SE-F07·Intermédiaire·15 min

Securite reseau : segmentation et perimetre

Comprendre la segmentation reseau, les VLANs, le Zero Trust et les principes de securite perimetre pour les PME.

👤 IT Admin · CISO
Objectifs d'apprentissage
  • Expliquer le concept de segmentation reseau et ses benefices
  • Comprendre le modele Zero Trust et pourquoi il remplace le perimetre traditionnel
  • Identifier les configurations reseau minimales pour une PME

La segmentation reseau

La segmentation reseau consiste a diviser le reseau en zones isolees (segments) afin de contenir la propagation d'une attaque. Si un poste est compromis, l'attaquant ne peut pas lateralement se deplacer vers les serveurs financiers ou les systemes de controle industriel. Les VLANs (Virtual LANs) permettent cette segmentation sur des infrastructures existantes sans couts materiel importants.

🔔 À retenir : Minimum recommande pour une PME : VLAN employes, VLAN serveurs, VLAN invites (Wi-Fi public), VLAN IoT (imprimantes, cameras, etc.). Ce cloisonnement limite considerablement la surface d'attaque.

De la securite perimetre au modele Zero Trust

La securite perimetre traditionnelle ('chateau fort') suppose que tout ce qui est a l'interieur du reseau est de confiance. Cette approche est depasee : les employes se connectent depuis chez eux, les applications sont dans le cloud, les attaquants peuvent rester dormants des mois en interne. Le modele Zero Trust pose un principe radical : ne jamais faire confiance, toujours verifier — chaque acces est authentifie, autorise et journalise, quel que soit le reseau source.

⚠ Attention : Zero Trust n'est pas un produit qu'on achete, c'est un principe d'architecture. On l'implemente progressivement : MFA partout, acces au moindre privilege, microsegmentation, journalisation des acces.

Configurations reseau essentielles pour une PME

Les configurations minimales indispensables : pare-feu de nouvelle generation (NGFW) avec inspection du trafic chiffre, Wi-Fi entreprise avec authentification 802.1X, separation du Wi-Fi invites du reseau interne, VPN pour les acces distants, et desactivation des protocoles obsoletes (Telnet, FTP, SMBv1). Ces configurations eliminent la majorite des vecteurs d'attaque courants.

Checklist pratique

Votre progression est sauvegardée localement dans votre navigateur.

Points clés à retenir

  • La segmentation contient la propagation : un poste compromis ne doit pas compromettre tout le reseau
  • Zero Trust : ne jamais faire confiance, toujours verifier — meme pour les utilisateurs internes
  • Wi-Fi invite toujours isole : les appareils personnels des visiteurs ne doivent pas voir le reseau interne
  • Les protocoles obsoletes (Telnet, FTP, SMBv1) doivent etre desactives : ils sont activement exploites