, mais pas au serveur de sauvegarde voisin. Zscaler, Cloudflare Access et Palo Alto Prisma Access proposent cela en tant que service cloud.

Lectures complémentaires sur le réseau

• → Renforcer Active Directory : 5 mesures immédiates (SecurityToday)
• → NIS2 en Allemagne : ce que les entreprises doivent savoir maintenant (SecurityToday)
• → Journée de correctifs SAP : vulnérabilité critique dans NetWeaver (SecurityToday)

Plus d’informations depuis le réseau MBF Media

• → Certificats TLS 2026 : durée de validité de 200 jours (cloudmagazin)
• → Budget cybersécurité 2026 : ce que le CFO doit entendre du CISO (Digital Chiefs)

Source de l’image : Pexels

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow