Points clés
- L'architecture réseau résiliente de Maersk, reconstruite après NotPetya (2017), a été documentée comme un cas de référence : segmentation régionale stricte, capacité de fonctionnement autonome de chaque région en cas d'isolement, et plan de reconstruction documenté et testé permettant de reconstruire l'infrastructure complète en 10 jours si nécessaire.
- Le CISA "Resilient Networks" framework définit cinq propriétés d'une architecture réseau résiliente : redondance, diversité (éviter les composants SPOF), isolation des défaillances (capacité à limiter l'impact d'une défaillance à un segment), récupérabilité (capacité à restaurer rapidement la disponibilité), et adaptabilité (capacité à reconfigurer le réseau face à des nouvelles menaces).
- BT Group (Royaume-Uni) a documenté dans son rapport de résilience 2023 que son architecture réseau multi-chemin redondante a maintenu une disponibilité de 99,998 % de ses services critiques malgré trois incidents majeurs de tentatives d'intrusion — la résilience architecturale comme mesure de continuité indépendante des capacités de détection.
Une architecture réseau résiliente est conçue pour maintenir un niveau de service acceptable malgré les compromissions, les pannes de composants et les attaques — et pour restaurer rapidement un fonctionnement normal quand une perturbation survient. La résilience n'est pas une propriété qui s'ajoute après coup mais une dimension qui doit être intégrée dès la conception de l'architecture.
Principes d'une architecture réseau résiliente
Redondance des composants critiques. Les équipements réseau dont la défaillance causerait une interruption de service significative doivent être doublés ou triplés avec basculement automatique. Cette redondance doit être testée régulièrement par des exercices de failover planifiés.
Segmentation limitant la propagation des incidents. La segmentation réseau n'est pas seulement un contrôle de sécurité — c'est aussi un mécanisme de résilience : en limitant les communications inter-segments au strict nécessaire, elle limite la propagation des malwares et des défaillances en cascade. Un réseau non segmenté est un réseau où un seul point de compromission peut paralyser l'ensemble des systèmes.
Capacité de dégradation gracieuse. L'architecture doit définir des modes de fonctionnement dégradés qui maintiennent les services essentiels en cas de compromission partielle : quels services peuvent fonctionner sans certains composants réseau, quelles dépendances peuvent être court-circuitées temporairement, et comment les équipes peuvent-elles communiquer si les systèmes de communication principaux sont compromis.
Plan de reconstruction documenté et testé. En cas de compromission majeure nécessitant une reconstruction complète de l'infrastructure réseau, un plan documenté avec les procédures, les ressources nécessaires et les délais attendus doit exister et être testé au moins annuellement. L'expérience de Maersk post-NotPetya illustre que sans plan de reconstruction préexistant, la reconstruction est chaotique et prend plusieurs fois plus de temps que nécessaire.
Cas opérationnel : Reconstruction de l'infrastructure réseau Maersk post-NotPetya (International, 2017)
La reconstruction de l'infrastructure IT de Maersk après NotPetya en juin-juillet 2017 est devenue un cas d'étude sur la résilience réseau. En 10 jours, Maersk a reinstallé 45 000 PC, 4 000 serveurs et 2 500 applications — une performance rendue possible par la disponibilité d'une sauvegarde complète du contrôleur de domaine Active Directory sur un site en Afrique du Ouest qui n'avait pas été touché par NotPetya (une copie de sauvegarde qui existait par accident plutôt que par design). Les leçons tirées ont conduit Maersk à refondre son architecture réseau avec une segmentation régionale stricte permettant à chaque région de fonctionner de manière autonome en cas d'isolation, des sauvegardes testées hors périmètre réseau principal, et un plan de reconstruction documenté avec des équipes formées aux procédures de restauration.
Le CISA a publié des objectifs de performance cybersécurité inter-secteurs incluant des métriques spécifiques pour la résilience réseau : disponibilité des services critiques pendant un incident (objectif : maintien de 80 % de la capacité), délai de restauration après compromission (objectif : RTO de 4 heures pour les services critiques), et couverture des tests de failover des composants réseau redondants (objectif : 100 % testés annuellement).
Le Digital Operational Resilience Act impose aux entités financières des tests de résilience opérationnelle de leurs infrastructures réseau, incluant des tests de résistance (stress tests) et des tests TLPT (Threat-Led Penetration Testing) ciblant les composants réseau critiques. Ces tests doivent être documentés et leurs résultats soumis aux régulateurs — créant une obligation formelle de tester et de démontrer la résilience architecturale du réseau.
La Monetary Authority of Singapore a mis à jour ses exigences de Business Continuity Management pour les institutions financières en 2023, incluant des exigences spécifiques sur la résilience des infrastructures réseau : tests de basculement des liaisons réseaux critiques, capacité de fonctionnement en mode dégradé documentée, et délais de reprise garantis pour les services réseau essentiels.