Skip to content

Une revue révèle que le réseau est plat — les serveurs financiers partagent un domaine de diffusion avec le Wi-Fi invité. Que recommandez-vous en premier ?

Réponse courte

Les réseaux plats permettent à un seul appareil invité compromis d'atteindre directement les systèmes les plus précieux. Segmentez par niveau de confiance et appliquez un trafic à moindre privilège entre les zones pour contenir et surveiller les déplacements latéraux. Un pare-feu de bordure ne fait rien pour le trafic est-ouest entre des hôtes déjà à l'intérieur. Re-adresser les serveurs financiers est de la sécurité par l'obscurité qu'un simple scan déjoue. L'antivirus est une couche de détection, pas un substitut au contrôle architectural d'isolement des systèmes sensibles.

Un réseau plat est l'un des constats architecturaux les plus courants — et les plus dangereux. Le signal de séniorité ici, c'est de reconnaître que la menace est le déplacement latéral, et que seule la segmentation y répond.

Pourquoi la segmentation est le bon premier geste

Quand des serveurs financiers partagent un domaine de diffusion avec le Wi-Fi invité, le portable compromis d'un visiteur se trouve sur le même segment de couche 2 que vos systèmes les plus sensibles. Rien ne les sépare — pas de point d'application de politique, pas d'inspection, pas de goulet d'étranglement. Un attaquant qui atterrit sur un appareil invité peut directement atteindre, scanner et attaquer les serveurs financiers. La segmentation découpe le réseau en zones par niveau de confiance et force le trafic entre elles via des chemins contrôlés (VLAN/sous-réseaux avec règles de pare-feu ou ACL appliquant le moindre privilège, idéalement vers la micro-segmentation et le zero-trust). Cela contient une intrusion, réduit le rayon d'impact et vous donne un endroit pour surveiller et bloquer les déplacements est-ouest.

Pourquoi les distracteurs sont faux

  • Acheter un NGFW de périmètre et considérer que c'est réglé. Un pare-feu de périmètre gouverne le trafic nord-sud qui traverse la frontière. Il est aveugle au trafic est-ouest entre le VLAN invité et les serveurs financiers qui partagent déjà un segment. Il ne fait rien pour le vrai problème.
  • Cacher les serveurs en changeant leurs IP. De la pure sécurité par l'obscurité. Quiconque est sur le même domaine de diffusion peut faire un ARP-scan ou balayer le sous-réseau et les trouver en quelques secondes. Renuméroter ne change rien à l'accessibilité.
  • Installer un antivirus sur les serveurs financiers. L'antivirus est une seule couche de détection/prévention sur l'hôte. Il n'isole pas les systèmes, n'arrête pas la reconnaissance et les déplacements latéraux, et n'est pas un contrôle architectural. Utile en défense en profondeur, inutile comme première correction.

Ce que sonde l'interlocuteur

Il veut vous voir diagnostiquer le vrai risque — le déplacement latéral non restreint — et recourir au contrôle structurel qui le corrige. La marque d'une bonne réponse, c'est de nommer est-ouest contre nord-sud, de rejeter la pensée périmètre-uniquement et obscurité, et de traiter l'antivirus comme une couche plutôt que la solution. Bonus pour esquisser un déploiement par phases et une trajectoire vers une segmentation zero-trust.

Questions de suivi probables

  • Quelle est la différence entre les contrôles périmétriques (nord-sud) et latéraux (est-ouest) ?
  • Comment déploieriez-vous la segmentation par phases sans casser le trafic de production ?
  • Où se situent la micro-segmentation et le zero-trust au-delà des VLAN et des ACL ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.