Points clés
- L'absence ou la mauvaise segmentation des systèmes transforme chaque compromission initiale en incident généralisé
- NotPetya (2017) : propagation depuis un logiciel comptable ukrainien vers 300 000 systèmes dans 150 pays via des réseaux non segmentés
- La segmentation réseau est le contrôle le plus efficace pour limiter la propagation latérale — au cœur des architectures Zero Trust
- DORA impose aux institutions financières de démontrer que leurs architectures limitent les risques de propagation en cascade
La segmentation des systèmes — division de l'infrastructure informatique en zones distinctes avec des contrôles d'accès entre elles — est l'un des contrôles de sécurité les plus efficaces pour limiter l'impact des incidents. Sans segmentation, une compromission initiale (un poste de travail infecté, un serveur vulnérable, un accès distant mal sécurisé) peut se propager latéralement à l'ensemble de l'infrastructure, transformant un incident local en catastrophe systémique.
La propagation latérale est la technique dominante dans les attaques avancées : une fois présents dans un réseau, les attaquants se déplacent progressivement d'un système à l'autre, escaladent leurs privilèges, et identifient les actifs les plus précieux (données sensibles, systèmes critiques, sauvegardes). Un réseau plat — sans segmentation — facilite ce mouvement et amplifie mécaniquement l'impact de chaque compromission.
Les niveaux de segmentation
La segmentation peut s'opérer à plusieurs niveaux : la segmentation réseau physique (VLANs, zones DMZ, séparation des réseaux de production et d'administration), la micro-segmentation (contrôle des flux entre applications individuelles, caractéristique des architectures Zero Trust), et la segmentation des environnements (séparation stricte entre développement, test et production).
Chaque niveau de segmentation réduit la capacité de propagation d'une compromission. Une organisation qui a correctement segmenté ses systèmes peut contenir un incident dans une zone sans qu'il affecte les autres. Cette containment capacity est mesurable : elle détermine le "blast radius" — le périmètre maximal qu'une compromission peut atteindre dans la pire hypothèse.
La segmentation comme décision de gouvernance
La segmentation a un coût : complexité de l'administration, latence potentielle dans les flux inter-zones, coût des équipements de contrôle. Ces coûts sont réels et doivent être arbitrés par rapport au coût du risque. Cet arbitrage est une décision de gouvernance — pas uniquement une décision technique — parce qu'il engage des investissements significatifs et définit le niveau d'exposition résiduel de l'organisation en cas d'incident.
Le NCSC britannique recommande que la segmentation soit évaluée selon les actifs à protéger, pas selon les contraintes techniques : les systèmes les plus critiques doivent être dans les zones les plus isolées, quitte à accepter les contraintes d'administration supplémentaires que cette isolation impose.
La segmentation dans les environnements cloud
La segmentation dans les environnements cloud natifs adopte des formes différentes de la segmentation réseau traditionnelle : Virtual Private Clouds (VPC), security groups, network access control lists, service mesh pour les microservices. Ces mécanismes cloud-native sont équivalents fonctionnellement à la segmentation réseau traditionnelle mais requièrent des compétences spécifiques pour être correctement configurés et maintenus.
Les erreurs de configuration dans la segmentation cloud sont une source majeure d'incidents : des security groups trop permissifs, des VPC avec des règles de routage mal configurées, des services mal isolés exposent les mêmes risques qu'un réseau plat traditionnel — voire plus, en raison de la vitesse à laquelle les configurations cloud peuvent changer.
La compromission de Target a débuté via le réseau d'un prestataire de services HVAC (gestion du chauffage et de la climatisation) connecté au réseau interne de Target. L'absence de segmentation entre le réseau des prestataires et le réseau des systèmes de paiement a permis aux attaquants de se déplacer latéralement jusqu'aux terminaux de paiement en magasin. Une segmentation correcte entre le réseau prestataires et le réseau de paiement aurait contenu l'incident dans la zone du prestataire et empêché l'accès aux données de cartes bancaires.
NotPetya a initialement compromis MeDoc, un logiciel comptable utilisé par des entreprises opérant en Ukraine. Sa propagation vers des réseaux d'entreprises mondiales — Maersk, Saint-Gobain, Merck, Mondelez — a exploité l'absence de segmentation entre les filiales ukrainiennes et les réseaux mondiaux de ces groupes. Maersk a dû reconstruire l'intégralité de son infrastructure IT (45 000 PC, 4 000 serveurs) en 10 jours. Une segmentation correcte entre les filiales et le réseau global aurait contenu l'impact aux entités ukrainiennes.
L'assureur indien Star Health a subi une compromission exposant les données de santé de 31 millions de clients. L'investigation a révélé que des systèmes de traitement des données médicales n'étaient pas isolés des systèmes administratifs moins critiques. Un accès initial dans la zone administrative a fourni le vecteur pour atteindre les bases de données médicales. L'absence de segmentation entre les zones de données selon leur criticité a transformé ce qui aurait pu être un incident limité en l'une des plus importantes compromissions de données de santé du secteur asiatique.