Ressources > Glossaire des termes de sécurité > Qu'est-ce que la segmentation du réseau

Qu'est-ce que la segmentation du réseau ?

Qu'est-ce que la segmentation du réseau ?

Les entreprises font l'objet d'attaques constantes et, nonobstant l'énorme investissement en arsenal de cyberdéfense, elles sont toujours victimes de violations. Selon le Rapport QuickView de Risk Based Security sur les violations de données à la fin de l'année 2019, l'année dernière a été une autre « pire année jamais enregistrée » en termes de violation de données, avec 7 098 violations entraînant l'exposition de plus de 15,1 milliards de dossiers.  

De nombreuses mesures de sécurité entrent dans la catégorie « réactive », ce qui signifie que les équipes informatiques et de sécurité se mobilisent lorsqu'un appareil ou un réseau est déjà compromis et atténuent les retombées de l'attaque. Mais les mesures de sécurité réactives sont fastidieuses et coûteuses, obligeant les équipes à procéder à d'interminables contrôles de dommages. Elles peuvent également entraîner de graves conséquences, allant de la non-conformité réglementaire à la détérioration des relations publiques. 

Plutôt que de simplement réagir aux attaques, de nombreuses entreprises adoptent des schémas proactifs conçus pour empêcher les attaques, anticipant tous les risques ou vulnérabilités potentiels et les corrigeant avant qu'elles ne soient exploitées. Outre les piles de matériel de sécurité dans le data center ou le déploiement de sécurité fournie en tant que service, les entreprises emploient diverses techniques pour réduire leurs risques, l'une des méthodes largement utilisées étant la segmentation du réseau.

Comment fonctionne la segmentation du réseau ?

La segmentation du réseau est le processus consistant à diviser un réseau en plusieurs zones et à appliquer des protocoles de sécurité à chacune des zones pour gérer la sécurité et la conformité. En général, il s'agit d'isoler le trafic entre les segments du réseau à l'aide de réseaux locaux virtuels (VLAN), après quoi la sécurité est appliquée via des pare-feux pour protéger les applications et les données. 

La segmentation du réseau (à ne pas confondre avec la microsegmentation) a été présentée comme une solution assurant la sécurité sans avoir une influence négative sur les performances, car elle permet la création et la gestion de politiques pour différents segments du réseau. Mais dans l'environnement moderne caractérisé par de complexes réseaux distribués à travers divers cloud et data centers, cette approche ne tient plus.

Les défis que pose la segmentation du réseau

Confiance excessive : la segmentation du réseau part du principe que tous les membres du réseau sont dignes de confiance. Puisqu'elle est principalement conçue pour empêcher les attaques externes, cette approche peut rendre les entreprises vulnérables à celles venant de l'intérieur.

Complexité : la segmentation du réseau exige d'une entreprise qu'elle ait la parfaite maîtrise de tous les actifs communiquant sur chacun de ses réseaux. Ensuite, elles doivent définir les zones qui seraient utiles en fonction des exigences commerciales et de conformité de l'entreprise. Elles doivent alors entamer le travail concret de mise en œuvre des VLAN. Le risque de mauvaise configuration d'un VLAN pendant la mise en œuvre est élevé en raison de la complexité des architectures réseau modernes, en particulier dans le cas de figure actuel où la plupart des entreprises utilisent des environnements multicloud ne leur appartenant pas (et elles ne peuvent généralement pas modifier l'infrastructure sur laquelle le réseau est géré).

Gestion : dans un environnement de mise en réseau moderne, les adresses changent constamment, les utilisateurs se connectent avec des appareils de toutes sortes en utilisant divers réseaux, et de nouvelles applications sont introduites en permanence. Dans de tels environnements dynamiques, la gestion est un véritable casse-tête avec la constante définition manuelle des politiques, la révision, le changement et le traitement des exceptions. Par ailleurs, chaque changement de politique nécessite une mise à jour de toutes les règles du pare-feu, et la nature de la segmentation du réseau exige le déploiement de ressources supplémentaires pour les activités de sécurité, même les plus banales, comme l'analyse de la vulnérabilité. 

Contrôles : avec la segmentation du réseau, il n'y a pas de contrôles très précis. De ce fait, il est ardu de segmenter l'accès à différents niveaux pour les télétravailleurs, les agents temporaires, les partenaires, etc.

Évolutivité : pour faire face à la croissance du réseau, la segmentation du réseau oblige les entreprises à créer de plus petits segments ou à mettre à jour leurs segments existants, ce qui entraîne des coûts plus élevés de mise à l'échelle et de maintenance.

Performance : l'ajout de ressources, y compris de différents pare-feux, à un réseau a un effet négatif sur la performance générale.

Multiple Network Security Perimeters

Une solution meilleure que la segmentation

ZTNA (Accès réseau Zero Trust) est un cadre défini par Gartner basé sur le principe Zero Trust, ce qui signifie qu’aucun appareil n’est intrinsèquement fiable et que l’accès n’est accordé qu’en fonction des privilèges définis par des politiques.

Au lieu d'une approche de sécurité centrée sur le réseau, approche qui devient de moins en moins pratique dans le monde cloud moderne, ZTNA adopte une approche utilisateur vers application. Il permet d'accéder aux applications mais pas au réseau, en utilisant la segmentation native des applications pour s'assurer qu'une fois les utilisateurs autorisés, l'accès aux applications leur est accordé au cas par cas. Plutôt que d'avoir un accès complet au réseau, les utilisateurs autorisés n'ont accès qu'à des applications spécifiques, ce qui permet un contrôle beaucoup plus granulaire et élimine tout risque de mouvement latéral.

Avantages de ZTNA par rapport à la segmentation du réseau

  • ZTNA fournit un accès précis, adaptatif, tenant compte de l'identité, mais n'accorde pas d'accès au réseau. Il supprime l'emplacement du réseau comme position privilégiée et élimine la confiance implicite excessive, pour la remplacer par une confiance explicite basée sur l'identité.

     

  • ZTNA ne nécessite aucune connexion réseau et de ce fait, il n'y a aucune exposition d'applications internes (adresses IP) à Internet, ce qui réduit le risque d'attaque.

     

  • Plutôt que de configurer les règles d'accès et les règles de pare-feu, les politiques d'accès granulaires appliquées dans le cloud fournissent une segmentation utilisateur vers application.

     

  • ZTNA peut être fourni en tant que service cloud et, dans certains cas, peut être étendu en tant que logiciel sur site (géré par service). Le service cloud améliore la flexibilité, l'agilité et l'évolutivité, puis réduit le besoin d'appliances de pare-feu internes.

     

  • Les entreprises s'appuient sur ZTNA pour permettre aux appareils non gérés et aux partenaires externes d'accéder en toute sécurité aux applications tout en maintenant les utilisateurs en dehors du réseau, réduisant ainsi au strict minimum la menace de propagation des programmes malveillants.

Guide du marché Gartner pour Zero Trust Network Access 2020

Lire le guide

Guide du ZTNA (Zero Trust Network Access) pour l'architecte réseau

Lire le livre blanc

ZTNA sur site

En savoir plus

Problèmes et opportunités de la segmentation du réseau

Lire le blog

Lumière sur les technologies ZTNA, et comment les choisir

Lire le blog