Segmentation réseau

Voici cinq bonnes pratiques à respecter pour mettre en œuvre et maintenir une segmentation de réseau efficace :

1. Ne pas sur-segmenter. Une segmentation excessive peut réduire la visibilité globale sur votre réseau et entraver sa gestion, mais une segmentation insuffisante élargit votre surface d’attaque et nuit à votre posture de sécurité.

2. Procéder à des audits réguliers. La segmentation du réseau n’améliorera la sécurité de votre réseau que si vous effectuez un audit continu sur les vulnérabilités, les autorisations strictes et les mises à jour de vos segments. Si vous savez que votre couverture ne souffre d’aucune faille exploitable, vous aurez une longueur d’avance sur les hackers.

3. Adopter le principe du moindre privilège. En appliquant le principe du moindre privilège à tous vos segments, vous garantissez à vos utilisateurs, aux administrateurs de réseau et à l’équipe de sécurité que l’accès n’est accordé que si nécessaire. L’accès sur la base du moindre privilège est fondamental pour un accès réseau Zero Trust.

4. Limiter l’accès des tiers. Accorder l’accès à des tiers est risqué en soi ; il est donc important d’y consentir que lorsque c’est nécessaire, surtout si vous accordez l’accès à plusieurs segments. Il est essentiel d’examiner attentivement les nouvelles autorisations pour maintenir une sécurité réseau solide.

5. Automatiser autant que possible. Outre les avantages acquis de l’automatisation en général, (tels que l’amélioration de la visibilité, de la sécurité et du MTTR), l’automatisation de la segmentation du réseau vous permet d’identifier rapidement et de classer les nouvelles ressources et données, ce qui constitue en soi une autre bonne pratique de segmentation.

Un segment de réseau est une portion d'un réseau informatique dans lequel chaque appareil communique en utilisant la même couche physique.

Les appareils qui étendent cette couche physique, comme les répéteurs ou les concentrateurs réseau (hub), réalisent une extension du segment.

Toutefois, les appareils qui fonctionnent au niveau de la couche de liaison de données ou au-dessus, créent de nouvelles couches physiques, et ainsi, réalisent une création de segment plutôt qu'une extension de segment.

Dans le contexte de réseau Ethernet, le segment réseau est aussi connu sous le nom de domaine de collision.

Il comprend un groupe d'appareils connectés sur le même bus ou hub, pouvant avoir des collisions CSMA/CD entre eux, et pouvant analyser leurs paquets de très près.

Dans les configurations modernes d'Ethernet basées sur des commutateurs (switch), la couche physique est généralement aussi petite que possible pour éviter la possibilité d'occurrence de collisions.

Ainsi, chaque segment est composé de deux appareils, et les segments sont liés ensemble en utilisant des switchs ou des routeurs pour former un ou plusieurs domaines de diffusion (broadcast domain).

Toutes les machines connectées à la même Unité d'Accès au Support (Media Access Unit - MAU) pour un anneau à jeton (token ring) font partie du même segment de réseau.

Toutes les machines connectées au même bus à jeton (token bus) font partie du même segment de réseau.

Le terme segment de réseau est parfois employé en référence à une portion d'un réseau d'ordinateurs dans lequel les ordinateurs peuvent accéder aux autres en utilisant le protocole de liaison de données (c'est-à-dire, pour Ethernet, cela revient à la possibilité d'envoyer une trame Ethernet à d'autres en utilisant leurs adresses MAC).

Dans ce cas, le segment de données est synonyme de domaine de diffusion (broadcast domain).

Très rarement, le terme fait référence à un sous-réseau.