Par Ait Bahadda, Responsable
du département Cybersécurité & RSSI chez Provectio.
En cybersécurité, il ne
suffit plus de protéger un poste de travail, d’installer un antivirus ou de
déployer un firewall. Aujourd’hui, un seul clic sur un email piégé peut suffire
à compromettre tout un système d’information. Les cybercriminels savent se
déplacer latéralement dans les réseaux et transformer une simple compromission
en attaque massive. C’est là qu’intervient une mesure souvent négligée
mais essentielle : le cloisonnement réseau.
Les enjeux : un
seul poste compromis peut suffire
Lorsqu’un réseau
d’entreprise n’est pas segmenté, tous les postes, serveurs et sauvegardes
communiquent sans restriction. Dans ce type d’architecture dite « plate », une
attaque réussie sur un poste utilisateur peut :
·
Se
propager rapidement et chiffrer l’ensemble des serveurs.
·
Neutraliser
les sauvegardes connectées au même réseau.
·
Donner
accès aux droits administrateurs via des rebonds.
·
Paralyser
l’activité de toute l’entreprise pendant des jours, voire des
semaines.
En d’autres
termes : sans cloisonnement, un simple incident devient une crise
majeure.
Le cloisonnement
réseau, une défense de base
Le cloisonnement réseau
consiste à créer plusieurs zones distinctes, isolées les unes des autres, avec
des règles de communication strictes. Concrètement, cela repose
sur :
·
Un
réseau utilisateurs (PC) pour les postes de travail.
·
Un
réseau serveurs réservé aux applications et données critiques.
·
Un
réseau de management accessible uniquement par les administrateurs.
·
Un
réseau sauvegardes totalement isolé pour protéger les copies de
sécurité.
Ces segments
communiquent entre eux uniquement par l’intermédiaire de pare-feu internes
et de règles précises de filtrage. Résultat : un attaquant qui compromet
un poste utilisateur ne peut plus progresser librement.
Conseils pratiques pour
les DSI et RSI
- Réaliser un audit de
son réseau pour identifier les zones critiques.
- Créer des VLANs
distincts entre utilisateurs, serveurs, sauvegardes et management.
- Déployer des pare-feu
internes capables de filtrer les flux entre segments.
- Isoler les
sauvegardes est prioritaire : elles doivent être inaccessibles depuis
les postes utilisateurs.
- Superviser ses
flux afin de détecter toute anomalie rapidement.
- Tester
régulièrement la solidité de son cloisonnement par des audits ou
pentests.
Les erreurs trop
souvent réalisées
- Des réseaux
totalement plats, sans aucune séparation.
- Des sauvegardes
connectées en permanence au même réseau que la production.
- Des comptes
administrateurs disponibles sur des postes utilisateurs.
- Une absence de
supervision des flux internes.
- Une documentation
inexistante ou obsolète des règles réseau.
Cloisonner, c’est
protéger
La sécurité réseau n’est pas un luxe, c’est une nécessité. Le cloisonnement permet de contenir les attaques, de protéger les données critiques et d’assurer la continuité d’activité en cas d’incident. La question n’est pas de savoir si une entreprise sera attaquée, mais quand. Le cloisonnement réseau doit être considéré comme une mesure de base, au même titre que les sauvegardes ou la mise à jour des systèmes.