Qu'est-ce que la segmentation du réseau ?

La segmentation des réseaux consiste à diviser les réseaux en sections plus petites et isolées afin de réduire les mouvements latéraux et d'améliorer les performances du réseau.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir la « segmentation du réseau »
  • Comprendre les avantages de la segmentation du réseau pour la sécurité et les performances
  • Comparer la segmentation du réseau et la microsegmentation

Copier le lien de l'article

Qu'est-ce que la segmentation du réseau ?

La segmentation du réseau consiste à diviser un réseau* en sections plus petites et isolées.Ces partitions peuvent être créées et sécurisées à l'aide de matériel physique ou de logiciels, chacun d'entre eux posant ses propres problèmes de mise en œuvre.

En cloisonnant les différents segments d'un réseau, les entreprises peuvent plus facilement empêcher les mouvements latéraux, exercer un contrôle granulaire sur le trafic réseau et améliorer les performances du réseau. Ils peuvent même définir des politiques pour des charges de travail et des applications individuelles, une technique connue sous le nom de microsegmentation.

*Un réseau est un groupe d'ordinateurs connectés les uns aux autres.

Comment fonctionne la segmentation du réseau ?

La segmentation du réseau divise un réseau en plusieurs sections, auxquelles différents contrôles peuvent être appliqués. En règle générale, ce processus s'effectue selon l'une des deux méthodes suivantes : la segmentation physique et la segmentation logique.

Segmentation physique

La segmentation physique nécessite des équipements matériels tels que des routeurs, des commutateurs et des pare-feu pour séparer un réseau en sections distinctes.Ces appareils contrôlent le type de trafic autorisé à entrer et à sortir de chaque section en s'appuyant sur des politiques de segmentation qui peuvent être configurées en fonction de critères spécifiques (p. ex. source du trafic, destination, etc.)

La segmentation physique (également appelée segmentation basée sur le périmètre) est souvent coûteuse et laborieuse à mettre en place et à entretenir.Elle part également du principe que la plupart des organisations conservent un périmètre réseau physique.

Avec l'avènement de l'informatique cloud, ce périmètre a presque complètement. En effet les utilisateurs peuvent accéder aux données et aux applications par Internet, plutôt que sur les réseaux internes gérés par les services informatiques. Même les organisations qui utilisent une infrastructure sur site autorisent souvent les utilisateurs à se connecter aux ressources internes à partir d'appareils et de logiciels externes.

Segmentation logique

La segmentation logique, ou segmentation virtuelle du réseau, utilise un logiciel pour diviser un réseau en sections plus petites.Ces segments peuvent être créés par le biais de sous-réseaux, de réseaux locaux virtuels (VLAN) et de plans d'adressage de réseau.

  • Avec les sous-réseaux il est possible de diviser un réseau en segments plus petits. Le trafic réseau peut ainsi parcourir une distance plus courte sans passer par des routeurs inutiles pour atteindre sa destinatio 
  • Les VLAN divisent le trafic d'un seul réseau physique en deux réseaux, sans avoir besoin de plusieurs routeurs ou connexions Internet pour acheminer le trafic réseau vers différentes destinations.
  • Les plans d'adressage de réseau créent des segments de réseau en divisant les ressources du réseau entre plusieurs sous-réseaux de la couche 3

À l'instar de la segmentation physique, la segmentation logique utilise également des politiques de segmentation pour restreindre le flux de trafic entrant et sortant de chaque segment de réseau.

La segmentation logique n'impliquant pas de configuration, maintenance ni mise à jour d'appareils matériels multiples, elle est largement considérée comme une méthode plus souple, plus évolutive et plus rentable de séparation et de sécurisation d'un réseau.

Quels sont les avantages de la segmentation du réseau ?

Lorsqu'elle est correctement mise en œuvre, la segmentation du réseau permet aux entreprises d'améliorer plus efficacement la sécurité, les performances et la conformité. Voici quelques les avantages parmi les plus significatifs :

  • Réduire les mouvements latéraux : une fois que les attaquants ont pénétré dans un réseau, ils ne peuvent pas s'y déplacer librement, puisqu'ils n'ont pénétré que dans un segment spécifique du réseau. Cela permet de limiter la surface d'attaque d'une organisation
  • Remédier aux activités malveillantes : lorsqu'une attaque ou une activité suspecte est confinée à une zone spécifique, les équipes informatiques peuvent la détecter et y remédier plus efficacement, sans incidence sur le reste du réseau.
  • Accroître les performances : grâce à la limitation de certains types de trafic à des zones spécifiques du réseau, l'encombrement global du réseau est réduit et les performances optimisées
  • Garantir la conformité : la segmentation permet d'isoler les zones du réseau qui sont soumises à des normes de conformité. Il est ainsi plus facile de les mettre à jour en fonction des besoins.

Segmentation du réseau et microsegmentation

La segmentation du réseau divise un réseau en sections plus petites, auxquelles différents contrôles et politiques de sécurité sont appliqués.

La microsegmentation est un autre type de segmentation du réseau qui permet d'appliquer des contrôles encore plus granulaires aux charges de travail individuelles. (Une charge de travail est un programme ou une application, par exemple un serveur, une machine virtuelle ou une fonction serverless, qui consomme une certaine quantité de mémoire et de ressources informatiques. Il fait partie d'un modèle de sécurité Zero Trust, dans lequel aucun utilisateur ou appareil n'est considéré comme fiable par défaut.

Pour mieux comprendre les avantages de la segmentation du réseau par rapport à la microsegmentation sur le plan de la sécurité, imaginons qu'un roi possède une grande quantité d'or et de bijoux qu'il souhaite protéger. Il a la possibilité de placer tous ses trésors dans plusieurs chambres fortes secrètes, chacune d'elles ne pouvant être déverrouillée qu'à l'aide d'une clé spécifique (segmentation du réseau). Si un voleur dérobe la clé d'une chambre forte, il pourra peut-être s'emparer du trésor qui s'y trouve, mais il ne pourra pas accéder à d'autres chambres fortes sans voler d'autres clés de ces salles. De la même manière, un attaquant qui s'introduit dans un sous-réseau peut compromettre les données qui s'y trouvent, mais ne pourra pas passer librement à un autre sous-réseau.

Par ailleurs, le roi peut ne pas se contenter de son trésor entre plusieurs chambres fortes et aller plus loin en le plaçant dans des coffres verrouillés à l'intérieur de ces chambres et en veillant à ce que chaque coffre ne puisse être déverrouillé qu'avec sa propre clé (microsegmentation). Ainsi, si un voleur s'empare de la clé d'une des chambres fortes, il ne peut pas déverrouiller les coffres individuels sans se procurer d'autres clés. De même, dans un réseau microsegmenté, même si un attaquant compromet une charge de travail, il ne sera pas forcément en mesure de compromettre (ni même d'accéder) à d'autres charges de travail.

En savoir plus sur la façon dont la microsegmentation aide les entreprises à atteindre un niveau de sécurité "Zero Trust".