Zpedia 

/ Qu'est-ce que la segmentation du réseau ?

Qu'est-ce que la segmentation du réseau ?

La segmentation du réseau consiste à le diviser en sous-réseaux, chacun d’entre eux étant doté de politiques et de protocoles de sécurité qui lui sont propres, dans le but d’empêcher les déplacements latéraux. Il s’agit d’un des moyens les plus utilisés pour réduire la surface d’attaque d’un réseau afin de lutter contre les cyberattaques.

Microsegmentation contre segmentation du réseau

Avant de poursuivre, faisons la différence entre la segmentation de réseau et la microsegmentation.

La segmentation du réseau convient mieux au trafic nord-sud (entrant/sortant), tandis que la microsegmentation ajoute une couche de protection pour le trafic est-ouest (au sein du réseau) : de serveur à serveur, d’application à serveur, de Web à serveur, etc. Une analogie courante compare la segmentation du réseau aux murs extérieurs et aux douves d’un château, tandis que la microsegmentation serait les gardes qui se tiennent à chacune des portes intérieures du château.

Pourquoi utiliser la segmentation de réseau ?

La segmentation du réseau est une défense proactive et non réactive, qui offre divers avantages clés. La défense réactive, qui consiste à mener une enquête et à limiter les dégâts uniquement après une violation, est généralement coûteuse et peut néanmoins impliquer la perte de données, des problèmes de conformité et une atteinte à la réputation de l’entreprise.

La défense proactive, c’est-à-dire la prévention, cherche à répondre aux risques et vulnérabilités potentiels avant qu’ils ne puissent être exploités. La segmentation du réseau est l’un des moyens les plus courants d’y recourir actuellement.

Types de segmentation de réseau

Traditionnellement, il existe deux types fondamentaux de segmentation du réseau :

  • La segmentation physique utilise des pare-feu, des câbles, des commutateurs et des connexions Internet distincts pour séparer les parties d’un réseau informatique. Il s’agit du type le plus coûteux et le moins évolutif.
  • La segmentation virtuelle, également appelée segmentation logique, segmente généralement les flux de trafic réseau à l’aide de réseaux locaux virtuels (VLAN), qui peuvent être protégés par le même pare-feu.

Cas d’utilisation de la segmentation du réseau

Alors, à quoi sert réellement la segmentation du réseau ? En bref, elle est conçue pour vous aider à :

  • Arrêter le déplacement latéral des menaces externes : dans un réseau segmenté, une violation de données dans un segment ne constitue pas une menace immédiate pour les données d’un autre segment.
  • Arrêter le déplacement latéral des menaces internes : la segmentation de l’accès en fonction des besoins de l’entreprise (par exemple, rendre les données financières inaccessibles aux RH) réduit le risque d’attaques internes.
  • Séparer les réseaux internes et les réseaux d’invités : en maintenant les invités dans un segment distinct, vous leur permettez de se connecter sans mettre en danger vos appareils ni vos données internes.
  • Protéger les données réglementées et demeurer en conformité : le stockage des données sensibles dans un segment dont l’accès est restreint les protégera mieux et vous aidera à vous conformer aux réglementations en matière de données.

 

Avantages de la segmentation du réseau

Quel que soit le schéma retenu par une entreprise, un réseau segmenté présente des avantages évidents par rapport à un réseau plat, sans hiérarchie ni sous-réseaux. Citons les avantages suivants :

  • Cybersécurité renforcée pour les données sensibles : cet avantage englobe la prévention des violations (mouvement nord-sud), un contrôle d’accès plus strict et des contrôles de sécurité spécifiques à chaque segment.
  • Conformité réglementaire facilitée : en limitant l’accès à certaines données et en contrôlant leur flux, vous pouvez simplifier la conformité et les audits dans le cadre de réglementations telles que la PCI DSS et le RGPD.
  • Analyse des risques et contrôle des dommages simplifiés : lorsque les cybercriminels ne peuvent pas se déplacer librement sur l’ensemble de votre réseau, il devient plus simple de repérer leurs techniques et d’identifier les faiblesses de votre posture de sécurité.
  • Terminaux et utilisateurs mieux sécurisés : cela va dans les deux sens : les utilisateurs finaux et les terminaux sont plus en sécurité lorsque les menaces ne peuvent pas facilement se propager à travers les segments, et les segments eux-mêmes sont plus à l’abri des menaces qui commencent sur les terminaux.
  • Réduction de la congestion du réseau : une activité dans un segment n’entraînera pas la congestion d’une autre partie du réseau. Par exemple, l’utilisation du Wi-Fi par les clients ne ralentira pas les transactions par carte de crédit.

Bonnes pratiques de la segmentation du réseau

Voici cinq bonnes pratiques à respecter pour mettre en œuvre et maintenir une segmentation de réseau efficace :

1. Ne pas sur-segmenter

Une segmentation excessive peut réduire la visibilité globale sur votre réseau et entraver sa gestion. Toutefois, une segmentation insuffisante élargit votre surface d’attaque et nuit à votre posture de sécurité.

2. Effectuer des audits réguliers

La segmentation du réseau n’améliorera la sécurité de votre réseau que si vous effectuez un audit continu sur les vulnérabilités, les autorisations strictes et les mises à jour de vos segments. Si vous savez que votre couverture ne souffre d’aucune faille exploitable, vous aurez une longueur d’avance sur les hackers.

3. Suivre le principe du moindre privilège

En appliquant le principe du moindre privilège à tous vos segments, vous garantissez à vos utilisateurs, aux administrateurs de réseau et à l’équipe de sécurité que l’accès n’est accordé que si nécessaire. L’accès sur la base du moindre privilège est fondamental pour un accès réseau Zero Trust.

4. Limiter l’accès des tiers

Accorder l’accès à des tiers est risqué en soi ; il est donc important d’y consentir que lorsque c’est nécessaire, surtout si vous accordez l’accès à plusieurs segments. Il est essentiel d’examiner attentivement les nouvelles autorisations pour maintenir une sécurité réseau solide.

5. Automatiser là où vous le pouvez

Outre les avantages de l’automatisation en général (tels que l’amélioration de la visibilité, de la sécurité et du MTTR), l’automatisation de la segmentation du réseau vous permet d’identifier et de classer rapidement les nouvelles ressources et données, ce qui constitue en soi une autre bonne pratique de segmentation.

 

Inconvénients de la segmentation du réseau

Dans les architectures réseau complexes modernes, réparties sur plusieurs environnements cloud et data centers, les anciens modèles de segmentation (basés sur les pare-feu, les VLAN et les périmètres de réseau) présentent quelques lacunes majeures.

Les pare-feu traditionnels souffrent d’un défaut majeur qui s’oppose directement à la segmentation : ils créent des réseaux plats qui facilitent les déplacements latéraux. Essayer de compenser ces risques est incroyablement contraignant et complexe d’un point de vue opérationnel. Même les pare-feu de nouvelle génération placent toujours les utilisateurs sur votre réseau pour accéder aux applications, et les VLAN présentent la même faiblesse.

Une approche traditionnelle vous expose aux problèmes suivants :

  • Confiance excessive : la segmentation traditionnelle basée sur un pare-feu étant conçue pour empêcher les attaques extérieures, elle peut vous rendre vulnérable aux menaces internes.
  • Erreurs de configuration : les VLAN se prêtent facilement à des erreurs de configuration dans les architectures actuelles, surtout si vous faites appel à des fournisseurs de cloud tiers et que vous ne pouvez pas modifier l’infrastructure vous-même.
  • Gestion exigeante : chaque nouvelle application, chaque nouvel appareil ou chaque changement implique la mise à jour des règles de pare-feu, et même les activités banales comme l’analyse des vulnérabilités exigent davantage de ressources.
  • Contrôles complexes : les méthodes traditionnelles souffrent d’un manque de contrôles granulaires, ce qui complique l’élaboration d’une politique de segmentation pour les télétravailleurs, les partenaires, les clients, etc.
  • Problèmes d’évolutivité : pour gérer la croissance du réseau, vous devez créer des segments plus petits ou mettre à niveau ceux existants, ce qui entraîne des coûts de mise à l’échelle et de maintenance plus élevés.
  • Piètres performances : l’ajout de périphériques réseau supplémentaires (par exemple, des pare-feu, des routeurs) aura un effet négatif cumulatif sur les performances globales de votre réseau.

Image

ZTNA : une meilleure façon de procéder à la segmentation

Comme vous dépendez de plus en plus de l’évolutivité, de la flexibilité et de la portée du cloud, de nombreuses stratégies de sécurité réseau pures (comme la segmentation traditionnelle) ne sont plus applicables. Vous avez plutôt besoin d’un modèle qui élimine votre réseau interne de l’équation, avec tous ses risques et ses complexités.

L’accès réseau Zero Trust (ZTNA) est un cadre basé sur le principe qu’aucun utilisateur ou appareil n’est intrinsèquement digne de confiance. Au lieu de cela, les politiques d’accès sont fondées sur le principe du moindre privilège, sur la base de l’identité et du contexte, tels que l’appareil, l’emplacement, l’application et le contenu.

ZTNA connecte les utilisateurs directement aux applications sur une base individuelle, jamais au réseau, éliminant ainsi les déplacements latéraux. Cela vous permet de réaliser la segmentation d’une manière fondamentalement différente et plus efficace, ce qui est impossible avec les VPN et pare-feu traditionnels.

Pour en savoir davantage sur l’état du marché ZTNA, les recommandations et les tendances, consultez le Guide du marché Gartner® pour le Zero Trust Network Access.

Avantages de ZTNA sur la segmentation traditionnelle

Par rapport à la segmentation traditionnelle, le ZTNA offre les avantages suivants :

  • Fournit un accès précis, adaptatif et prenant en compte l’identité, sans accès au réseau. Le ZTNA supprime la confiance implicite et la remplace par une confiance explicite basée sur l’identité.
  • Ne nécessite aucune connexion réseau, de sorte que vos applications internes (et adresses IP) ne sont jamais exposées à Internet, réduisant ainsi votre surface d’attaque et les risques.
  • Assure une segmentation au niveau de l’utilisateur et de l’application via des politiques d’accès granulaires appliquées dans le cloud, sans que vous ayez à configurer des politiques d’accès et des règles de pare-feu.
  • Améliore la flexibilité, l’agilité et l’évolutivité tout en réduisant le besoin de pare-feu internes. ZTNA peut être fourni sous forme de service cloud ou de logiciel géré sur site.
  • Permet un accès sécurisé aux applications pour les appareils non gérés et les partenaires externes tout en maintenant les utilisateurs en dehors du réseau, ce qui minimise le risque de prolifération des malwares.

Image

Zscaler et la segmentation du réseau

Zscaler Private Access™ est la plateforme ZTNA la plus déployée au monde. En appliquant les principes du moindre privilège, elle offre à vos utilisateurs une connectivité directe et sécurisée à vos applications privées sans les placer sur votre réseau.

Que vous soyez en phase de planification ou que vous utilisiez un modèle de segmentation traditionnel vieillissant, nous pouvons vous aider à réaliser une segmentation aboutie avec ZTNA. Voici comment commencer :

  1. Remplacez vos VPN et pare-feu par Zscaler Private Access pour réduire votre surface d’attaque et éliminer les déplacements latéraux grâce à la segmentation utilisateur - application.
  2. Mettez en œuvre la segmentation d’application à application pour intégrer ZTNA à vos charges de travail et applications cloud dans des environnements hybrides et multicloud.
  3. Enfin, mettez en œuvre la microsegmentation de processus à processus/basée sur l’identité pour la communication au sein d’un cloud.
promotional background

Fournissez un accès granulaire et segmenté aux applications et charges de travail distribuées avec Zscaler Private Access.

Ressources suggérées

Guide du marché Gartner pour le Zero Trust Network Access
Lire le guide
Qu’est-ce que Zero Trust Network Access ?
Lire l'article
Guide de l’architecte réseau pour l’adoption d’un service ZTNA
Lire le livre blanc
Bénéficiez de la puissance du ZTNA sur site
En savoir plus
01 / 02
Foire aux questions