Phylapp
Sécurité des réseaux et des communications

La segmentation réseau : principe souvent évoqué, rarement appliqué

La segmentation réseau est le contrôle le plus cité dans les référentiels et le moins correctement implémenté : complexité de refonte, résistance opérationnelle et dégradation progressive sans surveillance font de ce principe un chantier permanent plutôt qu'un projet fini.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 7 lectures

Points clés

  • L'enquête post-incident de Target (États-Unis, 2013) a établi que si la segmentation réseau entre les systèmes HVAC du prestataire et les systèmes de paiement avait été correctement implémentée, le déplacement latéral depuis le compte HVAC vers les terminaux de paiement n'aurait pas été possible — un constat qui a transformé la segmentation réseau en exigence explicite PCI DSS (exigence 1.3).
  • Le rapport ENISA sur la segmentation réseau dans les hôpitaux européens (2023) indique que moins de 30 % des établissements de santé de l'UE disposent d'une segmentation réseau couvrant la séparation entre les équipements médicaux connectés (IoMT) et les systèmes d'information clinique — une proportion alarmante compte tenu de l'impact potentiel sur la sécurité des soins.
  • Gartner estime que d'ici 2026, 70 % des organisations qui auront subi une attaque par déplacement latéral n'avaient pas de segmentation microsegmentée opérationnelle — confirmant que la segmentation reste le contrôle le plus souvent évoqué dans les plans de sécurité et le moins souvent effectivement implémenté.

La segmentation réseau est l'un des contrôles de sécurité les plus cités dans les référentiels (PCI DSS, NIST, ISO 27001, ANSSI) et les moins bien implémentés dans les organisations réelles. L'écart entre le principe et la réalité opérationnelle s'explique par des contraintes techniques et organisationnelles réelles : les réseaux historiques n'ont pas été construits avec la segmentation en tête, la refonte de l'architecture réseau est un projet complexe à fort risque opérationnel, et les équipes réseau et sécurité ont rarement les ressources pour mener simultanément les opérations quotidiennes et les projets de transformation.

Pourquoi la segmentation est rarement correctement implémentée

La segmentation réseau se heurte à plusieurs obstacles pratiques : (1) complexité de la refonte — reconfigurer la segmentation d'un réseau existant exige un inventaire complet des flux légitimes, un travail de plusieurs mois pour cartographier les dépendances et une fenêtre de migration à risque pour chaque changement, (2) résistance opérationnelle — les équipes métier et les équipes réseau perçoivent les règles de segmentation comme des obstacles à leur travail et tendent à demander des exceptions qui s'accumulent, (3) manque de documentation — sans inventaire des flux légitimes, il est impossible de distinguer les communications nécessaires de celles qui ne le sont pas lors de la mise en place des règles, (4) supervision insuffisante — une segmentation non surveillée se dégrade : les exceptions s'accumulent sans revue, les nouvelles connexions ne sont pas validées et le niveau de segmentation réel diminue progressivement.

Approche pragmatique de la segmentation

La segmentation réseau peut être mise en œuvre progressivement selon une approche par valeur : (1) commencer par isoler les actifs les plus critiques (systèmes de paiement, annuaires, données médicales, systèmes de production industrielle) dans des zones dédiées avec des règles strictes, (2) isoler les appareils non managés et IoT dans des réseaux dédiés avec des accès limités aux seuls services nécessaires, (3) séparer les réseaux de développement et de test des réseaux de production, (4) appliquer la microsegmentation aux systèmes critiques où la granularité maximale est justifiée.

Cette approche par priorité permet d'obtenir les bénéfices de sécurité les plus importants en premier, sans attendre la completion d'un projet global de re-segmentation pluriannuel.

Maintien de la segmentation dans le temps

La segmentation dégradée est aussi dangereuse que l'absence de segmentation car elle donne une fausse assurance sur le niveau de sécurité. Les contrôles pour maintenir la segmentation incluent : revue trimestrielle des règles de firewall inter-zones, tests de pénétration réguliers incluant des tentatives de déplacement latéral entre segments, et contrôles automatisés vérifications que les règles de segmentation sont correctement implémentées (aucun flux non autorisé ne passe entre segments critiques).

Cas opérationnel : Target — segmentation absente comme vecteur de compromission (États-Unis, 2013)

La compromission de Target, qui a exposé 40 millions de numéros de cartes bancaires, est l'incident de référence sur l'importance de la segmentation réseau. L'attaquant a accédé au réseau de Target via les identifiants d'un sous-traitant HVAC (chauffage, ventilation, climatisation) qui disposait d'un accès à distance pour la gestion des systèmes de climatisation des magasins. Une fois dans le réseau, il a pu accéder directement aux systèmes de paiement point de vente (PoS) parce qu'il n'y avait pas de segmentation entre le segment du prestataire HVAC et le segment des systèmes de paiement. Une règle de filtrage séparant ces deux zones aurait rendu le déplacement latéral impossible sans une compromission supplémentaire du segment de paiement. PCI DSS a renforcé ses exigences de segmentation directement en réponse à cet incident.

Segmentation réseau — incidents et cadres documentés
États-Unis — PCI DSS exigence 1.3 et segmentation (2016-2024)
Suite à l'incident Target et à plusieurs compromissions similaires, le PCI Security Standards Council a renforcé dans PCI DSS v3.2 (2016) puis v4.0 (2022) les exigences de segmentation entre le cardholder data environment (CDE) et les réseaux tiers. L'exigence 1.3 impose que tout accès à partir de réseaux non approuvés soit bloqué par défaut — une règle directement issue des leçons de Target dont la segmentation insuffisante est devenue l'exemple canonique de défaillance.
Union européenne — NIS2 et segmentation des systèmes critiques (2022)
La directive NIS2 impose aux entités essentielles et importantes de mettre en place des mesures de gestion des risques incluant la segmentation et le cloisonnement des réseaux. L'ENISA a publié des lignes directrices d'implémentation précisant que la segmentation doit couvrir au minimum la séparation entre les systèmes opérationnels critiques et les systèmes d'administration, avec des contrôles vérifiables périodiquement.
Asie — Singapore Cyber Essentials et segmentation (2022)
Le programme Cyber Essentials de la CSA (Cyber Security Agency of Singapore) inclut la segmentation réseau comme l'une des cinq mesures essentielles pour les organisations de toute taille. Le programme fournit des guides d'implémentation adaptés aux PME qui n'ont pas les ressources pour des projets de segmentation complexes — reconnaissant que la segmentation doit être accessible et réalisable à tous les niveaux de maturité.

Articles similaires

Le réseau est devenu la première surface d’attaque des organisations

Le réseau est la première surface d'attaque des organisations : accès distants VPN, services exposés sur internet et interconnexions cloud ont étendu le périmètre à défendre bien au-delà de ce que les architectures traditionnelles anticipaient.

24 mai 2026 7 min

Pourquoi les communications internes exposent autant que l’externe

Les communications internes exposent autant que l'externe : les déplacements latéraux post-compromission exploitent la confiance implicite dans les flux est-ouest, les outils collaboratifs et les protocoles Windows pour propager les attaques sans déclencher d'alertes.

24 mai 2026 7 min

Les erreurs fréquentes dans la sécurisation des infrastructures réseau

Les erreurs fréquentes dans la sécurisation des infrastructures réseau — appliances non patchées, règles de filtrage permissives accumulées, services par défaut actifs, accès distants sans MFA — sont à l'origine d'une proportion disproportionnée des incidents documentés.

24 mai 2026 7 min
WhatsApp