- La segmentation réseau divise un grand réseau en segments plus petits et isolés pour améliorer la sécurité et réduire la surface d'attaque.
- Elle améliore les performances en limitant le trafic de diffusion et en permettant des politiques de sécurité adaptées à chaque segment.
- Une mise en œuvre correcte peut aider à la conformité réglementaire et améliorer les temps de réponse aux incidents lors de failles de sécurité.
Les entreprises sont confrontées à des menaces de cybersécurité croissantes qui peuvent compromettre des données sensibles et perturber les opérations dans ce monde de plus en plus interconnecté. Une stratégie efficace pour atténuer ces risques est la segmentation réseau, qui consiste à diviser un grand réseau en parties plus petites et gérables.
Cette approche améliore non seulement la sécurité, mais aussi les performances du réseau en isolant les problèmes et en contrôlant le flux de données. Alors que les organisations cherchent des solutions robustes pour protéger leurs actifs numériques, comprendre les principes et les avantages de la segmentation réseau devient essentiel.
Définition de la segmentation réseau
La segmentation réseau est une approche architecturale qui divise un réseau en plusieurs segments ou sous-réseaux, chacun agissant comme son propre petit réseau. Cela permet aux administrateurs réseau de contrôler le flux du trafic réseau entre les sous-réseaux en fonction de politiques granulaires. Les organisations utilisent la segmentation pour améliorer la surveillance, augmenter les performances, localiser les problèmes techniques et renforcer la sécurité.
Lire aussi: Faits clés sur une NIC (carte d'interface réseau)
Lire aussi: Réseau DMZ: Définition, principes de fonctionnement et avantages
L'hypothèse de confiance
Par le passé, les architectes réseau concentraient leurs stratégies de sécurité sur le périmètre du réseau interne, la ligne invisible qui sépare le monde extérieur des données vitales pour l'activité d'une entreprise. Les individus à l'intérieur du périmètre étaient présumés dignes de confiance et donc non menaçants. Ainsi, ils étaient soumis à peu de restrictions quant à leur capacité d'accéder aux informations.
Cependant, les infrastructures de sécurité héritées sont généralement des architectures réseau plates qui s'appuient sur un pare-feu périmétrique comme seul point d'inspection et de contrôle du trafic. Étant donné que les frontières du réseau n'existent plus comme autrefois et que la plupart du trafic des centres de données est est-ouest, les pare-feu traditionnels basés sur les ports offrent une valeur limitée dans un monde cloud et mobile.
Des violations très médiatisées récentes ont remis en question l'hypothèse de confiance. D'une part, les initiés peuvent effectivement être à l'origine de violations, souvent par inadvertance mais parfois délibérément. De plus, lorsque des menaces pénètrent le périmètre, elles sont libres de se déplacer latéralement dans le réseau pour accéder à pratiquement toutes les données, applications, actifs ou services (DAAS). Avec un accès pratiquement sans entrave, les attaquants peuvent facilement exfiltrer une large gamme d'actifs précieux, souvent avant même que la violation n'ait été détectée.
La réponse Zero Trust
En raison des faiblesses inhérentes de la confiance présumée, de nombreuses organisations ont commencé à adopter la stratégie Zero Trust. Zero Trust suppose que personne n'est digne de confiance par défaut, même ceux déjà à l'intérieur du périmètre réseau. Zero Trust fonctionne sur le principe d'une « surface de protection » construite autour des DAAS les plus critiques et précieux de l'organisation. Parce qu'elle contient uniquement ce qui est le plus critique pour les opérations commerciales, la surface de protection est de plusieurs ordres de grandeur plus petite que la surface d'attaque du périmètre réseau complet.
C'est là que la segmentation réseau intervient. Grâce à la segmentation, les architectes réseau peuvent construire un micropérimètre autour de la surface de protection, formant essentiellement une deuxième ligne de défense. Dans certains cas, les pare-feu virtuels peuvent automatiser l'approvisionnement de sécurité pour simplifier les tâches de segmentation. Quelle que soit la méthode, les utilisateurs autorisés peuvent accéder aux actifs dans la surface de protection tandis que tous les autres sont bloqués par défaut.
La segmentation est une mauvaise nouvelle pour les attaquants car, contrairement à l'époque de la confiance présumée, pénétrer simplement le périmètre ne suffit pas pour accéder aux informations sensibles. Les micropérimètres, qu'ils soient physiques ou virtuels, empêchent les menaces de se déplacer latéralement dans le réseau, annulant ainsi une grande partie du travail qui a conduit à la violation initiale.
Cas d'utilisation
Les organisations peuvent utiliser la segmentation réseau pour diverses applications.
Réseau sans fil invité: Grâce à la segmentation réseau, une entreprise peut offrir un service Wi-Fi aux visiteurs et aux sous-traitants avec relativement peu de risques. Lorsque quelqu'un se connecte avec des identifiants invité, il entre dans un microsegment qui fournit un accès à Internet et rien d'autre.
Accès par groupe d'utilisateurs: Pour se prémunir contre les violations internes, de nombreuses entreprises segmentent les départements internes en sous-réseaux distincts comprenant les membres autorisés du groupe et les DAAS dont ils ont besoin pour faire leur travail. L'accès entre les sous-réseaux est rigoureusement contrôlé. Par exemple, une personne du service d'ingénierie tentant d'accéder au sous-réseau des ressources humaines déclencherait une alerte et une enquête.
Sécurité du cloud public: Les fournisseurs de services cloud sont généralement responsables de la sécurité de l'infrastructure cloud, mais le client est responsable de la sécurité des systèmes d'exploitation, des plateformes, du contrôle d'accès, des données, de la propriété intellectuelle, du code source et du contenu destiné aux clients qui reposent généralement sur l'infrastructure. La segmentation est une méthode efficace pour isoler les applications dans les environnements de cloud public et hybride.
Conformité PCI DSS: Les administrateurs réseau peuvent utiliser la segmentation pour isoler toutes les informations de carte de crédit dans une zone de sécurité – essentiellement une surface de protection – et créer des règles pour autoriser uniquement le trafic légitime minimum absolu dans la zone tout en refusant automatiquement tout le reste. Ces zones isolées sont souvent des SDN virtualisés dans lesquels la conformité PCI DSS et la segmentation peuvent être réalisées via des pare-feu virtuels.

