Kecvn : Publication via Quaero Hub

2026-06-12T21:36:44Z

Publication via Quaero Hub

← Version précédente		Version du 12 juin 2026 à 17:36
Ligne 138 :		Ligne 138 :
	* [[DORA (Digital Operational Resilience Act)]]		* [[DORA (Digital Operational Resilience Act)]]
	* [[Gestion des risques informatiques]]		* [[Gestion des risques informatiques]]

			[[Catégorie:Cybersécurité]]

Kecvn : Publication via Quaero Hub

2026-06-11T07:06:06Z

Publication via Quaero Hub

Nouvelle page

La '''microsegmentation réseau''' est une technique de [[Cybersécurité|cybersécurité]] qui consiste à diviser un [[Réseau informatique|réseau informatique]] en segments de très petite taille, avec contrôle granulaire des flux de communication entre chaque charge de travail individuelle — serveur, machine virtuelle, conteneur ou application. Contrairement à la segmentation réseau traditionnelle, qui trace des frontières larges entre zones ([[DMZ (informatique)|DMZ]], réseau interne, réseau externe), la microsegmentation applique des politiques d'accès à chaque composant du système d'information. Elle constitue l'un des piliers techniques du [[Modèle Zero Trust|modèle Zero Trust]], dont elle traduit le principe « ne jamais faire confiance, toujours vérifier ».

== Principes fondamentaux ==

Le modèle de sécurité périmétrique classique repose sur l'hypothèse qu'une entité se trouvant à l'intérieur du réseau est digne de confiance. Cette hypothèse est invalidée par les attaques impliquant des comptes compromis, du [[Hameçonnage|hameçonnage]] ou des menaces internes. La microsegmentation part du principe inverse : toute communication entre charges de travail est refusée par défaut (''default-deny'') et seuls les flux explicitement autorisés par une politique sont acceptés.

La conséquence directe est la limitation du [[Mouvement latéral (cybersécurité)|mouvement latéral]] : un attaquant ayant compromis une charge de travail ne peut pas atteindre d'autres ressources sans franchir une frontière de segmentation dotée de ses propres contrôles d'accès. Selon le Verizon Data Breach Investigations Report 2023, 74 % des violations de données impliquent une composante humaine (hameçonnage, erreur, abus de privilèges) — les défenses périmètriques seules ne suffisent pas à contenir de telles compromissions.

La granularité distingue la microsegmentation des approches classiques : là où un [[Pare-feu|pare-feu]] de zone divise le réseau en quelques segments, la microsegmentation peut maintenir des politiques distinctes pour chacune des milliers de charges de travail d'une infrastructure d'entreprise.

== Approches techniques ==

=== Segmentation basée sur le réseau ===

Cette approche divise l'infrastructure en sous-réseaux logiques (VLAN, VxLAN, sous-réseaux IP) et applique des listes de contrôle d'accès (ACL) ou des règles de [[Pare-feu|pare-feu]] entre ces segments. Elle est compatible avec les équipements réseau existants et peut être pilotée par un plan de contrôle centralisé via le [[Software-Defined Networking|Software-Defined Networking (SDN)]]. Son principal inconvénient est la dépendance aux adresses IP, qui varient fréquemment dans les environnements cloud ou conteneurisés.

=== Segmentation basée sur l'hyperviseur ===

Dans les environnements virtualisés, un module de filtrage est intercalé entre chaque machine virtuelle et le commutateur virtuel au niveau de l'hyperviseur. VMware NSX-T (renommé VMware NSX en 2022) est la plateforme commerciale la plus répandue pour cette approche, permettant d'appliquer des règles sans modifier l'infrastructure réseau physique sous-jacente.

=== Segmentation basée sur des agents logiciels ===

Des agents installés sur chaque hôte interceptent les flux réseau et appliquent les politiques définies centralement. La technologie noyau [[eBPF|eBPF]] (Extended Berkeley Packet Filter), intégrée au noyau Linux depuis la version 4.x, permet d'implémenter ce filtrage avec une empreinte minimale sur les performances. Le projet open source [[Cilium (logiciel)|Cilium]], fondé sur eBPF, est largement utilisé pour la microsegmentation dans les environnements Kubernetes ; il offre des politiques de contrôle au niveau L3/L4 et L7.

=== Segmentation orientée identité ===

Cette approche associe les politiques non pas à des adresses IP, mais à des attributs d'identité : étiquette de charge de travail, compte de service, appartenance à un groupe d'annuaire. Elle s'intègre avec la [[Gestion des identités et des accès|gestion des identités et des accès]] (IAM) et avec le [[Zero Trust Network Access|Zero Trust Network Access (ZTNA)]]. C'est l'approche recommandée pour les architectures multicloud et les environnements à forte dynamique (microservices, autoscaling).

== Comparaison avec la segmentation traditionnelle ==

{| class="wikitable"
|-
! Critère !! Segmentation traditionnelle !! Microsegmentation
|-
| Granularité || Zone (quelques segments) || Charge de travail individuelle
|-
| Politique par défaut || Allow implicite || Deny par défaut
|-
| Contrôle des flux est-ouest || Limité ou inexistant || Exhaustif
|-
| Adaptabilité aux environnements cloud || Faible || Élevée
|-
| Surface d'attaque après compromission || Large || Réduite au segment compromis
|-
| Complexité opérationnelle initiale || Modérée || Élevée
|}

La segmentation traditionnelle, fondée sur les [[Pare-feu|pare-feux]] périmètriques et la [[DMZ (informatique)|DMZ]], contrôle principalement les flux nord-sud (entre l'extérieur et l'intérieur du réseau). La microsegmentation contrôle également les flux est-ouest (entre serveurs internes), qui représentent la majeure partie du trafic dans les datacenters modernes et constituent le vecteur principal du mouvement latéral.

== Relation avec le modèle Zero Trust ==

Le NIST SP 800-207 (''Zero Trust Architecture'', 2020) cite la microsegmentation comme l'un des mécanismes fondamentaux d'une architecture Zero Trust. Dans ce cadre, elle se combine avec l'[[Authentification multifacteur|authentification multifacteur]], le [[Zero Trust Network Access|ZTNA]] et la [[Gestion des identités et des accès|gestion des identités]] pour constituer une défense en profondeur.

La microsegmentation garantit que même un attaquant ayant obtenu des identifiants valides ne peut pas se déplacer librement vers les ressources critiques. Cette propriété est particulièrement efficace contre les [[Ransomware|ransomwares]], dont la propagation repose sur le mouvement latéral : les attaques NotPetya (juin 2017), Colonial Pipeline (mai 2021) et Kaseya (juillet 2021) ont démontré la capacité des ransomwares à paralyser des infrastructures entières en exploitant l'absence de segmentation interne.

== Déploiement ==

=== Phases de mise en œuvre ===

Un déploiement typique suit quatre phases séquentielles :

# '''Découverte et cartographie''' : capture passive des flux réseau existants, inventaire des charges de travail et modélisation de leurs dépendances. Cette phase dure généralement de 2 à 8 semaines selon la complexité de l'environnement.
# '''Modélisation des politiques''' : traduction des flux légitimes observés en règles de sécurité ; suppression des communications non justifiées.
# '''Application en mode supervision''' (''audit mode'') : déploiement des règles sans blocage effectif, afin de détecter les faux positifs et d'ajuster les politiques.
# '''Application en mode blocage''' : basculement vers l'application stricte ; toute communication non autorisée est bloquée et journalisée.

=== Solutions disponibles ===

Parmi les plateformes commerciales spécialisées : Illumio (fondée en 2013, valorisée à 2,75 milliards de dollars lors de sa série E en 2021), Guardicore (racheté par Akamai en 2021 pour environ 600 millions de dollars), Cisco Secure Workload (ex-Tetration Analytics), ColorTokens et Tufin.

Les solutions open source incluent Calico, [[Cilium (logiciel)|Cilium]] et Istio pour les environnements de maillage de services. Les fournisseurs de cloud public intègrent des capacités natives : AWS Security Groups, Azure Network Security Groups et Google Cloud VPC Firewall Rules implémentent une forme de microsegmentation pour les charges de travail dans leur cloud respectif, sans portabilité multicloud.

== Cas d'usage ==

=== Conformité et environnements réglementés ===

Les secteurs bancaire, de la santé et des administrations utilisent la microsegmentation pour isoler les systèmes traitant des données sensibles. La [[Conformité RGPD|conformité au RGPD]] exige de limiter l'accès aux données personnelles au strict nécessaire (principe de minimisation, article 5.1.c). [[PCI DSS|PCI DSS 4.0]] (publié en mars 2022) impose la restriction des flux réseau entrants et sortants de l'environnement de données de cartes (CDE, exigence 1.3), ce qui constitue un cas d'usage typique de microsegmentation.

=== Protection contre les ransomwares ===

La microsegmentation limite la propagation des [[Ransomware|ransomwares]] en cloisonnant chaque charge de travail : une infection ne peut pas atteindre d'autres ressources si aucune règle de segmentation ne l'y autorise. L'isolement peut également être activé manuellement lors d'un incident détecté, comme mesure de confinement dans le cadre de la [[Réponse aux incidents de sécurité|réponse aux incidents de sécurité]].

=== Architectures microservices et Kubernetes ===

Les architectures microservices génèrent des flux est-ouest denses entre services. Combinée à un maillage de services (Istio, Linkerd), la microsegmentation définit des politiques d'autorisation entre chaque paire de services, avec chiffrement via [[Protocole TLS|TLS mutuel (mTLS)]] automatique. La [[Gestion des vulnérabilités|gestion des vulnérabilités]] est facilitée par la capacité à isoler instantanément un service compromis sans interrompre l'ensemble de l'application.

== Conformité réglementaire et cadres normatifs ==

Plusieurs cadres normatifs encadrent ou recommandent la microsegmentation :

* '''NIST SP 800-207''' (2020) : identifie la microsegmentation comme composant fondamental de l'architecture Zero Trust.
* '''[[ISO/IEC 27001|ISO/IEC 27001:2022]]''' (contrôle 8.22 — Ségrégation des réseaux) : exige le cloisonnement des réseaux selon la sensibilité des données traitées.
* '''[[DORA (Digital Operational Resilience Act)|DORA]]''' (Règlement UE 2022/2554, applicable depuis le 17 janvier 2025) : impose aux entités financières une gestion du risque TIC incluant la segmentation des systèmes critiques.
* '''[[Directive NIS2|Directive NIS2]]''' (2022/0383, transposée en droit français en 2024) : renforce les obligations de sécurité des entités essentielles et importantes, dont la segmentation réseau est une mesure technique attendue.
* '''[[NIST Cybersecurity Framework|NIST Cybersecurity Framework 2.0]]''' (2024) : la fonction ''Protect'' (PR.AC-5) spécifie la ségrégation réseau comme contrôle de base.
* '''[[Cyber Resilience Act|Cyber Resilience Act]]''' (Règlement UE 2024/2847, applicable progressivement jusqu'en 2027) : introduit des obligations de sécurité pour les produits numériques, encourageant indirectement la segmentation au niveau des composants logiciels embarqués.

La microsegmentation facilite les [[Audit de cybersécurité|audits de cybersécurité]] en offrant une visibilité documentée sur chaque flux autorisé, réduisant le périmètre à démontrer lors d'une certification [[ISO/IEC 27001|ISO 27001]] ou d'un [[Test d'intrusion|test d'intrusion]].

== Avantages et limites ==

=== Avantages ===

* Réduction de la surface d'attaque interne : un attaquant ayant compromis une charge de travail ne peut pas pivoter librement vers d'autres ressources.
* Visibilité accrue sur les flux est-ouest, généralement non surveillés dans les architectures traditionnelles.
* Alignement facilité avec les exigences de conformité ([[ISO/IEC 27001|ISO/IEC 27001]], [[NIST Cybersecurity Framework|NIST CSF]], [[DORA (Digital Operational Resilience Act)|DORA]], [[Directive NIS2|NIS2]], [[PCI DSS|PCI DSS]]).
* Applicabilité indépendante du substrat réseau physique, compatible avec les environnements hybrides.

=== Limites ===

* Complexité initiale élevée : la cartographie des flux et la modélisation des politiques représentent un effort important dans les environnements legacy.
* Risque de rupture de service en cas de politique mal calibrée lors du basculement en mode blocage.
* Dépendance à la qualité de l'inventaire des actifs : une charge de travail non répertoriée échappe aux politiques de segmentation.
* Surcharge opérationnelle en l'absence d'automatisation : les environnements dynamiques (Kubernetes, autoscaling) génèrent continuellement de nouvelles instances nécessitant une intégration avec les pipelines CI/CD.

== Compétences professionnelles ==

La maîtrise de la microsegmentation est recherchée pour les postes d'[[Ingénieur en cybersécurité|ingénieur en cybersécurité]] et de [[Responsable de la sécurité des systèmes d'information|responsable de la sécurité des systèmes d'information (RSSI)]]. Elle figure dans plusieurs certifications professionnelles reconnues :

* '''CCNP Security''' (Cisco) : couvre la segmentation réseau et les politiques de sécurité en environnement d'entreprise.
* '''VMware NSX-T Data Center (2V0-41.23)''' : certification dédiée à la microsegmentation sur hyperviseur VMware.
* '''Certified Zero Trust Professional (CZTP)''' : programme centré sur l'architecture Zero Trust dans son ensemble, dont la microsegmentation constitue un chapitre central.
* '''AWS Certified Security – Specialty''' : inclut la conception de contrôles de sécurité réseau pour les environnements cloud AWS.

Dans les opérations quotidiennes, les équipes de [[SOC (Security Operations Center)|SOC]] exploitent les journaux de violation de politique générés par la microsegmentation comme source d'alertes dans les plateformes [[SIEM (informatique)|SIEM]]. Les équipes de [[Red team|red team]] et de [[Test d'intrusion|test d'intrusion]] évaluent l'efficacité des politiques de segmentation en simulant des techniques de mouvement latéral, conformément aux pratiques de [[Gestion des risques informatiques|gestion des risques informatiques]] et de [[Réponse aux incidents de sécurité|réponse aux incidents de sécurité]].

== Voir aussi ==

* [[Cybersécurité]]
* [[Modèle Zero Trust]]
* [[Zero Trust Network Access]]
* [[Pare-feu]]
* [[DMZ (informatique)]]
* [[Gestion des identités et des accès]]
* [[Réponse aux incidents de sécurité]]
* [[SIEM (informatique)]]
* [[Directive NIS2]]
* [[DORA (Digital Operational Resilience Act)]]
* [[Gestion des risques informatiques]]

Microsegmentation réseau - Historique des versions

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub