Montréal, Canada / Douala Cameroun contact@omertasecurity.com
Suivez nous :
Disponible 24/7 +1 819 212 3640
Nous contacter
X
À propos de nous

Side Info Text

Gallery
Suivez-nous

Guide pratique : construire une DMZ et segmenter le réseau pour sécuriser une PME

août 30, 2025 omerta Comments(0)

1 – Contexte & objectifs

Pourquoi segmenter ?
La segmentation (DMZ + VLANs + zones) réduit l’attack surface en limitant la surface accessible depuis Internet et en empêchant la propagation latérale en cas de compromission. Elle permet aussi d’appliquer des politiques adaptées par fonction (web, mail, admin), de faciliter la surveillance et d’appliquer le principe du moindre privilège. Ces principes sont recommandés dans les guides nationaux et internationaux pour l’interconnexion à Internet et la protection des SI. (cyber.gouv.fr)

2 – Principes de base

  • Principe du moindre privilège : ne permettre que le minimum nécessaire (ports, adresses, services).
  • Zones & confiance : définir zones de confiance : Internet (non fiable) → Perimeter (edge) → DMZ (faiblement fiable / exposée) → Réseau interne (confiance élevée) → Management VLAN (très restreint). (cyber.gouv.fr)
  • Zero Trust (conceptuel) : ne pas faire confiance à une machine parce qu’elle est “dans le LAN” ; vérifier identité, posture et autorisations avant d’accorder l’accès. Intégrer authenticaton forte, micro-segmentation et inspection continue. (NIST Publications)
  • Micro-segmentation : découper encore le réseau interne (VLANs, VRFs, groupes d’endpoint) pour limiter les mouvements latéraux. (NIST Publications)

3 – Architecture cible (schéma logique)

Architecture simple recommandée pour PME :

Internet
   │
[Perimeter Firewall / Router]  <- filtrage ingress/egress, NAT, ACLs
   │
 ┌─┴────────────────────────────────────────────┐
 │                   DMZ                        │
 │  - Web servers (reverse proxy / WAF)         │
 │  - Mail relay / SMTP gateway                 │
 │  - Public DNS / TLS termination (proxy)      │
 └──────────────────────────────────────────────┘
   │
[Internal Firewall / segmentation router]
   │
 ┌─┴──────────────┬───────────────┬────────────────┐
 │  VLAN 10: Prod │ VLAN 20: Users│ VLAN 30: Mgmt  |
 │  (app servers) │ (workstations)│ (admin, backup)|
 └────────────────┴───────────────┴────────────────┘

Points clés :

  • Deux niveaux de filtrage (pare-feu périmétrique + pare-feu interne) pour réduire risques de contournement et pouvoir appliquer règles différentes. ANSSI recommande la séparation claire et diversité des fonctions de filtrage. (cyber.gouv.fr)
  • Reverse proxy/WAF en DMZ (ou Cloud CDN/WAF) : termine TLS, protège les applis web et limite connexions directes vers les serveurs d’origine. (Cloudflare)
  • Management VLAN strictement restreint (accès via jump-host / bastion + MFA).

4 – Composants & configurations

4.1 Pare-feu (règles minimales & NAT)

Architecture recommandée : pare-feu Edge (NAT / filtrage simple) → DMZ → pare-feu interne (politiques plus strictes). ANSSI détaille architectures et recommandations pour choix/configuration de pare-feux dans les DMZ. (cyber.gouv.fr)

Règles minimales (exemples conceptuels)

  • Bloquer tout par défaut ; autoriser explicitement.
  • Ingress Internet → DMZ : autoriser 80/443 vers reverse proxy, 25 vers mail gateway (si besoin), DNS (53) si service public.
  • DMZ → Internet : autoriser uniquement ce qui est strictement nécessaire (e.g., mises à jour, résolutions).
  • DMZ → Internal : très limité — idéalement aucune connexion initiée du DMZ vers l’interne ; si nécessaire, rules stateful pour ports précis vers des serveurs bien identifiés.
  • Internal → DMZ : autoriser (pour gestion, backups) via règles restrictives (ports, IPs).
  • Management VLAN : accessible seulement depuis bastion (jump host) et via VPN + MFA.

Exemple iptables minimal (serveur d’origine dans DMZ autorisant uniquement Cloudflare et admin)

# policy par défaut
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# loopback
iptables -A INPUT -i lo -j ACCEPT

# Established / related
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# Allow from Cloudflare IPs (exemple : 203.0.113.0/24) to web port (remplacer par les IP réelles du WAF/CDN)
iptables -A INPUT -p tcp -s 203.0.113.0/24 --dport 443 -m conntrack --ctstate NEW -j ACCEPT

# Allow admin from management net
iptables -A INPUT -p tcp -s 10.0.100.0/24 --dport 22 -m conntrack --ctstate NEW -j ACCEPT

# drop everything else
iptables -A INPUT -j LOG --log-prefix "INPUT_DROP: "
iptables -A INPUT -j DROP

Attention : remplace les plages d’IP par celles de ton fournisseur WAF/CDN et ne laisse jamais le port SSH ouvert à Internet sans contraintes (MFA, whitelisting IP, jump host). Pour Cloudflare, on autorise uniquement leurs adresses/Cloudflare Tunnel. (Cloudflare, Cloudflare Community)

4.2 Reverse proxy / WAF / CDN

  • Pourquoi ? : offload TLS, WAF, caching, DDoS mitigation, IP obfuscation. Cloudflare ou équivalents permettent de fermer l’origine aux connexions directes (autoriser seulement les IPs Cloudflare). (Cloudflare, The Cloudflare Blog)
  • Best practice : configurer le serveur d’origine pour n’accepter que les connexions depuis le WAF (ACL IP), forcer HTTPS, HSTS, et utiliser des headers (CF-Connecting-IP) correctement gérés. Vérifier que l’IP d’origine n’est pas exposée (logs, DNS secondaire). Voir risques de contournement si l’origine reste accessible publiquement. (Blog Detectify)

4.3 VPN / accès distant sécurisé

  • Accès distant via VPN avec MFA, logs et posture check (ex : client patch level). Solutions : OpenVPN / WireGuard + SSO / MFA, ou tunnels gérés (Cloudflare Tunnel, ZT providers). Restreindre accès VPN aux ressources nécessaires et segmenter les sessions. (NIST Publications, cyber.gouv.fr)

4.4 Monitoring & logs (SIEM basique)

  • Centraliser logs : pare-feu, reverse proxy, serveurs, authent. Utiliser Wazuh/Elastic/Graylog ou service cloud (SaaS SIEM). Règles d’alerte pour tentatives de brute force, scans, anomalies. Examiner régulièrement les logs et conserver au moins 90 jours (selon règles métier). (U.S. Department of Defense)

5 – Exemples concrets (règles / durcissement)

5.1 Exemples de règles firewall (Cisco zone-based minimal)

  • Zone Internet → Zone DMZ : permit tcp 80,443 to DMZ-web-object
  • Zone DMZ → Zone internal : deny any (sauf exceptions explicites)
  • Zone Internal → Zone DMZ : permit tcp host admin to webserver eq 22 (gestion)
    (Cisco zone-based policy guide montre patterns et l’utilisation d’inspection layer-7 pour certains flux). (Cisco)

5.2 Durcissement serveur web (checklist rapide)

  • OS & packages à jour ; remove services inutiles.
  • TLS 1.2+ (préférer 1.3), ciphers modernes, OCSP stapling.
  • Headers de sécurité (HSTS, X-Frame-Options, CSP).
  • Limiter accès SSH : keys only, port non standard + fail2ban, 2FA.
  • Backup & snapshots hors site, tests de restore.
  • Configurer les ACLs pour n’autoriser que WAF/CDN comme sources. (voir recommandations Cloudflare). (Cloudflare, wafatech.sa)

6 – Tests & validation

  • Scan externe : use nmap + tools (Nikto/OWASP ZAP) pour vérifier surface web.
  • Pentest light : check for common vulns (OWASP Top10), accès direct à l’origine, exposés SMTP open relay.
  • Validation logs : simuler attaques, vérifier alerting SIEM.
  • Vérification de contournement CDN/WAF : s’assurer que l’IP d’origine n’est pas accessible depuis Internet (scan d’IP publique). (Des études montrent qu’origine mal configurée permet de bypasser WAF). (Blog Detectify)

7 – Plan de maintenance

  • Patching : monthly patch cycle + emergency patch workflow.
  • Revue des règles : trimestrielle (ou après changement majeur). Conserver historique des règles et config backups. ANSSI recommande conservation et revues régulières. (cyber.gouv.fr)
  • Sauvegardes config : stocker configs pare-feu/routeurs sur serveur chiffré et tester restauration.
  • Exercices : tabletop / incident response yearly + tests de restauration backups.

8 – Annexes

A – Checklist déploiement (prioritaire)

  1. Inventaire des services exposés (nom, IP, port).
  2. Choix du modèle DMZ (physique vs virtuel) ; éviter la consolidation des fonctions de DMZ sur pare-feu interne. (cyber.gouv.fr)
  3. Plan d’adressage VLAN/IP et ACLs.
  4. Installer reverse proxy/WAF (ou config Cloud CDN), ajouter règle origin-allowlist.
  5. Mettre en place VPN + MFA + bastion.
  6. Centraliser logs et config SIEM.
  7. Tests (scan externe, pentest light).
  8. Backup configs & plan de rollback.

B – Diagrammes réutilisables (prêts à reproduire dans draw.io)

Diagramme 1 – Architecture logique (petite)

  • Draw.io shapes à utiliser : Cloud (Internet), Router, Firewall (perimeter), Server (Web / Mail), Switch, Host (Bastion), DB.
  • Couleurs conseillées : rouge = DMZ, bleu = interne, jaune = management.
  • Rappels : annoter NAT public → IP publique(s); lier WAF/reverse proxy au DNS (A / CNAME).

Diagramme 2 – VLAN / IP plan (exemple)

  • VLAN 10 — DMZ — 192.0.2.0/26 — web + mail
  • VLAN 20 — Users — 10.0.20.0/24 — postes de travail
  • VLAN 30 — Servers — 10.0.30.0/24 — app servers, DB (pas d’accès direct depuis Internet)
  • VLAN 100 — Management — 10.0.100.0/28 — jump hosts, switch mgmt

(Importer ces blocs dans draw.io et relier par pare-feux ; tu peux exporter en PNG/PDF pour impression.)

C – Exemples config (résumé rapide)

iptables snippet (voir section 4.1) – adapter aux IPs réelles.

Cisco zone-based simple (pseudo-commands)

zone name INTERNET
zone name DMZ
zone name INSIDE

access-list DMZ-IN permit tcp any host 10.0.30.10 eq 80
class-map type inspect match-any INSPECT_HTTP
 match access-group name DMZ-IN

policy-map type inspect PM-DMZ
 class type inspect INSPECT_HTTP
  inspect

zone-pair security INTERNET-to-DMZ source INTERNET destination DMZ
 service-policy type inspect PM-DMZ

(Consulter le guide Cisco zone-based pour détails et tests). (Cisco)

Sources principales

  • ANSSI — Guide pour la mise en œuvre d’une passerelle Internet sécurisée (DMZ / pare-feu). (cyber.gouv.fr)
  • Cyber.gouv / ANSSI — La cybersécurité pour les TPE/PME (recommandations pratiques). (cyber.gouv.fr)
  • NIST — Guide to a Secure Enterprise Network Landscape (SP 800-215) (microsegmentation). (NIST Publications)
  • NIST — Zero Trust Architecture (SP 800-207) (principes ZT). (NIST Publications)
  • Cloudflare Learning & Blog — reverse proxy / WAF / best practices pour protéger origines. (Cloudflare, The Cloudflare Blog)
  • Cisco — zone-based firewall and segmentation design guides (patterns & examples). (Cisco)

Remarques finales / recommandations pratiques

  1. Commence petit, sécurise vite : DMZ pour 1 service (web) + WAF/CDN + blocage IP direct → gains immédiats.
  2. Automatise backups & tests : scripts pour snapshot de configs + tests de restore.
  3. Documente tout : règles, exceptions, justificatifs business — indispensable pour audits et revues.
  4. Forme votre équipe : gestion des incidents, procédures de rollback, contact fournisseur (ISP, WAF).
  5. Rester vigilant : la configuration se détériore avec le temps ; audits trimestriels recommandés.

Laisser un commentaire

Notre équipe d'assistance spécialisée est disponible
24 heures sur 24, 7 jours sur 7, pour garantir votre sécurité et la sécurité de vos biens. le bon fonctionnement des systèmes informatiques et la résolution rapide des problèmes.

Liens utiles

Adresse de l'entreprise

Montréal, Canada / Douala Cameroun
Contact : +1 819 212 3640
Email : contact@omertasecurity.com
Horaire : 8:00 AM - 7:00 PM

Actualités récentes

Guide pratique : construire une DMZ et segmenter le réseau pour sécuriser une PME
septembre 10, 2025

Top 5 des bonnes pratiques de cybersécurité pour les entreprises en 2025

Lire la suite
Guide pratique : construire une DMZ et segmenter le réseau pour sécuriser une PME
septembre 10, 2025

Conférence sur le thème « Comment se défendre dans le cyberespace » à Douala

Lire la suite

Copyright @ 2025 OMERTA SECURITY INC. All Rights Received.