Français
Blog · Sécurité réseau

Segmentation réseau pour NIS2 et ISO 27001 : de l'exigence de conformité à la mesure de sécurité concrète

La segmentation réseau limite les mouvements latéraux et protège les systèmes critiques

La plupart des réseaux d'entreprise ont été bâtis « à plat » : un grand réseau où l'ordinateur portable de l'accueil, le serveur comptable, les machines de production et les sauvegardes peuvent tous se joindre. C'est pratique à administrer, mais c'est exactement le scénario qu'espère un attaquant. Quiconque entre par un simple identifiant hameçonné ou un appareil vulnérable peut se déplacer librement dans tout le réseau — du poste de travail au serveur puis à la sauvegarde — sans jamais rencontrer de seconde barrière.

La segmentation réseau réintroduit ces barrières dans le réseau. Elle est à la fois l'une des mesures techniques les plus efficaces contre les rançongiciels et une mesure que NIS2 comme ISO 27001 attendent de vous. Cet article explique ce qu'est la segmentation, pourquoi elle fonctionne, comment elle s'aligne sur les deux cadres, et comment la mettre en œuvre de façon à pouvoir aussi la prouver lors d'un audit.

Qu'est-ce que la segmentation réseau ?

La segmentation réseau consiste à diviser votre réseau en zones séparées et à contrôler délibérément le trafic entre ces zones. Au lieu d'un espace ouvert où tout communique avec tout, on crée des compartiments aux frontières claires — comme les compartiments coupe-feu d'un bâtiment. Un incident dans une zone ne se propage pas automatiquement au reste.

En pratique, la segmentation existe à plusieurs niveaux, du plus grossier au plus fin :

  • Séparation physique : équipements ou réseaux dédiés aux systèmes critiques (par exemple un réseau OT/production isolé).
  • Segmentation par VLAN et sous-réseaux : zones logiques telles que bureau, Wi-Fi invités, serveurs, caméras et IoT, avec un pare-feu qui filtre le trafic à la frontière des zones.
  • Micro-segmentation : isolation fine jusqu'aux systèmes ou charges de travail individuels, où seul le trafic explicitement autorisé est laissé passer.
  • Segmentation Zero Trust : l'accès n'est pas déterminé par l'emplacement dans le réseau mais vérifié pour chaque connexion selon l'identité, l'appareil et le contexte — le principe « ne jamais faire confiance, toujours vérifier ».

Cette approche s'aligne sur le modèle Zero Trust plus large décrit par le NIST américain dans SP 800-207 (Zero Trust Architecture), qui sous-tend désormais de nombreuses stratégies de sécurité européennes. La segmentation en est la couche réseau : elle rend concret et applicable le principe « restreindre l'accès au strict nécessaire ».

Pourquoi la segmentation fonctionne : stopper les mouvements latéraux

La principale raison pour laquelle les attaquants causent tant de dégâts n'est pas l'intrusion initiale — c'est ce qui suit. Après l'accès initial, les attaquants se déplacent latéralement : depuis le premier système compromis, ils cherchent des comptes, des serveurs et des données de plus grande valeur. Dans un réseau à plat, cela demande très peu d'efforts.

Deux chiffres issus de recherches indépendantes montrent combien de temps les attaquants disposent pour cela. Selon le rapport M-Trends 2025 de Mandiant (Google Cloud), le dwell time médian mondial — la période durant laquelle un attaquant reste indétecté — est de 11 jours. Pendant ces jours, votre architecture réseau détermine si l'attaquant reste sur un poste ou perce jusqu'à vos joyaux. Le Verizon Data Breach Investigations Report annuel montre par ailleurs depuis des années que les identifiants volés et les vulnérabilités exploitées sont les principales voies d'accès — précisément les scénarios où la segmentation limite les dégâts.

La segmentation réduit ce que les professionnels de la sécurité appellent le rayon d'impact (blast radius) : la portée d'un incident. Les principales recommandations gouvernementales le confirment. L'agence américaine de cybersécurité CISA recommande explicitement, dans son #StopRansomware Guide, d'utiliser la segmentation réseau pour entraver les mouvements latéraux des attaquants et empêcher la propagation des rançongiciels. Pour les PME et les organisations à sites, clients ou services multiples, c'est souvent la différence entre un incident isolé et une panne à l'échelle de l'entreprise.

Le lien avec NIS2 et ISO 27001

La segmentation n'est pas seulement une bonne hygiène — elle touche directement deux cadres auxquels un nombre croissant d'organisations en France, en Belgique et aux Pays-Bas doivent se conformer.

NIS2 : mesures appropriées et restriction d'accès

La directive NIS2 (directive (UE) 2022/2555) impose aux entités essentielles et importantes de prendre des mesures techniques, opérationnelles et organisationnelles appropriées. L'article 21 mentionne notamment l'analyse de risque, la sécurité des systèmes de réseau et d'information, les politiques de contrôle d'accès et la gestion des incidents. NIS2 ne prescrit pas littéralement la segmentation, mais la restriction d'accès, la sécurité réseau et la limitation de l'impact des incidents en sont des mises en œuvre largement reconnues — comme le reflète aussi le guide de mise en œuvre technique de l'ENISA, l'agence de l'Union européenne pour la cybersécurité. Appliquer la segmentation là où elle est proportionnée, et la justifier par le risque, c'est démontrer que les mesures sont « appropriées ».

ISO 27001 : l'Annexe A la rend concrète

ISO 27001:2022 traduit le même principe en mesures concrètes dans l'Annexe A. Quatre d'entre elles sont directement pertinentes :

  • A.8.20 – Sécurité des réseaux : les réseaux et équipements réseau doivent être sécurisés, gérés et contrôlés.
  • A.8.22 – Cloisonnement des réseaux : les groupes de services d'information, d'utilisateurs et de systèmes doivent être séparés au sein du réseau. C'est la mesure centrale qui appelle littéralement la segmentation.
  • A.8.15 – Journalisation : les événements sont enregistrés, y compris le trafic et les accès entre zones.
  • A.8.16 – Activités de surveillance : les réseaux et systèmes sont surveillés pour détecter les comportements anormaux.

Pour un auditeur, la question n'est pas seulement si vous segmentez, mais si ce choix découle de votre analyse de risque et si vous pouvez en démontrer l'efficacité. La segmentation est ainsi un exemple type de la façon dont NIS2 et ISO 27001 se renforcent mutuellement : une même mesure sert les deux cadres.

Mesures concrètes : comment procéder

La segmentation n'a pas à être un projet pluriannuel. Une approche pragmatique, pilotée par le risque, produit rapidement des résultats :

  1. Cartographiez les flux de trafic. On ne peut séparer ce qu'on ne voit pas. Commencez par comprendre quels systèmes communiquent entre eux et pourquoi.
  2. Définissez des zones selon le risque. Pensez à : serveurs et données critiques, postes de bureau, Wi-Fi invités, IoT/caméras, administration et sauvegarde. Les systèmes critiques reçoivent les frontières les plus strictes.
  3. Définissez une politique par frontière de zone. Tout bloquer par défaut et n'autoriser explicitement que le trafic nécessaire (default-deny). C'est l'équivalent du moindre privilège appliqué à la segmentation.
  4. Isolez l'administration et les sauvegardes. Les interfaces d'administration et les environnements de sauvegarde doivent se trouver dans une zone séparée et étroitement protégée — ce sont précisément les cibles des rançongiciels.
  5. Commencez par les plus grands risques. Séparez d'abord les invités, l'IoT et les serveurs critiques ; affinez ensuite vers la micro-segmentation là où le risque le justifie.
  6. Documentez et révisez. Consignez le zonage, la politique et la justification, et réexaminez-les périodiquement — c'est aussi une exigence d'audit.

Pour les organisations plus petites, cela s'articule naturellement avec les mesures de base en cybersécurité et avec ISO 27001 pour les PME, où la proportionnalité est centrale.

Journalisation, surveillance, pistes d'audit et SIEM

Une frontière de zone que vous ne voyez pas est une frontière à laquelle vous ne pouvez vous fier. Segmentation et visibilité sont indissociables : le trafic entre zones est précisément l'endroit où l'on peut prendre les attaquants en flagrant délit de mouvement latéral. C'est pourquoi A.8.15/A.8.16 comme NIS2 exigent journalisation et surveillance.

Le document du NIST SP 800-92 (Guide to Computer Security Log Management) fait référence pour la gestion structurée des journaux : collecter les logs de façon centralisée, les protéger contre l'altération et les conserver assez longtemps pour l'investigation. En pratique, cela signifie que les journaux de trafic et de politique de votre solution de segmentation sont transmis à un SIEM (Security Information and Event Management), où ils sont corrélés avec d'autres sources. On obtient ainsi des pistes d'audit exploitables : qui a fait quoi, quand, et quel trafic a été bloqué ou autorisé. Ce n'est pas seulement utile sur le plan opérationnel — c'est exactement la preuve qu'un auditeur veut voir.

Comment Zenarmor y contribue

La segmentation dépend entièrement de la technologie avec laquelle vous voyez et appliquez le trafic entre les zones. Un pare-feu de nouvelle génération doté d'une connaissance applicative en est une brique logique. Zenarmor est l'une de ces solutions : il ajoute des fonctions de pare-feu nouvelle génération à des plateformes courantes et s'intègre bien dans une approche de sécurité et de conformité en couches. Parmi les capacités pertinentes pour un scénario de segmentation :

  • Visibilité du trafic : savoir quelles applications et quels utilisateurs franchissent les frontières de zones — la base d'une segmentation pertinente et d'un découpage de segmentation réfléchi.
  • Application des politiques et contrôle applicatif : appliquer les politiques au niveau applicatif plutôt qu'au seul niveau des ports et adresses IP — en phase avec A.8.20 et A.8.22.
  • Principes Zero Trust : restreindre l'accès au nécessaire, conformément au Zero Trust Network Access et au modèle du NIST.
  • Journalisation, pistes d'audit et intégration SIEM/SOAR : exporter les événements de trafic et de politique vers votre SIEM pour corrélation et conservation — la démontrabilité qu'exigent A.8.15/A.8.16.
  • Automatisation par API et sauvegarde/restauration des politiques : gérer les politiques comme du code, les versionner et les garder restaurables, afin que les changements soient traçables et démontrables.
  • Gouvernance multi-tenant : politiques et rapports séparés par site, client ou service — précieux pour les organisations gérant plusieurs environnements.

Zenarmor n'est résolument pas un substitut à une démarche de conformité, mais une façon concrète de remplir la couche technique. La gouvernance qui l'entoure — analyse de risque, politiques, déclaration d'applicabilité et démontrabilité lors de l'audit — c'est là que Secrotec vous accompagne, aux côtés de la technique.

Conclusion

La segmentation réseau est l'une des rares mesures qui augmente votre résilience et fait progresser votre conformité en même temps. Elle stoppe les mouvements latéraux, réduit le rayon d'impact d'un incident et répond à des exigences concrètes de l'Annexe A d'ISO 27001 (A.8.20, A.8.22, A.8.15, A.8.16) et de l'article 21 de NIS2. Avec la bonne technologie — par exemple un pare-feu nouvelle génération comme Zenarmor pour la visibilité et l'application des politiques — et la bonne gouvernance autour, la segmentation passe d'une exigence de conformité abstraite à une mesure de sécurité tangible et démontrable.

Vous voulez savoir si votre réseau satisfait de façon démontrable à NIS2 et à ISO 27001 ? Secrotec vous accompagne de l'analyse de risque à une mise en œuvre prête pour l'audit.

FAQ

Questions fréquentes

Des réponses courtes et directes aux questions les plus fréquentes.

NIS2 ne mentionne pas explicitement la segmentation, mais l'article 21 impose des mesures techniques et organisationnelles appropriées pour protéger les systèmes de réseau et d'information. La segmentation réseau, la restriction d'accès et la surveillance sont des façons largement reconnues d'y répondre. Les autorités et les normes comme ISO 27001 attendent que vous appliquiez la segmentation là où le risque le justifie et que vous fondiez ce choix sur votre analyse de risque.

Les mesures les plus pertinentes d'ISO 27001:2022 sont A.8.20 (Sécurité des réseaux), A.8.22 (Cloisonnement des réseaux), A.8.15 (Journalisation) et A.8.16 (Activités de surveillance). Ensemble, elles exigent des zones réseau séparées, un trafic contrôlé entre les zones, ainsi qu'une journalisation et une surveillance démontrables de ce trafic.

La segmentation par VLAN divise le réseau en quelques grandes zones (par exemple bureau, invités, serveurs) et filtre le trafic à leur frontière. La micro-segmentation est plus fine : elle isole des systèmes ou charges de travail individuels et n'autorise que le trafic explicitement permis, selon le principe Zero Trust « ne jamais faire confiance, toujours vérifier ». La micro-segmentation limite davantage les mouvements latéraux, mais demande une meilleure connaissance des flux de trafic.

Documentez le zonage, la politique associée et sa justification issue de l'analyse de risque. Veillez à ce que les règles de pare-feu, les politiques et les modifications soient versionnées et journalisées, et à ce que le trafic entre zones soit surveillé et conservé. Une console centrale avec pistes d'audit, sauvegarde des politiques et export vers votre SIEM fournit la preuve qu'un auditeur veut voir : que la mesure existe, fonctionne et est gérée.

Votre réseau est-il sûr et conforme de façon démontrable ?

Planifiez un scan sécurité & conformité sans engagement. En un seul entretien, vous saurez où en est votre segmentation par rapport à NIS2 et ISO 27001, et quelle est la prochaine étape.

Demander un scan

Ils nous font confiance

Certe Groep Certe Assuradeuren Chatbot Soluck Wattse Nextech Muast