7 min de lecture<\/p>\n
Une imprimante compromise dans le service comptabilit\u00e9. Cela semble anodin, jusqu\u2019\u00e0 ce que l\u2019attaquant passe par le r\u00e9seau plat vers le contr\u00f4leur de domaine<\/a>, puis atteigne la supervision de production, et chiffre l\u2019ensemble de la cha\u00eene de fabrication trois jours plus tard. La segmentation du r\u00e9seau emp\u00eache pr\u00e9cis\u00e9ment ce sc\u00e9nario. Pourtant, selon Zscaler, 68 % des PME allemandes n\u2019ont pas de concept Zero Trust pour leur r\u00e9seau interne.<\/strong><\/p>\n Dans un r\u00e9seau plat, chaque appareil peut communiquer avec tous les autres. L\u2019ordinateur du stagiaire dialogue avec le serveur ERP, l\u2019imprimante de l\u2019accueil acc\u00e8de \u00e0 la supervision de production<\/a>. Pour les attaquants, c\u2019est un v\u00e9ritable paradis : un seul point d\u2019extr\u00e9mit\u00e9 compromis ouvre l\u2019acc\u00e8s \u00e0 l\u2019ensemble du syst\u00e8me.<\/p>\n MITRE ATT&CK documente le d\u00e9placement lat\u00e9ral comme l\u2019\u00e9tape d\u2019attaque la plus courante apr\u00e8s l\u2019acc\u00e8s initial. L\u2019attaquant se d\u00e9place horizontalement dans le r\u00e9seau, \u00e9l\u00e8ve ses privil\u00e8ges et atteint son objectif r\u00e9el : donn\u00e9es, syst\u00e8mes de contr\u00f4le ou infrastructure de sauvegarde. Mandiant estime la dur\u00e9e moyenne de pr\u00e9sence \u00e0 10 jours. Dix jours durant lesquels l\u2019attaquant op\u00e8re sans \u00eatre d\u00e9tect\u00e9.<\/p>\n \u00ab La micro-segmentation r\u00e9duit le rayon d\u2019impact d\u2019une attaque au minimum. Plut\u00f4t que de compromettre l\u2019ensemble du r\u00e9seau, l\u2019attaquant reste confin\u00e9 dans un segment isol\u00e9. \u00bb<\/p>\n Forrester Research, Zero Trust Microsegmentation Report, 2025<\/cite>\n<\/p><\/blockquote>\n \u00c9tape 1 : Macro-segmentation (mise en \u0153uvre imm\u00e9diate).<\/strong> S\u00e9parez votre r\u00e9seau en grandes zones : IT bureautique, OT de production, Wi-Fi invit\u00e9, DMZ serveurs. Chaque zone dispose de ses propres VLANs et r\u00e8gles de pare-feu. Aucune communication entre les zones sans autorisation explicite. En 2024, Siemens a exactement mis en \u0153uvre cette \u00e9tape pour tous ses sites allemands : IT et OT sont physiquement et logiquement compl\u00e8tement s\u00e9par\u00e9s.<\/p>\n \u00c9tape 2 : Micro-segmentation (3 \u00e0 6 mois).<\/strong> \u00c0 l\u2019int\u00e9rieur de chaque zone, isolez les charges de travail individuelles. Le serveur web ne communique qu\u2019avec la base de donn\u00e9es, pas avec le serveur de fichiers. Des outils comme Illumio, Guardicore (Akamai) ou VMware NSX permettent cela sans modification mat\u00e9rielle. Forrester estime la r\u00e9duction de la surface d\u2019attaque \u00e0 90 %.<\/p>\n \u00c9tape 3 : Segmenter selon l\u2019identit\u00e9 (6 \u00e0 12 mois).<\/strong> Ce n\u2019est plus le segment r\u00e9seau qui d\u00e9termine l\u2019acc\u00e8s, mais l\u2019identit\u00e9 de l\u2019utilisateur et de l\u2019appareil. L\u2019acc\u00e8s Zero Trust (ZTNA) remplace les VPN classiques. Zscaler, Cloudflare et Palo Alto proposent le ZTNA en tant que service cloud. Pour les entreprises avec t\u00e9l\u00e9travail et environnements multi-cloud, c\u2019est l\u2019\u00e9volution logique.<\/p>\n Tous les responsables informatiques ne sont pas enthousiastes. L\u2019argument le plus fr\u00e9quent contre une segmentation stricte : elle ralentit le d\u00e9veloppement. Les \u00e9quipes DevOps ont besoin d\u2019un acc\u00e8s rapide \u00e0 divers environnements. Une micro-segmentation avec des r\u00e8gles rigides peut ralentir les cycles de d\u00e9ploiement et provoquer des incidents si le trafic l\u00e9gitime est bloqu\u00e9.<\/p>\n La solution r\u00e9side dans la politique en tant que code (Policy-as-Code) : les r\u00e8gles de segmentation ne sont plus g\u00e9r\u00e9es manuellement dans les pare-feu, mais d\u00e9finies sous forme de code, versionn\u00e9es et d\u00e9ploy\u00e9es automatiquement. Terraform, Ansible et les API des plateformes de segmentation rendent cela possible. L\u2019effort initial est plus \u00e9lev\u00e9, mais l\u2019agilit\u00e9 \u00e0 long terme augmente car les modifications de r\u00e8gles s\u2019appliquent en minutes plut\u00f4t qu\u2019en jours.<\/p>\n La segmentation du r\u00e9seau ne n\u00e9cessite pas de budgets \u00e0 plusieurs millions. La macro-segmentation avec les commutateurs et pare-feu existants peut \u00eatre mise en \u0153uvre en quelques semaines. La micro-segmentation par logiciel co\u00fbte \u00e0 partir de 10 000 Euro par an pour des environnements de taille moyenne. Le rapport co\u00fbt-efficacit\u00e9 est imbattable : 90 % de surface d\u2019attaque en moins pour une fraction du co\u00fbt d\u2019une plateforme EDR. La premi\u00e8re \u00e9tape : dessiner une carte du r\u00e9seau. Qui communique avec qui ? Le r\u00e9sultat vous surprendra.<\/p>\n Commencez par la macro-segmentation : s\u00e9parez au moins 4 zones (IT bureautique, serveurs, invit\u00e9s, r\u00e9seau de gestion). Cela fonctionne avec des commutateurs g\u00e9r\u00e9s existants (configuration VLAN) et une r\u00e8gle de pare-feu par transition entre zones. Temps n\u00e9cessaire : 2 \u00e0 4 jours pour un administrateur r\u00e9seau. Co\u00fbt : quasi nul si le mat\u00e9riel supporte les VLAN.<\/p>\n Oui, m\u00eame particuli\u00e8rement bien. VMware NSX, Illumio et Guardicore fonctionnent au niveau de l\u2019hyperviseur et peuvent isoler des machines virtuelles individuelles sans modifier le mat\u00e9riel. Dans les environnements Kubernetes, les Network Policies assument la m\u00eame fonction. L\u2019avantage par rapport \u00e0 la segmentation mat\u00e9rielle : les r\u00e8gles suivent la charge de travail lorsqu\u2019elle est d\u00e9plac\u00e9e.<\/p>\n Les options open source (OPNsense, pfSense avec VLAN) ne co\u00fbtent rien hormis l\u2019effort d\u2019impl\u00e9mentation. Les solutions logicielles commerciales (Illumio, Guardicore) commencent \u00e0 environ 10 000 \u00e0 25 000 Euro par an pour 500 points d\u2019acc\u00e8s. Les plateformes entreprise (Cisco Secure Workload, Palo Alto Prisma) se situent entre 30 000 et 80 000 Euro. En comparaison, le co\u00fbt moyen d\u2019une attaque par ran\u00e7ongiciel s\u2019\u00e9l\u00e8ve \u00e0 1,8 million d\u2019Euro par incident (Sophos, 2025).<\/p>\n Oui. La segmentation OT suit le mod\u00e8le Purdue : s\u00e9paration stricte entre l\u2019IT d\u2019entreprise (niveaux 4-5) et le r\u00e9seau de production (niveaux 0-3) via une zone d\u00e9militaris\u00e9e (DMZ niveau 3.5). Aucun acc\u00e8s direct de l\u2019IT vers l\u2019OT. Siemens a mis en \u0153uvre cela pour tous ses sites allemands et recommande comme standard minimal : pare-feu distincts entre IT et OT, aucun domaine Active Directory partag\u00e9, r\u00e9seaux de gestion d\u00e9di\u00e9s pour les syst\u00e8mes SCADA.<\/p>\n Oui, pour les VPN site-\u00e0-site classiques, car ils ins\u00e8rent l\u2019utilisateur dans un segment r\u00e9seau disposant d\u2019un acc\u00e8s complet. La solution : Zero Trust Network Access (ZTNA) au lieu du VPN. Le ZTNA accorde l\u2019acc\u00e8s \u00e0 des applications sp\u00e9cifiques plut\u00f4t qu\u2019\u00e0 l\u2019ensemble du r\u00e9seau. L\u2019employ\u00e9 en t\u00e9l\u00e9travail acc\u00e8de \u00e0 son syst\u00e8me ERP, mais pas au serveur de sauvegarde voisin. Zscaler, Cloudflare Access et Palo Alto Prisma Access proposent cela en tant que service cloud.<\/p>\n Source de l’image : Pexels<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"Une imprimante compromise dans le service comptabilit\u00e9. Cela semble anodin, jusqu\u2019\u00e0 ce que l\u2019attaquant passe par le r\u00e9seau plat vers le contr\u00f4leur de domaine, puis atteigne la supervision de production, et chiffre l\u2019ensemble de la cha\u00eene de fabrication trois jours plus tard. La segmentation du r\u00e9seau emp\u00eache pr\u00e9cis\u00e9ment ce sc\u00e9nario. Pourtant, […]","protected":false},"author":55,"featured_media":5359,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"zero trust","_yoast_wpseo_title":"Segmenter le r\u00e9seau selon le principe Zero Trust : pourquoi les r\u00e9seaux plats co","_yoast_wpseo_metadesc":"Zero Trust : \u00e9liminez les risques des r\u00e9seaux plats. Prot\u00e9gez vos donn\u00e9es critiques d\u00e8s maintenant. D\u00e9couvrez comment segmenter votre r\u00e9seau efficacement.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-5360"],"footnotes":""},"categories":[252],"tags":[],"class_list":["post-7079","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites"],"evm_reading_time_minutes":7,"wpml_language":"fr","wpml_translation_of":5360,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7079","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=7079"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7079\/revisions"}],"predecessor-version":[{"id":9950,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7079\/revisions\/9950"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/5359"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=7079"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=7079"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=7079"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}L’essentiel<\/h2>\n
\n
Pourquoi les r\u00e9seaux plats constituent le plus grand risque de s\u00e9curit\u00e9<\/h2>\n
\n
Segmenter le r\u00e9seau selon le principe Zero Trust en trois \u00e9tapes<\/h2>\n
Le contre-argument : la segmentation ralentit l\u2019agilit\u00e9<\/h2>\n
Conclusion : la segmentation, l\u2019investissement de s\u00e9curit\u00e9 le plus rentable<\/h2>\n
Questions fr\u00e9quentes<\/h2>\n
Nous avons 200 employ\u00e9s et un r\u00e9seau plat. Par o\u00f9 commencer ?<\/h3>\n
La micro-segmentation fonctionne-t-elle dans des environnements virtualis\u00e9s ?<\/h3>\n
Quel est le co\u00fbt de la micro-segmentation pour une entreprise avec 500 points d\u2019acc\u00e8s ?<\/h3>\n
Nous avons un environnement OT (production). Les r\u00e8gles sont-elles diff\u00e9rentes ?<\/h3>\n
La segmentation perturbe-t-elle l\u2019acc\u00e8s VPN de nos employ\u00e9s distants ?<\/h3>\n
Lectures compl\u00e9mentaires sur le r\u00e9seau<\/h2>\n
\n
Plus d\u2019informations depuis le r\u00e9seau MBF Media<\/h2>\n
\n