Qu'est-ce que la microsegmentation en cybersécurité ?

Qu'est-ce que la microsegmentation ?

La microsegmentation met en œuvre des contrôles d'accès au niveau des charges de travail qui empêchent les mouvements latéraux non autorisés dans les infrastructures modernes. Contrairement à la segmentation réseau traditionnelle qui divise les réseaux en grandes zones selon la topologie physique, la microsegmentation applique des politiques basées sur l'identité entre les charges de travail individuelles, quel que soit leur emplacement réseau. La définition de la microsegmentation a évolué pour englober des contrôles de sécurité centrés sur la charge de travail et basés sur l'identité, opérant à travers plusieurs couches d'infrastructure avec une visibilité au niveau applicatif.

La microsegmentation est devenue un pilier fondamental de l'architecture Zero Trust. Cette architecture repose sur trois principes clés :

1. L'application de politiques centrées sur la charge de travail remplace les contrôles centrés sur le réseau. Les politiques sont associées aux identités applicatives et aux identifiants utilisateur plutôt qu'aux adresses IP. Lorsque vous migrez une base de données vers AWS ou redéployez des microservices dans Kubernetes, les politiques de sécurité suivent automatiquement la charge de travail.
2. La visibilité applicative de couche 7 offre un contrôle granulaire sur les schémas de communication. Au lieu d'autoriser tout le trafic entre sous-réseaux, vous définissez quelles API spécifiques un microservice peut appeler sur un autre. Cette visibilité au niveau applicatif révèle des comportements d'attaque que les pare-feux réseau ne détectent pas. Selon la publication spéciale 800-207 du NIST, cette focalisation sur la couche applicative représente un passage des périmètres statiques basés sur le réseau à des contrôles de sécurité centrés sur les actifs et les charges de travail. Les contrôles de couche 7 fonctionnent en complément des contrôles réseau traditionnels de couche 2/3 pour appliquer des politiques basées sur l'identité et détecter les tentatives de mouvement latéral que les VLANs de couche 2 et les pare-feux réseau ne peuvent pas identifier.
3. La posture par défaut de refus élimine la confiance implicite à l'intérieur des frontières réseau. Chaque demande de communication nécessite une autorisation explicite basée sur l'identité, le contexte et une évaluation du risque en temps réel. Un identifiant compromis peut s'authentifier avec succès, mais l'analyse comportementale bloque la tentative de mouvement latéral lorsque ce compte tente d'accéder à des charges de travail en dehors de son schéma habituel.

La propagation des ransomwares dépend du mouvement latéral. Les attaquants doivent se déplacer du point d'accès initial vers des cibles à forte valeur. La microsegmentation crée des points de contrôle dans tout votre environnement que les ransomwares ne peuvent pas contourner.

Pourquoi la microsegmentation est-elle importante en cybersécurité ?

La microsegmentation répond à l'échec fondamental de la sécurité périmétrique, où les attaquants opèrent à l'intérieur de votre réseau avec des identifiants valides. Les modèles de sécurité traditionnels supposent que tout ce qui se trouve à l'intérieur du périmètre réseau est digne de confiance. Une fois le périmètre franchi, les attaquants se déplacent latéralement sans rencontrer de contrôles supplémentaires. Les recherches montrent que les attaquants réalisent un mouvement latéral en moins de 48 minutes après la compromission initiale.

La microsegmentation élimine cette confiance implicite en exigeant une autorisation explicite pour chaque connexion entre charges de travail. Un attaquant qui compromet un serveur web ne peut pas se connecter aux bases de données backend car les politiques vérifient à la fois l'identité et les schémas comportementaux. Comprendre comment la microsegmentation diffère de la segmentation réseau traditionnelle explique pourquoi ce changement architectural est crucial pour la sécurité Zero Trust.

En quoi la microsegmentation diffère-t-elle de la segmentation réseau ?

La segmentation réseau traditionnelle fonctionne aux couches 2 et 3 avec une granularité grossière basée sur la topologie réseau physique ou virtuelle. Les VLANs regroupent les appareils par emplacement ou fonction, appliquant la même politique de sécurité à tout ce qui se trouve dans ce segment. Lorsque vous placez des serveurs de développement dans un VLAN et des systèmes de production dans un autre, chaque serveur de développement peut communiquer librement avec les autres serveurs de développement.

La microsegmentation opère à travers plusieurs couches avec des contrôles applicatifs de couche 7. Les politiques sont centrées sur la charge de travail et basées sur l'identité plutôt que sur le réseau. Vous définissez que cette passerelle API spécifique peut accéder à cette fonction de base de données particulière, et non que le sous-réseau A peut atteindre le sous-réseau B.

• L'application statique versus dynamique révèle la différence fondamentale. Les VLANs lient les politiques de sécurité à l'infrastructure physique, opérant à la couche 2 avec une granularité grossière basée sur la topologie réseau. Lorsque vous déployez de nouvelles charges de travail cloud ou augmentez le nombre de conteneurs, vous devez mettre à jour manuellement les configurations VLAN et les règles de pare-feu. Les politiques de microsegmentation réseau suivent automatiquement les charges de travail car elles sont basées sur les attributs d'identité et le contexte applicatif plutôt que sur les adresses réseau, permettant une application dynamique qui s'adapte aux mouvements des charges de travail dans l'infrastructure.
• Contrôle du trafic nord-sud versus est-ouest met en évidence l'angle mort de la segmentation traditionnelle. Les pare-feux réseau excellent pour contrôler le trafic entrant et sortant de votre environnement (nord-sud). Ils peinent à contrôler le trafic latéral entre systèmes internes (est-ouest), là où se produit la majorité des mouvements d'attaque. La microsegmentation cible spécifiquement la limitation des mouvements latéraux adverses au sein du réseau d'une organisation pour accéder aux données sensibles et aux systèmes critiques.

Composants clés de la microsegmentation

L'architecture de microsegmentation nécessite quatre composants intégrés qui travaillent ensemble pour appliquer des contrôles d'accès basés sur l'identité. 

1. Le contrôleur de politiques sert de plan de gestion central, maintenant le référentiel de politiques de sécurité et calculant les décisions d'accès en fonction des attributs de la charge de travail, du contexte utilisateur et des signaux comportementaux. Ce contrôleur traduit les exigences de sécurité de haut niveau en règles applicables que l'automatisation du déploiement peut consommer.
2. Les agents d'application sont déployés dans l'infrastructure pour intercepter et évaluer les demandes de connexion. Ces agents fonctionnent comme modules noyau sur des machines virtuelles, sidecars dans des pods Kubernetes, ou points d'intégration avec des groupes de sécurité cloud. Chaque agent applique les décisions localement sans nécessiter une connectivité constante avec le contrôleur de politiques, maintenant la protection même lors de partitions réseau.
3. Les fournisseurs d'identité authentifient les charges de travail et les utilisateurs via des certificats, des clés API ou des protocoles d'identité fédérée. Le système de microsegmentation interroge ces fournisseurs pour vérifier que les entités demandeuses possèdent des identifiants valides avant d'évaluer les politiques d'autorisation.
4. Les collecteurs de télémétrie agrègent les données de flux réseau, les violations de politiques et les anomalies comportementales provenant des agents d'application. Ce retour continu permet au contrôleur de politiques de détecter les schémas d'attaque, de recommander des ajustements de politiques et de déclencher des réponses automatisées aux activités suspectes. La collecte de télémétrie fournit la visibilité nécessaire pour une chasse aux menaces efficace et la production de rapports de conformité.

Ces composants sont déployés selon différentes approches techniques en fonction de l'architecture de votre infrastructure et de vos exigences opérationnelles.

Types de techniques de microsegmentation

Les organisations mettent en œuvre la microsegmentation à travers cinq techniques principales, chacune adaptée à différents types d'infrastructure et exigences opérationnelles.

1. La microsegmentation basée sur le réseau utilise des contrôleurs SDN (Software-Defined Networking) et des commutateurs virtuels distribués pour appliquer des politiques au niveau réseau. Cette approche convient aux datacenters virtualisés où les contrôleurs SDN centralisés peuvent programmer dynamiquement les tables de flux des commutateurs virtuels en fonction de l'identité des charges de travail.
2. La microsegmentation basée sur l'hôte déploie des agents d'application directement sur les systèmes d'exploitation, contrôlant le trafic via des pare-feux hôtes ou des filtres de paquets au niveau du noyau. Cette technique protège les serveurs physiques, les systèmes hérités et les environnements où le contrôle réseau n'est pas disponible.
3. La microsegmentation cloud-native exploite des constructions spécifiques à la plateforme comme les groupes de sécurité AWS, les groupes de sécurité réseau Azure ou les règles de pare-feu GCP. Les fournisseurs cloud gèrent l'infrastructure d'application tandis que les moteurs de politiques centralisés traduisent les identités des charges de travail en configurations spécifiques au cloud via l'automatisation API.
4. La microsegmentation native aux conteneurs s'intègre aux architectures de service mesh comme Istio ou Linkerd. Le service mesh intercepte toutes les communications entre pods, appliquant des politiques au niveau applicatif avec une authentification TLS mutuelle entre microservices.
5. La microsegmentation au niveau applicatif fonctionne à la couche 7, contrôlant des appels API spécifiques, des requêtes de base de données ou des fonctions applicatives plutôt que de simplement autoriser ou bloquer des connexions. Cette technique nécessite une intégration profonde avec les frameworks applicatifs mais offre le contrôle le plus granulaire sur le comportement des charges de travail.

Comprendre ces approches de mise en œuvre explique pourquoi les organisations adoptent la microsegmentation malgré la complexité opérationnelle.

Comment fonctionne la microsegmentation

La microsegmentation applique des contrôles d'accès via la vérification d'identité et l'application de politiques au niveau des charges de travail. L'architecture nécessite trois composants principaux travaillant ensemble : des points de décision de politique (PDP) qui calculent et émettent les décisions d'accès, des points d'application de politique (PEP) qui appliquent ces décisions en autorisant, surveillant ou interrompant les connexions, et des systèmes de surveillance continue qui fournissent une visibilité sur le trafic réseau et la posture de sécurité.

1. Les points de décision de politique évaluent les demandes d'accès en utilisant l'identité de la charge de travail, le contexte applicatif, les identifiants utilisateur et les attributs comportementaux. Lorsqu'une application conteneurisée tente de communiquer avec une base de données, le moteur de politique vérifie : Cette identité de charge de travail est-elle autorisée ? L'opération demandée est-elle conforme aux schémas comportementaux normaux ? La session utilisateur présente-t-elle des signes de compromission ?
2. Les points d'application de politique se placent entre les charges de travail et appliquent les décisions en autorisant, bloquant ou surveillant les connexions. Ces points d'application opèrent à plusieurs couches, y compris les interfaces réseau, les pare-feux hôtes, les service meshes ou les groupes de sécurité cloud. La différence clé avec les pare-feux traditionnels : les points d'application reçoivent des décisions dynamiques basées sur l'identité plutôt que des règles statiques basées sur l'IP. Les points d'application de la microsegmentation réseau fonctionnent comme des Policy Enforcement Points (PEP) qui appliquent les décisions calculées par les Policy Decision Points (PDP) en utilisant des politiques dynamiques intégrant l'identité, l'état applicatif, les caractéristiques des actifs et les attributs comportementaux.
3. La surveillance continue alimente la télémétrie vers les moteurs de politique pour l'analyse comportementale et la détection des menaces. Chaque connexion autorisée génère des données sur les schémas de communication, les volumes de données et le timing des accès. Un comportement anormal, comme un serveur web initiant soudainement des connexions sortantes vers une base de données, déclenche une réévaluation de la politique ou un blocage automatique. Cette vérification continue permet de prévenir les mouvements latéraux que les contrôles réseau traditionnels manquent.

Selon la publication spéciale 800-207 du NIST, cette architecture déplace les défenses de cybersécurité des périmètres réseau statiques vers une focalisation sur les actifs, les ressources et les utilisateurs. Les décisions d'accès sont prises à chaque session avec une vérification continue, et non une seule fois au niveau du périmètre réseau.

Comment la segmentation traditionnelle et la microsegmentation se complètent

Vous ne remplacez pas la segmentation réseau par la microsegmentation. Vous superposez la microsegmentation aux frontières réseau existantes pour créer une défense en profondeur.

La segmentation réseau fournit une isolation macro entre les principales zones de sécurité. Cependant, selon les recherches comparant la segmentation réseau à la microsegmentation, la segmentation réseau traditionnelle fonctionne à la couche 2 avec une granularité grossière basée sur la topologie réseau, où tous les appareils d'un segment partagent la même politique de sécurité. Votre DMZ, réseau d'entreprise et environnement technologique opérationnel peuvent être séparés au niveau réseau via des VLANs ou des sous-réseaux, mais ces frontières seules offrent une protection limitée contre les mouvements latéraux.

Les architectures Zero Trust modernes nécessitent la microsegmentation, des contrôles d'accès basés sur l'identité et au niveau des charges de travail, opérant à travers plusieurs couches avec des contrôles applicatifs de couche 7, pour prévenir efficacement les mouvements latéraux. 

Alors que la segmentation réseau traditionnelle protège contre les erreurs de configuration et offre un confinement grossier si les attaquants franchissent les défenses périmétriques, elle est insuffisante face à des adversaires opérant avec des fenêtres de mouvement latéral moyennes de 48 minutes. La microsegmentation va au-delà de l'isolation macro pour appliquer des politiques granulaires et centrées sur l'identité entre charges de travail individuelles, quel que soit leur emplacement réseau, fournissant les exigences d'autorisation explicite et la posture de refus par défaut nécessaires à un confinement efficace dans les infrastructures modernes.

La microsegmentation ajoute des contrôles granulaires à l'intérieur de ces zones. À l'intérieur de votre segment réseau d'entreprise, la microsegmentation empêche un poste compromis d'accéder à tous les serveurs. Dans votre cluster Kubernetes, elle garantit que les conteneurs ne communiquent qu'avec les services explicitement autorisés. Vous maintenez la segmentation traditionnelle pour l'infrastructure qui ne peut pas supporter les contrôles basés sur l'identité tout en étendant progressivement la couverture de la microsegmentation aux actifs critiques.

Principaux avantages de la microsegmentation

La microsegmentation apporte des améliorations de sécurité mesurables qui répondent directement aux limites des défenses périmétriques. Les avantages incluent :

• Le confinement du mouvement latéral empêche les attaquants de pivoter entre les systèmes après une compromission initiale. Les recherches montrent que les attaquants se déplacent latéralement en moins de 48 minutes après avoir obtenu un accès. La microsegmentation crée des points de contrôle qui bloquent ce mouvement, que les attaquants disposent ou non d'identifiants valides.
• La réduction du rayon d'impact limite la portée des attaques réussies. Lorsqu'un ransomware chiffre une charge de travail, les politiques de microsegmentation l'empêchent de se propager aux systèmes adjacents. Les organisations constatent une réduction du temps de confinement de plusieurs heures à quelques secondes.
• La simplification de la conformité répond aux exigences d'audit pour l'isolation des données et les contrôles d'accès. PCI DSS, HIPAA et SOC 2 imposent des accès restreints aux systèmes sensibles. La microsegmentation fournit une preuve vérifiable de l'application des politiques avec des journaux de trafic complets montrant exactement quelles charges de travail ont communiqué.
• La visibilité sur la surface d'attaque révèle tous les chemins de communication entre charges de travail, exposant les connexions non autorisées qui ne devraient pas exister. Cette visibilité identifie la dérive de configuration, le shadow IT et les services oubliés que la surveillance réseau traditionnelle ne détecte pas.
• La portabilité des politiques maintient une sécurité cohérente lors de la migration des charges de travail entre datacenters et clouds. Les politiques basées sur l'identité suivent automatiquement les applications sans nécessiter de mises à jour manuelles des règles de pare-feu à chaque changement d'infrastructure.

Ces avantages s'accompagnent de défis de mise en œuvre que les organisations doivent relever par une planification et une allocation de ressources appropriées.

Mise en œuvre dans les infrastructures modernes

La microsegmentation doit appliquer des politiques cohérentes à travers une infrastructure hétérogène sans exiger la réécriture des contrôles de sécurité pour chaque plateforme. Votre infrastructure s'étend sur des datacenters sur site, plusieurs clouds publics, des applications conteneurisées et des fonctions serverless.

• Les environnements cloud-native présentent des défis uniques. Les charges de travail évoluent dynamiquement, les adresses IP changent constamment et les frontières réseau traditionnelles n'existent pas. Selon les recommandations de la CISA, la microsegmentation doit explicitement couvrir « les environnements cloud publics et privés » englobant IaaS, PaaS, SaaS et architectures hybrides. Vous mettez cela en œuvre via des constructions cloud-native, des groupes de sécurité dans AWS, des groupes de sécurité réseau dans Azure, des règles de pare-feu dans GCP, gérés par des moteurs de politiques centralisés qui traduisent les identités des charges de travail en application spécifique à la plateforme. Une protection complète des charges de travail cloud nécessite des politiques de microsegmentation qui s'adaptent automatiquement à l'infrastructure cloud dynamique.
• Les plateformes d'orchestration de conteneurs comme Kubernetes nécessitent une intégration avec le service mesh. Le service mesh s'intercale entre les microservices, interceptant toutes les communications pour appliquer les politiques de microsegmentation au niveau du pod. Lorsque les développeurs déploient de nouvelles versions de conteneurs via des pipelines CI/CD, les politiques de sécurité sont déployées automatiquement en fonction des labels de charge de travail et des identités de service. Les organisations mettant en œuvre la sécurité Kubernetes doivent s'assurer que les politiques de microsegmentation s'intègrent de manière transparente aux workflows d'orchestration de conteneurs.
• L'infrastructure héritée ne prendra pas en charge immédiatement les contrôles basés sur l'identité. Vous mettez en œuvre la microsegmentation de manière progressive, en commençant par les actifs critiques qui justifient l'effort d'intégration. Les points d'application pour les systèmes qui ne peuvent pas participer à des architectures conscientes de l'identité incluent les pare-feux hôtes, les mécanismes de tap-and-forward réseau ou les solutions de pare-feu opérant à plusieurs couches pour fournir des frontières de segmentation.

Erreurs courantes de la microsegmentation

Les organisations échouent dans la microsegmentation lorsqu'elles l'abordent comme un projet d'ingénierie réseau au lieu d'une transformation de l'architecture de sécurité. Ces échecs sont prévisibles et évitables lorsqu'on les aborde comme un effort d'architecture de sécurité globale plutôt qu'une initiative réseau purement technique.

• Commencer sans visibilité condamne les implémentations avant même l'application des politiques. Vous ne pouvez pas définir des politiques de moindre privilège si vous ne savez pas quelles charges de travail communiquent légitimement. Les organisations appliquent immédiatement l'application, bloquent le trafic métier légitime et reviennent à des politiques permissives sans valeur de sécurité. Vous avez besoin de visibilité sur les actifs réseau et les schémas de trafic via la découverte et l'analyse de clusters avant l'application des politiques, nécessitant des phases initiales de planification et d'analyse avant de passer à l'application.
• Considérer la microsegmentation comme un produit et non un programme ignore la transformation opérationnelle requise. Vous n'achetez pas un pare-feu et ne configurez pas des règles. Vous changez la façon dont les politiques de sécurité s'intègrent au déploiement applicatif, à la fourniture d'infrastructure et à la réponse aux incidents.
• Implémenter des politiques basées sur les adresses IP va à l'encontre de l'objectif. Si vos politiques de microsegmentation font référence à des adresses IP ou sous-réseaux spécifiques, vous avez construit une version plus granulaire de la segmentation traditionnelle. La valeur réside dans les politiques basées sur l'identité qui suivent les charges de travail lors des changements d'infrastructure. Lorsque les politiques basées sur l'IP échouent lors des migrations cloud, les organisations abandonnent complètement la microsegmentation, perdant le modèle de sécurité centré sur la charge de travail qui définit l'architecture Zero Trust moderne.
• Ignorer les dépendances applicatives crée des interruptions qui minent la confiance des parties prenantes. Les applications modernes impliquent des dizaines de microservices, d'APIs externes et de dépendances de données. Oublier une seule dépendance dans votre définition de politique bloque des fonctionnalités métier critiques. Vous devez documenter les flux de transactions applicatives complets avant de définir les politiques d'application pour garantir que les politiques de microsegmentation permettent, et non entravent, les opérations métier légitimes.
• Fixer des attentes de couverture irréalistes conduit à un échec perçu même lorsque les implémentations réussissent. Vous ne sécurisez pas tout immédiatement. Vous étendez progressivement la couverture à partir des actifs critiques. Définir le succès comme « 100 % de couverture en 6 mois » garantit la déception.

Défis et limites de la microsegmentation

La microsegmentation introduit une complexité opérationnelle que les organisations doivent gérer par des changements de processus et le développement des compétences.

• La charge opérationnelle augmente à mesure que les équipes de sécurité gèrent des milliers de politiques granulaires au lieu de dizaines de règles de pare-feu. Chaque déploiement applicatif nécessite la définition, le test et la validation de politiques. Les organisations sous-estiment les ressources nécessaires à la gestion du cycle de vie des politiques, ce qui conduit à une prolifération des politiques obsolètes plus rapide que leur audit.
• La cartographie des dépendances applicatives devient un prérequis bloquant. La microsegmentation échoue lorsque les politiques ne tiennent pas compte des flux de transactions applicatives complets. Cartographier ces dépendances dans des environnements avec des centaines de microservices et d'intégrations tierces nécessite des outils de découverte automatisée et des périodes d'observation prolongées qui retardent la mise en œuvre.
• L'impact sur les performances varie selon la technique d'application et la qualité de l'implémentation. Les agents hôtes ajoutent une charge CPU pour l'inspection des paquets. Les solutions réseau introduisent de la latence via des sauts supplémentaires. La microsegmentation cloud-native fait face à des limites de taux API lors de la mise à jour dynamique des groupes de sécurité. Les organisations doivent tester les performances des points d'application sous charge de production avant le déploiement.
• Les lacunes de compétences limitent la vitesse d'adoption. Les équipes de sécurité maîtrisent les pare-feux réseau mais manquent d'expérience avec les politiques basées sur l'identité, l'automatisation API et le réseau de conteneurs. Cette lacune crée des risques de déploiement lorsque les équipes appliquent des politiques sans comprendre l'architecture applicative.
• Les limitations des systèmes hérités empêchent une couverture universelle. Les mainframes, systèmes de contrôle industriel et applications propriétaires ne peuvent pas participer à des architectures conscientes de l'identité, obligeant les organisations à maintenir la segmentation traditionnelle pour ces actifs.

Malgré ces défis, des organisations de tous secteurs déploient avec succès la microsegmentation lorsqu'elles comprennent les schémas de mise en œuvre réels.

Bonnes pratiques de la microsegmentation

Vous augmentez les chances de réussite en suivant une méthodologie structurée et progressive qui privilégie la visibilité et la découverte des actifs, établit des politiques de segmentation granulaires et étend progressivement la couverture tout en maintenant une surveillance complète et une vérification de la conformité.

1. Cartographiez les schémas de trafic avant d'appliquer les politiques. Déployez la surveillance en mode observation dans tout votre environnement pendant 30 à 90 jours. Capturez quelles charges de travail communiquent, quels protocoles elles utilisent, les volumes de données et le timing des connexions. Cette base identifie les dépendances légitimes à préserver et les comportements anormaux à investiguer avant le début de l'application.
2. Commencez par les actifs à forte valeur et faible complexité. Votre premier déploiement de microsegmentation doit cibler les charges de travail critiques avec des dépendances bien comprises, telles que les bases de données de production, les systèmes de traitement des paiements ou l'infrastructure de gestion des accès à privilèges. Ces actifs justifient l'effort d'intégration et démontrent une réduction mesurable du risque.
3. Implémentez le refus par défaut par phases. Commencez par un mode surveillance uniquement où les politiques génèrent des alertes sans bloquer le trafic. Passez à un blocage sur alerte où les équipes de sécurité examinent et approuvent les exceptions. Enfin, passez à l'application autonome avec des workflows d'exception. Cette approche progressive identifie les lacunes des politiques avant qu'elles ne causent des interruptions.
4. Intégrez avec les pipelines CI/CD pour les environnements DevOps. Les politiques de sécurité doivent être déployées automatiquement lorsque les développeurs livrent du nouveau code. La gestion des politiques via API vous permet de définir les exigences de sécurité comme du code, de les examiner dans les pull requests et de les versionner avec les configurations applicatives. Cela traite les politiques de sécurité comme faisant partie de la définition applicative plutôt que de la configuration réseau séparée.
5. Définissez des workflows d'exception clairs. Vous aurez besoin d'exceptions de politique pour les intégrations tierces, les applications héritées, les processus de changement d'urgence. Sans workflows d'exception documentés, les organisations créent des exceptions « temporaires » ad hoc qui deviennent des failles de sécurité permanentes. Votre processus doit exiger une justification métier, des approbations limitées dans le temps et une expiration automatique.
6. Mesurez la couverture et le taux d'application. Suivez le pourcentage de votre environnement couvert par des politiques de microsegmentation et le pourcentage de trafic effectivement contrôlé par ces politiques. Ces métriques quantifient les progrès et identifient les lacunes. Selon la publication spéciale 800-207 du NIST, les entreprises doivent collecter des informations sur l'état des actifs, du réseau et des communications et les utiliser pour améliorer en continu la posture de sécurité.

La microsegmentation comme fondation du Zero Trust

La microsegmentation applique le principe « ne jamais faire confiance, toujours vérifier » de la Zero Trust Architecture en éliminant la confiance implicite à l'intérieur des frontières réseau. Trois grands cadres de sécurité convergent vers la microsegmentation comme infrastructure fondamentale pour la mise en œuvre du Zero Trust, fournissant des recommandations complémentaires sur les principes d'architecture, la progression de maturité et les garanties opérationnelles.

• Selon NIST SP 800-207, l'architecture Zero Trust nécessite de passer des périmètres réseau à une focalisation sur les actifs, les ressources et les utilisateurs avec une vérification continue. La relation entre microsegmentation et zero trust est devenue fondamentale, la microsegmentation servant de principal mécanisme d'application des politiques de sécurité réseau Zero Trust.
• L'architecture est directement liée au pilier identité du Zero Trust. Lorsque des attaquants volent des identifiants, ils obtiennent un accès authentifié, mais la microsegmentation les empêche d'exploiter cet accès pour un mouvement latéral. L'identifiant compromis peut s'authentifier avec succès, mais la tentative de connexion à des charges de travail non autorisées déclenche un blocage et une alerte.
• Le Zero Trust Maturity Model Version 2.0 de la CISA fournit une feuille de route sur cinq piliers : Identité, Appareils, Réseaux, Applications et Charges de travail, et Données. La microsegmentation se situe principalement dans le pilier Réseaux mais dépend du pilier Identité pour l'authentification et du pilier Applications et Charges de travail pour l'analyse comportementale et la visibilité au niveau des charges de travail. Les organisations peuvent renforcer leur posture de sécurité en combinant la microsegmentation avec la segmentation d'identité pour appliquer des contrôles d'accès granulaires et basés sur l'identité dans toute leur infrastructure.
• Le modèle de la CISA définit des étapes de progression : Traditionnel → Initial → Avancé → Optimal. La plupart des organisations opèrent actuellement au niveau Traditionnel ou Initial. Les organisations mettant en œuvre des architectures zero trust avec microsegmentation doivent adopter une approche progressive plutôt qu'une transformation « big bang », en priorisant les actifs à plus haut risque et en étendant la couverture progressivement.
• Les CIS Controls Version 8 fournissent également des garanties soutenant la microsegmentation à travers cinq contrôles : Contrôle 9 (Gestion des ports, protocoles et services réseau), Contrôle 11 (Configuration sécurisée des actifs et logiciels d'entreprise), Contrôle 12 (Gestion de l'infrastructure réseau), Contrôle 13 (Surveillance et défense réseau), et Contrôle 14 (Sensibilisation à la sécurité et formation aux compétences). Ces contrôles offrent un cadre pour la mise en œuvre opérationnelle alignée sur la progression de maturité Zero Trust. 

Ces cadres expliquent pourquoi la microsegmentation est essentielle à l'architecture Zero Trust. C'est le mécanisme d'application qui empêche les identifiants compromis de permettre le mouvement latéral. Avec la microsegmentation, vous créez des points de vérification dans toute l'infrastructure qui arrêtent les attaquants, quel que soit le succès de l'authentification. La mise en œuvre nécessite de traduire ces principes architecturaux en politiques applicables dans votre infrastructure hétérogène.

Exemples et cas d'usage réels

La microsegmentation arrête la propagation des ransomwares, empêche l'exfiltration de données et protège la technologie opérationnelle en appliquant des politiques basées sur l'identité que la segmentation réseau traditionnelle ne peut pas fournir. Voici quelques scénarios d'application dans le monde réel :

1. Les prestataires de santé isolent les systèmes de données patients. Un réseau multi-hospitalier a séparé les dossiers médicaux électroniques, les dispositifs médicaux et les charges de travail administratives avec des politiques de microsegmentation. Lorsqu'un ransomware a infecté le service de facturation via du phishing, les politiques ont bloqué le mouvement latéral vers les bases de données patients. L'hôpital a contenu l'incident à 12 postes tout en maintenant les soins aux patients. Une segmentation VLAN traditionnelle aurait permis au ransomware de se propager dans tout le réseau hospitalier.
2. Les entreprises de services financiers sécurisent le traitement des paiements. Un processeur de cartes bancaires a restreint l'accès aux bases de données à des fonctions API spécifiques au lieu d'autoriser une connectivité large. Lors de tests d'intrusion, les attaquants ayant compromis une application web n'ont pas pu exécuter de requêtes en dehors des schémas de transaction normaux. Cela a empêché l'exfiltration de données que les pare-feux réseau auraient autorisée.
3. Les entreprises manufacturières protègent la technologie opérationnelle. Un constructeur automobile a autorisé les postes d'ingénierie à envoyer des mises à jour de configuration aux contrôleurs d'assemblage mais a bloqué les connexions inverses. Lorsqu'un malware a infecté le réseau d'entreprise, la microsegmentation l'a empêché d'atteindre les systèmes de production malgré une infrastructure partagée.

Ces implémentations ont réussi car les organisations ont suivi des méthodologies de déploiement éprouvées plutôt que de tenter une couverture complète immédiate.

Déployer la microsegmentation avec SentinelOne

SentinelOne utilise des politiques de quarantaine réseau qui peuvent vous aider à répondre et à contenir immédiatement les menaces à leur source. Il peut empêcher le mouvement latéral et vous pouvez utiliser le moteur d'IA comportementale de SentinelOne pour détecter diverses menaces malveillantes. Vous pouvez configurer son agent pour déconnecter automatiquement les appareils des réseaux et maintenir un accès de gestion même après la mise en quarantaine d'un endpoint. Les appareils peuvent appliquer des politiques granulaires ; vous pouvez également utiliser la fonctionnalité intégrée de contrôle de pare-feu de SentinelOne qui vous aidera à étendre vos politiques de sécurité réseau à d'autres appareils, quel que soit leur emplacement. 

Vous pouvez configurer les règles de pare-feu de SentinelOne depuis la même console Singularity utilisée pour les autres fonctions de sécurité des endpoints. Vous bénéficierez d'une visibilité complète sur votre trafic réseau. Singularity™ Network Discovery (Ranger) de SentinelOne est également une fonctionnalité utile qui peut vous aider à découvrir et à inventorier automatiquement tous les appareils IP de votre réseau. Elle offre une visibilité sur les actifs gérés et non gérés. Et combinées, toutes ces fonctionnalités vous permettent de détecter et de neutraliser les menaces de manière autonome.

Un autre point à souligner est la fonctionnalité d'accès conditionnel de SentinelOne, que vous pouvez tester via la Singularity™ Identity Solution. Elle s'intègre directement avec les principaux fournisseurs d'identité comme Microsoft Entra ID (Azure AD), Okta et Ping Identity.

La fonctionnalité d'accès conditionnel de SentinelOne vous aidera à appliquer un modèle zero trust et à ajuster dynamiquement l'accès des utilisateurs aux ressources de l'entreprise en fonction de l'état de santé et de la posture de sécurité de vos endpoints en temps réel. Elle peut évaluer l'état de santé et de conformité de tous vos endpoints et appliquer des politiques d'accès conditionnel prédéfinies. L'accès qu'elle applique ou autorise n'est pas binaire, ce qui signifie qu'il est contextuel et adaptatif. Les politiques de SentinelOne seront contextuellement conscientes et automatiquement renforcées pour les appareils compromis et assouplies lorsque les menaces sont remédiées.

SentinelOne vous aidera également à appliquer l'authentification multifacteur et à ajouter dynamiquement des utilisateurs à risque dans son IdP. Vous pouvez aussi le configurer pour générer des alertes détaillées pour vos centres des opérations de sécurité afin d'aider à mener des investigations manuelles ultérieures.

Conclusion

La microsegmentation élimine la confiance implicite que les attaquants exploitent lors des mouvements latéraux en appliquant des politiques basées sur l'identité entre charges de travail individuelles. Contrairement à la segmentation réseau traditionnelle en larges zones IP, la microsegmentation offre une visibilité applicative de couche 7 avec des contrôles centrés sur la charge de travail qui suivent les applications lors des changements d'infrastructure. L'architecture constitue un pilier fondamental du Zero Trust, exigeant une autorisation explicite pour chaque connexion via des points de décision de politique, des points d'application et une surveillance comportementale continue. 

La mise en œuvre nécessite une progression structurée, en commençant par la visibilité sur le trafic et la cartographie des dépendances, en se concentrant d'abord sur les actifs à forte valeur, puis en étendant la couverture via un déploiement progressif qui s'intègre aux pipelines CI/CD et aux workflows applicatifs.