Segmentation réseau & Zero Trust Mis à jour : Juin 2026

Un réseau plat (flat network) : tous les appareils dans le même segment, sans séparation. Conséquence : si un attaquant compromet un poste de travail, il peut atteindre directement les serveurs, les contrôleurs de domaine, les systèmes OT/SCADA. Le mouvement latéral (East-West) est trivial. La segmentation crée des barrières qui limitent la propagation.

VLAN (Virtual LAN) = segmentation logique du réseau sur un switch manageable. Architecture recommandée PME : VLAN Serveurs (10.10.x.x), VLAN Postes (10.20.x.x), VLAN DMZ/Internet (10.30.x.x), VLAN Management (10.40.x.x), VLAN IoT (10.50.x.x), VLAN Invités (10.60.x.x — Internet uniquement). Le firewall interne contrôle les flux inter-VLAN.

La microsegmentation va plus loin que les VLANs : règles par application, par workload, voire par utilisateur. Outils : VMware NSX (pour virtualisé), Illumio, Akamai Guardicore. Pour les PME : commencer par les VLANs + règles firewall strictes entre VLANs. Règle d'or : tout ce qui n'est pas explicitement autorisé est interdit (whitelist, pas blacklist).

Zero Trust n'est pas un produit — c'est une philosophie. Principes : (1) Ne jamais faire confiance implicitement (même aux utilisateurs internes), (2) Toujours vérifier l'identité et le contexte (qui, quel appareil, depuis où, vers quoi), (3) Accès au moindre privilège (JIT — Just in Time access), (4) Supposer la compromission (conception défensive). Microsoft, Google, Cloudflare ont tous migré vers Zero Trust.

VPN traditionnel : tunnel réseau complet, accès à tout le réseau interne, difficile à segmenter, risque élevé si l'appareil est compromis. ZTNA (Zero Trust Network Access) : accès par application, vérification continue du contexte (appareil sain ? MFA ?), invisible pour l'utilisateur, plus simple à gérer. Solutions ZTNA PME : Cloudflare Access (gratuit jusqu'à 50 utilisateurs), Tailscale, Zscaler Private Access.

Le trafic North-South (Internet ↔ réseau interne) est généralement surveillé. Le trafic East-West (entre serveurs internes) l'est rarement — et c'est là que les attaquants se déplacent. Pour surveiller l'East-West : activer les logs de pare-feu interne, déployer un IDS/IPS interne (Suricata, Snort), analyser les connexions inhabituelles entre VLANs.

pfSense/OPNSense : firewall open source, gratuit, très puissant, nécessite compétences Linux. Idéal pour PME avec IT interne. Cisco Meraki MX : solution cloud-managed, intuitive, coûteuse mais simple. Fortinet FortiGate : leader PME, excellent rapport fonctionnalités/prix, SD-WAN inclus. Ubiquiti UniFi : économique pour les petites structures, limitations en enterprise.