On parle souvent de “segmentation” comme si c’était une case à cocher dans un firewall.
En vrai, c’est un cauchemar vivant dès que ça touche un vrai SI.
La plupart des boîtes ont un réseau qui ressemble à un plat de spaghettis :
des flèches dans tous les sens, aucune visibilité, et trois firewalls plantés au milieu juste pour la déco.
Du coup tu peux cramer tout ton budget sécurité, si tout le monde est dans le même VLAN, t’as pas une défense, t’as une illusion.
L’objectif, c’est simple : empêcher un attaquant ou un malware de se balader partout, et éviter que ton admin AD se retrouve sur le même réseau qu’un stagiaire marketing.
Pas besoin d’être un héros. Juste un peu de rigueur et beaucoup de bon sens.
Savoir qui parle à qui
Tu veux segmenter ? Commence par savoir qui parle à qui.
Oublie les outils magiques. Un tcpdump, un export Centreon, et tu verras déjà que ton “flux métier critique” c’est du SMB en clair entre deux serveurs 2008 R2 oubliés.
La question qui calme
Je me rappelle d’un entretien, il y a quelques années, avec un CEO que je considère toujours comme un mentor.
Il m’avait balancé droit dans les yeux :
“Tu veux faire du pentest ? Alors explique-moi ce qui se passe entre le moment où tu tapes google.fr et l’affichage de la page.”
Pas un mot de plus.
Alors j’ai déroulé :
Doigt → touche → signal → contrôleur → IRQ → kernel → buffer → navigateur → DNS → TCP → TLS → CDN → serveur → DB → retour → rendu à l’écran.
Et quand j’ai fini, il m’a regardé.
Pas un mot, juste un hochement de tête.
Message reçu : Si tu ne peux pas expliquer le trajet complet, le pentest, c’est pas pour toi.
On a continué à parler des vrais trucs interresants: les pivots internes.
Une imprimante compromise, un firmware pourri, un LLMNR qui traîne, et tu viens de filer les clés du LAN à n’importe qui.
Le reste, c’est du domino, Et là, j’ai pigé : si tu ne sais pas décrire chaque maillon de la chaîne, t’as aucune vision de ton réseau.
La méthode qui tient debout
Depuis ce jour, ma segmentation n’a jamais changé :
VLAN serveur : AD, applis, sauvegardes.
VLAN infra : switches, firewalls, équipements réseau.
VLAN user : postes, terminaux, smartphones pros.
VLAN imprimantes : tout ce qui parle trop et qu’on oublie de patcher.
VLAN wifi : invités, BYOD, flux volatiles.
VLAN OT / partenaires : isolés, sous contrôle strict.
VLAN admin : bastion, consoles, accès d’administration, supervision et outillage sécurité.
Et puis il y a la réalité : les effectifs tournent, les admins changent, les archis passent le relais.
Chacun récupère un réseau qu’il n’a pas conçu, et souvent, il n’ose pas toucher “de peur de tout casser”.
Résultat : les VLAN s’empilent, les flux s’ouvrent “provisoirement” ou meme définitivement, les exceptions se figent,
et au bout de trois ans, plus personne ne sait pourquoi tel serveur parle encore à telle imprimante.
Chaque rôle a sa case, aucune exception.
Si tu ne peux pas expliquer pourquoi deux VLAN doivent se parler, ils ne doivent pas se parler.
Et si tu dois le justifier, tu le documentes comme si ta carrière en dépendait — parce que parfois, c’est littéralement le cas.
Les règles : claires, rares et traçables
Deny all par défaut. Pas de “mais c’est temporaire”.
Chaque exception est une grenade dégoupillée : tu la documentes, tu la limites, tu la tues à la date prévue.
Teste tes flux métiers avec un utilisateur réel, pas sur un schéma.
Et si une appli casse, tant mieux : elle dépendait d’un truc qu’elle n’aurait jamais dû atteindre.
Rappelle-toi : une règle sans date de fin, c’est une backdoor avec signature légale.
Le bastion, pas une déco
Un bastion, du MFA, et jamais d’accès direct depuis un poste utilisateur.
Tant que ton admin se connecte à ses firewalls depuis Outlook, t’as pas de sécurité, t’as un sketch.
Le bastion, c’est la frontière mentale : là où tout est logué, limité, et traçable.
Sur le terrain : VLAN isolé et étanche, Authentification forte, MFA obligatoire ,Sessions liées à un ticket, Journalisation centralisée et intègre , Droits temporaires uniquement, Accès expirant, pas de passe-droit.
Un bastion, c’est pas un luxe. C’est la dernière barrière entre un admin consciencieux et un ransomware curieux.
Les exceptions, ces bombes à retardement
Un flux “temporaire” devient éternel au bout de deux semaines.
Chaque exception doit avoir un ticket, une justification et une date d’expiration.
Sinon, t’as créé ta propre backdoor, tamponnée par ton RSSI.
Les tests, le seul audit qui compte
Pas besoin d’un SIEM à six chiffres.
Regarde les connexions refusées, et les logs du bastion,si il ne se passe rien, c’est que personne ne regarde.
Si il y a trop d’alertes, c’est que tout le monde triche.
Tu veux savoir si ta segmentation tient ?
Demande à un collègue que t’aimes pas : “Traverse le réseau.”
S’il y arrive, tu recommences ta carto.
S’il échoue, tu lui offres un café et tu passes à la supervision.
La segmentation, c’est pas un concept.
C’est une barrière vivante entre ce qui doit cohabiter et ce qui ne doit jamais se croiser.
Tu ne cherches pas la perfection. Tu cherches la lisibilité.
Si ton équipe peut dessiner la carte réseau sur un tableau blanc en cinq minutes, sans tricher,
t’es déjà plus solide que bien des infrastructures pourtant estampillées conformes.
Malik V.
Références & ressources
ANSSI – Guide d’hygiène informatique (v2.3, 2023) : segmentation, cloisonnement, bastions.
CIS Controls v8 – Section 12 : Network Infrastructure Management.
NIST SP 800-125B – Secure Virtual Network Configuration for Virtual Machine (VM) Protection.
MITRE ATT&CK – Techniques T1078, T1557, T1021 : mouvements latéraux et rebonds internes.
Fortinet NSE4 – Chapitre sur les politiques inter-VLAN et zones de sécurité.
Microsoft Security Baseline – Securing Privileged Access Workstations (PAW).
RFC 1918 / 2827 / 4638 – Bonnes pratiques d’adressage et filtrage.
OWASP – Security Architecture Cheat Sheet – Segmentation et réduction de surface d’attaque.
Livre blanc Intrinsec – Sécuriser les environnements hybrides et multi-sites.