Skip to content

Qu'est-ce qu'une DMZ dans l'architecture réseau, et pourquoi en utiliser une ?

Réponse courte

Une DMZ (zone démilitarisée) est un segment réseau situé entre l'Internet non fiable et le réseau interne de confiance, hébergeant des services exposés au public comme les serveurs web, mail et DNS. Les règles de pare-feu laissent Internet atteindre la DMZ mais restreignent fortement l'accès de la DMZ au réseau interne. Le but est le confinement : si un serveur public est compromis, l'attaquant reste coincé dans la zone tampon plutôt que d'atterrir dans le LAN.

Une DMZ incarne une idée simple et durable : tout ce qu'Internet peut atteindre sera un jour sondé et pourra être compromis, donc ne laissez pas ces systèmes exposés à côté de vos joyaux. La DMZ est le tampon qui absorbe ce risque.

Ce que c'est

Une DMZ (zone démilitarisée) est un segment réseau distinct placé entre l'Internet hostile et le réseau interne de confiance. Elle héberge les services qui doivent être joignables de l'extérieur : serveurs web, proxys inverses, passerelles de messagerie, DNS public. La politique de pare-feu est tout l'enjeu :

  • Internet → DMZ : autorisé, mais uniquement vers des services/ports spécifiques.
  • DMZ → Interne : fortement restreint, idéalement vers des hôtes/ports spécifiques (par exemple, le serveur web ne peut joindre qu'une passerelle applicative, jamais tout le LAN).
  • Interne → DMZ : contrôlé selon les besoins.

Pourquoi en utiliser une — le confinement

Si un attaquant compromet un serveur web public sans DMZ, il atterrit souvent directement à l'intérieur du réseau d'entreprise et rebondit librement. Avec une DMZ, la machine compromise est confinée dans la zone tampon ; le second jeu de règles entre la DMZ et l'interne l'empêche d'atteindre les contrôleurs de domaine, les bases de données et les serveurs de fichiers sans franchir une autre frontière contrôlée. C'est la défense en profondeur et la réduction du rayon d'impact sous forme concrète.

Conceptions et bonnes pratiques

Une DMZ à double pare-feu (un pare-feu face à Internet, un autre face à l'interne, idéalement de fournisseurs différents) est plus solide qu'une conception à pare-feu unique à trois branches, car une faille d'un pare-feu ne fait pas s'effondrer les deux frontières. Une pratique clé : un serveur web en DMZ ne devrait pas détenir directement de données sensibles — il devrait communiquer par un chemin strictement délimité vers un back-end situé plus en profondeur. Le concept de DMZ alimente aussi naturellement la réflexion moderne sur la segmentation et le zero trust.

Les recruteurs attendent la définition de zone tampon, les règles de pare-feu asymétriques, et la justification confinement/rayon d'impact.

Questions de suivi probables

  • Quelle est la différence entre une conception de DMZ à pare-feu unique et à double pare-feu ?
  • Pourquoi un serveur web en DMZ ne devrait-il pas détenir directement la base de données ?
  • Comment une DMZ se relie-t-elle à la segmentation réseau et au zero trust ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.