Qu'est-ce que la segmentation du réseau ? La segmentation du réseau est la division d’un réseau en plusieurs sous-réseaux, chacun doté de politiques et de protocoles de sécurité spécifiques au sous-réseau, dans le but d’empêcher les déplacements latéraux. C’est l’un des moyens les plus utilisés pour réduire la surface d’attaque d’un réseau afin de lutter contre les cyberattaques.

Microsegmentation contre segmentation du réseau

Avant de poursuivre, faisons la différence entre la segmentation du réseau et la microsegmentation.

La segmentation du réseau est utilisée de préférence pour le trafic nord-sud (entrant/sortant), tandis que la microsegmentation ajoute une couche de protection pour le trafic est-ouest (au sein du réseau) : serveur à serveur, application à serveur, web à serveur, etc. Une analogie courante compare la segmentation du réseau aux murs extérieurs et aux douves d’un château, tandis que la microsegmentation serait les gardes qui se tiennent à chacune des portes intérieures du château.

Pourquoi utiliser la segmentation de réseau ?

La segmentation est un mode de défense proactif, apportant des avantages essentiels par rapport à une sécurité réactive.

Dans le cas d’une sécurité réactive, les équipes enquêtent d’abord sur une faille, puis s'occupent de limiter les dommages. Cette méthode est fastidieuse et coûteuse, et elle peut vous exposer à des pertes de données, des problèmes de conformité et des atteintes à votre image publique.

Il est impossible de l’ignorer : les entreprises du monde entier subissent toujours des violations de leurs données. Selon Risk Based Security, 4 145 failles divulguées publiquement ont exposé plus de 22 milliards d’enregistrements pour la seule année 2021.

Cela indique clairement qu’au lieu de réagir après une attaque, il est préférable de se concentrer sur la prévention, en traitant les risques et les vulnérabilités potentiels avant qu’ils ne puissent être exploités. La segmentation du réseau est l’un des moyens les plus répandus d’y parvenir aujourd’hui.

Types de segmentation de réseau

Traditionnellement, il existe deux types de base de segmentation du réseau :

• La segmentation physique utilise des pare-feu, des câblages, des commutateurs et des connexions Internet discrets pour séparer les différentes parties d’un réseau. Il s’agit du type le plus coûteux et le moins évolutif.
• La segmentation virtuelle, également appelée segmentation logique, segmente généralement les flux de trafic réseau à l’aide de réseaux locaux virtuels (VLAN), qui peuvent être protégés par le même pare-feu.

Cas d’utilisation de la segmentation du réseau

Alors, à quoi sert concrètement la segmentation du réseau ? En quelques mots, elle est conçue pour vous aider à :

• Arrêter le déplacement latéral des menaces externes : la segmentation de certaines parties de votre réseau à l’intérieur du périmètre signifie que même si votre périmètre est violé, toutes vos données ne sont pas immédiatement menacées.
• Stopper le déplacement latéral des menaces internes : la segmentation des données internes en fonction du besoin d’accès (par exemple par département) réduit le risque de menaces internes en rendant, par exemple, les données financières inaccessibles aux RH.
• Séparer les réseaux internes et invités : en maintenant les invités dans un segment invité, séparé du reste de votre réseau, vous pouvez continuer à leur fournir une connectivité adéquate sans mettre en danger vos appareils et données internes.
• Protéger les données réglementées et rester conforme : en stockant les données sensibles, telles que les informations relatives aux cartes de paiement, dans un segment à accès strictement limité, vous les protégerez mieux contre la compromission et vous pourrez vous conformer aux réglementations en matière de protection des données.

Avantages de la segmentation du réseau

Quel que soit le schéma retenu par une entreprise, un réseau segmenté présente des avantages évidents par rapport à un réseau plat, sans hiérarchie ni sous-réseaux. Ces avantages sont notamment :

• Une cybersécurité plus robuste pour les données sensibles : cet avantage englobe la prévention des failles (mouvement nord-sud), un contrôle plus strict des accès et des contrôles de sécurité spécifiques à chaque segment.
• Moins de difficultés à répondre aux exigences de conformité réglementaire : limiter les personnes qui peuvent accéder à certaines données et où elles circulent simplifie l’attestation de conformité et les audits pour les réglementations sectorielles et gouvernementales telles que PCI DSS et RGPD.
• Une analyse des risques et un contrôle des dommages plus simples : lorsque les cybercriminels ne peuvent pas se déplacer librement sur l’ensemble de votre réseau, il devient plus simple de repérer leurs techniques et d’identifier les faiblesses de votre posture de sécurité.
• Des terminaux et utilisateurs plus sécurisés : les utilisateurs finaux, tout autant que les appareils, sont plus en sécurité sur un réseau segmenté où les menaces ne peuvent pas facilement se propager aux terminaux, et les segments eux-mêmes sont plus en sécurité contre les menaces qui proviennent des terminaux.
• Une réduction de la congestion du réseau : une activité dans un segment n’entraînera pas la congestion d’une autre partie du réseau. Par exemple, dans un commerce, les clients utilisant le Wi-Fi pour invités ne ralentiront pas les transactions par carte de crédit.

Bonnes pratiques de la segmentation du réseau

Afin de vous aider à apprendre la meilleure méthode pour mettre en œuvre et maintenir un modèle de segmentation du réseau efficace, nous vous proposons cinq bonnes pratiques de segmentation du réseau :

1. Ne pas sur-segmenter

De nombreuses entreprises segmentent exagérément leurs réseaux lorsqu’elles débutent. Cela peut diminuer la visibilité globale sur votre réseau et rendre la gestion encore plus difficile qu’avant que vous ne commenciez à segmenter. Cependant, il est également important de ne pas sous-segmenter votre réseau, car cela contribue à élargir votre surface d’attaque et nuit à votre posture de sécurité.

2. Procéder à des audits réguliers

La segmentation du réseau constitue un excellent moyen d’améliorer la sécurité de votre réseau, mais elle n’est efficace que si vous vérifiez continuellement que les vulnérabilités sont corrigées, que les autorisations sont strictes et que les mises à jour sont installées. Par-dessus tout, l’audit de vos segments permet de garantir l’absence de failles exploitables dans la couverture et d’atténuer tout risque réseau, ce qui vous donne une longueur d’avance sur les acteurs malveillants.

3. Adopter le principe du moindre privilège

L’accès sur la base du moindre privilège peut conditionner la gestion des accès en général, et il n’est pas moins crucial lorsqu’il s’agit de la segmentation du réseau. En appliquant le principe du moindre privilège à tous vos segments de réseau, vous garantissez à vos utilisateurs, aux administrateurs de réseau et à l’équipe de sécurité que l’accès n’est accordé que si nécessaire. C’est pourquoi l’accès sur la base du moindre privilège est fondamental pour l’accès réseau Zero Trust.

4. Limiter l’accès des tiers

Accorder l’accès à des utilisateurs tiers représente déjà un risque élevé. Il est donc important de n’accorder cet accès que lorsqu’il est nécessaire, surtout si vous l’accordez sur divers segments du réseau. La segmentation réduit le risque global auquel est exposé votre réseau, mais cela ne signifie pas que vous devez commencer à accorder des autorisations à des tiers sans tenir compte de la manière dont cela pourrait affecter la sécurité de votre réseau.

5. Automatiser autant que possible

La segmentation de votre réseau procure à votre entreprise de nombreuses possibilités d’automatisation. Outre les avantages acquis de l’automatisation en général, tels qu’une meilleure visibilité, un MTTR réduit et une plus haute sécurité, l’automatisation de la segmentation du réseau vous permet d’identifier et de classer rapidement les nouvelles ressources et données, ce qui constitue en soi une autre bonne pratique de segmentation.

Inconvénients de la segmentation du réseau

Nous ne pouvons pas ignorer le fait que dans les architectures de réseau complexes modernes, distribuées sur plusieurs clouds et data centers, les anciens modèles de pare-feu et de VLAN de segmentation présentent quelques lacunes majeures.

Les pare-feu traditionnels souffrent d’un défaut majeur qui s’oppose directement à la segmentation : ils créent des réseaux plats qui permettent des déplacements latéraux aisés. Essayer de compenser ces risques est tellement contraignant et complexe sur le plan opérationnel que cela en devient quasiment impossible. Même les pare-feu de nouvelle génération, avec toutes leurs capacités complémentaires, placent toujours les utilisateurs sur votre réseau pour accéder aux applications. Les VLAN présentent la même faiblesse.

Une approche traditionnelle vous expose à :

• Une confiance excessive : comme la segmentation traditionnelle basée sur les pare-feu est conçue pour empêcher les attaques de l’extérieur, elle peut vous laisser vulnérable aux menaces internes.
• Des erreurs de configuration : les VLAN se prêtent facilement à des erreurs de configuration dans les architectures actuelles, surtout si vous utilisez des fournisseurs de cloud tiers et que vous ne pouvez pas modifier l’infrastructure vous-même.
• Une gestion exigeante : chaque nouvelle application, chaque nouvel appareil ou chaque changement implique la mise à jour des règles de pare-feu, et même les activités banales comme l’analyse de la vulnérabilité nécessitent davantage de ressources.
• Des contrôles complexes : les méthodes traditionnelles souffrent d’un manque de contrôles précis, ce qui complique l’élaboration d’une politique de segmentation pour les télétravailleurs, les partenaires, les clients, etc.
• Des problèmes d’évolutivité : pour faire face à la croissance du réseau, vous devez créer des segments plus petits ou mettre à niveau les segments existants, ce qui entraîne des coûts d’évolution et de maintenance plus élevés.
• De piètres performances : l’ajout de périphériques réseau supplémentaires (par exemple, des pare-feu, des routeurs) aura un effet négatif cumulatif sur les performances globales de votre réseau.

ZTNA : une meilleure façon de procéder à la segmentation

Vos opérations reposant de plus en plus sur l’évolutivité, la flexibilité et la portée du cloud, de nombreuses stratégies de sécurité réseau pures (comme la segmentation traditionnelle) ne sont plus applicables. Au lieu de cela, vous avez besoin d’un modèle qui élimine votre réseau interne, avec tous ses risques et ses complexités, de l’équation.

De nouvelles approches ont vu le jour, ancrées dans l’accès réseau Zero Trust (ZTNA), un cadre basé sur le concept qu’aucun utilisateur ou appareil n’est intrinsèquement fiable. Au lieu de cela, les politiques d’accès sont fondées sur le principe du moindre privilège, sur la base de l’identité et du contexte, tels que l’appareil, l’emplacement, l’application et le contenu.

ZTNA connecte les utilisateurs directement aux applications sur une base individuelle, jamais au réseau, éliminant ainsi les déplacements latéraux. Cela vous permet de réaliser la segmentation d’une manière fondamentalement différente et plus efficace, ce qui est impossible avec les VPN et pare-feu traditionnels.

Avantages de ZTNA par rapport à la segmentation traditionnelle

Comparé à la segmentation traditionnelle, ZTNA :

• Fournit un accès précis, adaptatif, tenant compte de l’identité sans accès au réseau. Il supprime la confiance implicite, la remplaçant par une confiance explicite basée sur l’identité.
• Ne nécessite aucune connexion réseau, de sorte que vos applications internes (adresses IP) ne sont jamais exposées à Internet, ce qui réduit votre surface d’attaque et les risques.
• Assure une segmentation au niveau de l’utilisateur et de l’application grâce à des politiques d’accès granulaires appliquées dans le cloud, sans que vous ayez à configurer des politiques d’accès et des règles de pare-feu.
• Améliore la flexibilité, l’agilité et l’évolutivité tout en réduisant le besoin de pare-feu internes. ZTNA peut être fourni sous forme de service cloud ou de logiciel géré sur site.
• Permet un accès sécurisé aux applications pour les appareils non gérés et les partenaires externes tout en maintenant les utilisateurs en dehors du réseau, ce qui minimise le risque de prolifération des programmes malveillants.

Zscaler et la segmentation du réseau

Zscaler Private Access™ est la plateforme ZTNA la plus déployée au monde. Appliquant les principes du moindre privilège, elle offre à vos utilisateurs une connectivité directe et sécurisée à vos applications privées sans pour autant les placer sur votre réseau.

Que vous soyez en phase de planification ou que vous exécutiez un modèle de segmentation traditionnel vieillissant, nous pouvons vous aider à réaliser une segmentation aboutie avec ZTNA. Voici par où commencer :

1. Remplacez vos VPN et vos pare-feu par Zscaler Private Access pour réduire votre surface d’attaque et éliminer les déplacements latéraux avec la segmentation utilisateur vers application.
2. Mettez en œuvre la segmentation application vers application pour amener ZTNA à vos charges de travail et applications cloud dans des environnements hybrides et multiclouds (entre les clouds).
3. Enfin, mettez en œuvre la microsegmentation processus vers processus/basée sur l’identité pour la communication au sein d’un cloud (est-ouest).