Sommaire
Nous allons aborder le sujet de la sécurisation d'un système d'information grâce au cloisonnement de son architecture réseau. Nous définirons notamment les termes de segmentation et de filtrage et rappellerons la notion de surface d'attaque.
La sécurisation d’un système d’information (SI) repose en grande partie sur le cloisonnement de son architecture réseau, une approche combinant segmentation et filtrage. L’objectif : réduire la surface d’attaque en limitant les mouvements latéraux d’un attaquant.
Cet article explique pourquoi et comment mettre en place ces bonnes pratiques, depuis la conception d’un réseau segmenté jusqu’à l’application de règles de filtrage efficaces.
Mais, pour mieux comprendre les apports du cloisonnement réseau en termes de sécurité, faisons un bref rappel sur la notion de surface d'attaque.
La surface d'attaque d'un système (au sens large) est constituée de l'ensemble des points de contacts de celui-ci avec l'extérieur. Par exemple, la surface d'attaque d'une maison par rapport à un voleur est essentiellement composée des portes, des fenêtres, de l'entrée du garage, éventuellement de la cheminée, et dans les cas les plus extrêmes, des cloisons fines pouvant être percées.
Pour un système d'information, cette surface d'attaque est constituée de très nombreux éléments et est à mettre en lumière en fonction de ce que l'on défini comme étant l'extérieur : celle d'un poste utilisateur est constituée des ports et services qu'il expose sur le réseau, mais aussi des échanges provoqués par l'utilisateur (mail, navigation web) ou par le système d'exploitation (mises à jour).
Pour aller plus loin sur cette notion de surface d'attaque, je vous recommande notre article dédié à ce sujet :
Du point de vue d'un attaquant, la surface d'attaque représente l'ensemble des éléments sur lequel il pourrait avoir une opportunité d'attaque pour atteindre sa cible. Si l'attaquant passe par Internet, il pourra tenter d’attaquer une entreprise via la surface d'attaque classique : le site web vitrine, le service e-mail exposé sur Internet, les composants Cloud utilisés (Microsoft 365) mais aussi les interactions qu'il peut avoir avec les utilisateurs (e-mail, appel téléphonique, navigation web).
Si l'on se met maintenant dans la situation d'un attaquant qui a réussi à pénétrer à l'intérieur d'un système d'information, la situation est généralement bien plus complexe. La surface d'attaque peut grandir d'un facteur 100, 500 ou 1000 par rapport à une position externe (Internet). Car le nombre de réseaux, de systèmes et de services présents et accessibles est bien plus important. Mécaniquement, les chances de compromettre un système ou un compte sont donc plus grandes.
Pour rappel, l'intrusion d'un attaquant au sein d'un SI passe rarement par une intrusion physique. Bien souvent, il s'agit d'une intrusion distante, qui passe par un poste utilisateur compromis. Par exemple, via un e-mail ou un...
[Courte citation de 8% de l'article original]