Way To Learn AcademyKnowledge Assessment

Segmentation Et Reseau Zero Trust

CCST Networking (Cisco Certified Support Technician)Security

Segmentation réseau et Zero Trust

Définition

La segmentation réseau consiste à diviser un réseau en zones isolées (VLANs, sous-réseaux, VRF) pour limiter la propagation latérale des menaces et confiner l'impact d'une compromission. Le modèle Zero Trust ("ne jamais faire confiance, toujours vérifier") est une architecture de sécurité qui élimine la confiance implicite : chaque accès est authentifié, autorisé et contrôlé en permanence, qu'il provienne de l'intérieur ou de l'extérieur du réseau.

Contexte

Le modèle de sécurité périmétrique traditionnel (un pare-feu à la frontière = confiance totale à l'intérieur) ne résiste plus aux menaces actuelles (ransomware, mouvement latéral, insider threats). La combinaison de la segmentation et du Zero Trust renforce la posture de sécurité en limitant ce qu'un attaquant peut atteindre même après avoir pénétré le réseau. La certification CCST introduit ces concepts comme bonnes pratiques modernes de sécurité réseau.

Détails techniques

Segmentation réseau — Niveaux

Technique Granularité Exemple
VLANs Par groupe d'utilisateurs ou fonction VLAN 10 = Ventes, VLAN 20 = IT, VLAN 30 = IoT
Sous-réseaux + ACLs sur routeur Par réseau IP + filtrage inter-zones ACL entre 10.0.1.0/24 (serveurs) et 10.0.2.0/24 (utilisateurs)
VRF (Virtual Routing and Forwarding) Tables de routage isolées sur un même équipement VRF GUEST vs VRF CORPORATE
Micro-segmentation Par workload ou application Pare-feu distribué (SDN, NSX, ACI) filtrant les flux entre VMs

Principes Zero Trust

  1. Vérification explicite : chaque flux est authentifié et autorisé, même entre deux hôtes du même VLAN.
  2. Moindre privilège : les droits sont limités au strict nécessaire (least privilege).
  3. Assumer la compromission : concevoir l'architecture comme si un attaquant était déjà à l'intérieur → segmentation fine, monitoring continu, journalisation.

Implémentation pratique

  • Étape 1 : inventorier les actifs et les flux de communication (qui parle à qui).
  • Étape 2 : segmenter par VLANs/sous-réseaux et appliquer des ACLs ou pare-feu inter-zones.
  • Étape 3 : déployer l'authentification 802.1X pour les postes et le NAC (Network Access Control) pour vérifier la conformité avant l'accès.
  • Étape 4 : surveiller en continu avec des outils de monitoring (syslog, SIEM, IDS/IPS).
  • Étape 5 : micro-segmenter les workloads critiques (serveurs de bases de données, Active Directory).

DMZ (Zone Démilitarisée)

  • Zone intermédiaire entre le réseau interne et Internet.
  • Héberge les services exposés (serveur web, proxy, relais mail).
  • Deux pare-feu : un externe (Internet ↔ DMZ) et un interne (DMZ ↔ LAN) — ou un seul pare-feu à trois interfaces.

Exemple concret

Scénario : une entreprise segmente son réseau pour isoler ses caméras IoT.

  1. Créer le VLAN 50 (IoT) et y placer tous les ports des caméras.
  2. Configurer une ACL inter-VLAN : les caméras (VLAN 50) peuvent joindre uniquement le serveur NVR (10.0.1.100 port 554) et rien d'autre.
  3. Appliquer 802.1X sur les ports IoT pour authentifier chaque caméra par certificat.
  4. Envoyer les logs des ports VLAN 50 vers le SIEM pour détecter des anomalies (trafic inhabituel, tentatives de scan).
  5. Résultat : même si une caméra est compromise, l'attaquant ne peut pas pivoter vers le réseau utilisateur.

Concepts liés

Pare-feu et ACLAuthentification, Autorisation et Audit (AAA)Sécurité des endpoints et IoTSwitches, VLANs et trunkingVLAN : bases et domaines de broadcast
Securite Wifi Et Controle D Acces Sans Fil