Microsegmentation réseau

La microsegmentation réseau est une technique de cybersécurité qui consiste à diviser un réseau informatique en segments de très petite taille, avec contrôle granulaire des flux de communication entre chaque charge de travail individuelle — serveur, machine virtuelle, conteneur ou application. Contrairement à la segmentation réseau traditionnelle, qui trace des frontières larges entre zones (DMZ, réseau interne, réseau externe), la microsegmentation applique des politiques d'accès à chaque composant du système d'information. Elle constitue l'un des piliers techniques du modèle Zero Trust, dont elle traduit le principe « ne jamais faire confiance, toujours vérifier ».

Le modèle de sécurité périmétrique classique repose sur l'hypothèse qu'une entité se trouvant à l'intérieur du réseau est digne de confiance. Cette hypothèse est invalidée par les attaques impliquant des comptes compromis, du hameçonnage ou des menaces internes. La microsegmentation part du principe inverse : toute communication entre charges de travail est refusée par défaut (default-deny) et seuls les flux explicitement autorisés par une politique sont acceptés.

La conséquence directe est la limitation du mouvement latéral : un attaquant ayant compromis une charge de travail ne peut pas atteindre d'autres ressources sans franchir une frontière de segmentation dotée de ses propres contrôles d'accès. Selon le Verizon Data Breach Investigations Report 2023, 74 % des violations de données impliquent une composante humaine (hameçonnage, erreur, abus de privilèges) — les défenses périmètriques seules ne suffisent pas à contenir de telles compromissions.

La granularité distingue la microsegmentation des approches classiques : là où un pare-feu de zone divise le réseau en quelques segments, la microsegmentation peut maintenir des politiques distinctes pour chacune des milliers de charges de travail d'une infrastructure d'entreprise.

Cette approche divise l'infrastructure en sous-réseaux logiques (VLAN, VxLAN, sous-réseaux IP) et applique des listes de contrôle d'accès (ACL) ou des règles de pare-feu entre ces segments. Elle est compatible avec les équipements réseau existants et peut être pilotée par un plan de contrôle centralisé via le Software-Defined Networking (SDN). Son principal inconvénient est la dépendance aux adresses IP, qui varient fréquemment dans les environnements cloud ou conteneurisés.

Dans les environnements virtualisés, un module de filtrage est intercalé entre chaque machine virtuelle et le commutateur virtuel au niveau de l'hyperviseur. VMware NSX-T (renommé VMware NSX en 2022) est la plateforme commerciale la plus répandue pour cette approche, permettant d'appliquer des règles sans modifier l'infrastructure réseau physique sous-jacente.

Des agents installés sur chaque hôte interceptent les flux réseau et appliquent les politiques définies centralement. La technologie noyau eBPF (Extended Berkeley Packet Filter), intégrée au noyau Linux depuis la version 4.x, permet d'implémenter ce filtrage avec une empreinte minimale sur les performances. Le projet open source Cilium, fondé sur eBPF, est largement utilisé pour la microsegmentation dans les environnements Kubernetes ; il offre des politiques de contrôle au niveau L3/L4 et L7.

Cette approche associe les politiques non pas à des adresses IP, mais à des attributs d'identité : étiquette de charge de travail, compte de service, appartenance à un groupe d'annuaire. Elle s'intègre avec la gestion des identités et des accès (IAM) et avec le Zero Trust Network Access (ZTNA). C'est l'approche recommandée pour les architectures multicloud et les environnements à forte dynamique (microservices, autoscaling).

Critère	Segmentation traditionnelle	Microsegmentation
Granularité	Zone (quelques segments)	Charge de travail individuelle
Politique par défaut	Allow implicite	Deny par défaut
Contrôle des flux est-ouest	Limité ou inexistant	Exhaustif
Adaptabilité aux environnements cloud	Faible	Élevée
Surface d'attaque après compromission	Large	Réduite au segment compromis
Complexité opérationnelle initiale	Modérée	Élevée

La segmentation traditionnelle, fondée sur les pare-feux périmètriques et la DMZ, contrôle principalement les flux nord-sud (entre l'extérieur et l'intérieur du réseau). La microsegmentation contrôle également les flux est-ouest (entre serveurs internes), qui représentent la majeure partie du trafic dans les datacenters modernes et constituent le vecteur principal du mouvement latéral.

Le NIST SP 800-207 (Zero Trust Architecture, 2020) cite la microsegmentation comme l'un des mécanismes fondamentaux d'une architecture Zero Trust. Dans ce cadre, elle se combine avec l'authentification multifacteur, le ZTNA et la gestion des identités pour constituer une défense en profondeur.

La microsegmentation garantit que même un attaquant ayant obtenu des identifiants valides ne peut pas se déplacer librement vers les ressources critiques. Cette propriété est particulièrement efficace contre les ransomwares, dont la propagation repose sur le mouvement latéral : les attaques NotPetya (juin 2017), Colonial Pipeline (mai 2021) et Kaseya (juillet 2021) ont démontré la capacité des ransomwares à paralyser des infrastructures entières en exploitant l'absence de segmentation interne.

Un déploiement typique suit quatre phases séquentielles :

1. Découverte et cartographie : capture passive des flux réseau existants, inventaire des charges de travail et modélisation de leurs dépendances. Cette phase dure généralement de 2 à 8 semaines selon la complexité de l'environnement.
2. Modélisation des politiques : traduction des flux légitimes observés en règles de sécurité ; suppression des communications non justifiées.
3. Application en mode supervision (audit mode) : déploiement des règles sans blocage effectif, afin de détecter les faux positifs et d'ajuster les politiques.
4. Application en mode blocage : basculement vers l'application stricte ; toute communication non autorisée est bloquée et journalisée.

Parmi les plateformes commerciales spécialisées : Illumio (fondée en 2013, valorisée à 2,75 milliards de dollars lors de sa série E en 2021), Guardicore (racheté par Akamai en 2021 pour environ 600 millions de dollars), Cisco Secure Workload (ex-Tetration Analytics), ColorTokens et Tufin.

Les solutions open source incluent Calico, Cilium et Istio pour les environnements de maillage de services. Les fournisseurs de cloud public intègrent des capacités natives : AWS Security Groups, Azure Network Security Groups et Google Cloud VPC Firewall Rules implémentent une forme de microsegmentation pour les charges de travail dans leur cloud respectif, sans portabilité multicloud.

Les secteurs bancaire, de la santé et des administrations utilisent la microsegmentation pour isoler les systèmes traitant des données sensibles. La conformité au RGPD exige de limiter l'accès aux données personnelles au strict nécessaire (principe de minimisation, article 5.1.c). PCI DSS 4.0 (publié en mars 2022) impose la restriction des flux réseau entrants et sortants de l'environnement de données de cartes (CDE, exigence 1.3), ce qui constitue un cas d'usage typique de microsegmentation.

La microsegmentation limite la propagation des ransomwares en cloisonnant chaque charge de travail : une infection ne peut pas atteindre d'autres ressources si aucune règle de segmentation ne l'y autorise. L'isolement peut également être activé manuellement lors d'un incident détecté, comme mesure de confinement dans le cadre de la réponse aux incidents de sécurité.

Les architectures microservices génèrent des flux est-ouest denses entre services. Combinée à un maillage de services (Istio, Linkerd), la microsegmentation définit des politiques d'autorisation entre chaque paire de services, avec chiffrement via TLS mutuel (mTLS) automatique. La gestion des vulnérabilités est facilitée par la capacité à isoler instantanément un service compromis sans interrompre l'ensemble de l'application.

Plusieurs cadres normatifs encadrent ou recommandent la microsegmentation :

• NIST SP 800-207 (2020) : identifie la microsegmentation comme composant fondamental de l'architecture Zero Trust.
• ISO/IEC 27001:2022 (contrôle 8.22 — Ségrégation des réseaux) : exige le cloisonnement des réseaux selon la sensibilité des données traitées.
• DORA (Règlement UE 2022/2554, applicable depuis le 17 janvier 2025) : impose aux entités financières une gestion du risque TIC incluant la segmentation des systèmes critiques.
• Directive NIS2 (2022/0383, transposée en droit français en 2024) : renforce les obligations de sécurité des entités essentielles et importantes, dont la segmentation réseau est une mesure technique attendue.
• NIST Cybersecurity Framework 2.0 (2024) : la fonction Protect (PR.AC-5) spécifie la ségrégation réseau comme contrôle de base.
• Cyber Resilience Act (Règlement UE 2024/2847, applicable progressivement jusqu'en 2027) : introduit des obligations de sécurité pour les produits numériques, encourageant indirectement la segmentation au niveau des composants logiciels embarqués.

La microsegmentation facilite les audits de cybersécurité en offrant une visibilité documentée sur chaque flux autorisé, réduisant le périmètre à démontrer lors d'une certification ISO 27001 ou d'un test d'intrusion.

• Réduction de la surface d'attaque interne : un attaquant ayant compromis une charge de travail ne peut pas pivoter librement vers d'autres ressources.
• Visibilité accrue sur les flux est-ouest, généralement non surveillés dans les architectures traditionnelles.
• Alignement facilité avec les exigences de conformité (ISO/IEC 27001, NIST CSF, DORA, NIS2, PCI DSS).
• Applicabilité indépendante du substrat réseau physique, compatible avec les environnements hybrides.

• Complexité initiale élevée : la cartographie des flux et la modélisation des politiques représentent un effort important dans les environnements legacy.
• Risque de rupture de service en cas de politique mal calibrée lors du basculement en mode blocage.
• Dépendance à la qualité de l'inventaire des actifs : une charge de travail non répertoriée échappe aux politiques de segmentation.
• Surcharge opérationnelle en l'absence d'automatisation : les environnements dynamiques (Kubernetes, autoscaling) génèrent continuellement de nouvelles instances nécessitant une intégration avec les pipelines CI/CD.

La maîtrise de la microsegmentation est recherchée pour les postes d'ingénieur en cybersécurité et de responsable de la sécurité des systèmes d'information (RSSI). Elle figure dans plusieurs certifications professionnelles reconnues :

• CCNP Security (Cisco) : couvre la segmentation réseau et les politiques de sécurité en environnement d'entreprise.
• VMware NSX-T Data Center (2V0-41.23) : certification dédiée à la microsegmentation sur hyperviseur VMware.
• Certified Zero Trust Professional (CZTP) : programme centré sur l'architecture Zero Trust dans son ensemble, dont la microsegmentation constitue un chapitre central.
• AWS Certified Security – Specialty : inclut la conception de contrôles de sécurité réseau pour les environnements cloud AWS.

Dans les opérations quotidiennes, les équipes de SOC exploitent les journaux de violation de politique générés par la microsegmentation comme source d'alertes dans les plateformes SIEM. Les équipes de red team et de test d'intrusion évaluent l'efficacité des politiques de segmentation en simulant des techniques de mouvement latéral, conformément aux pratiques de gestion des risques informatiques et de réponse aux incidents de sécurité.

• Cybersécurité
• Modèle Zero Trust
• Zero Trust Network Access
• Pare-feu
• DMZ (informatique)
• Gestion des identités et des accès
• Réponse aux incidents de sécurité
• SIEM (informatique)
• Directive NIS2
• DORA (Digital Operational Resilience Act)
• Gestion des risques informatiques