En tant que Responsable de la Sécurité des Systèmes d’Information (RSSI), vous évaluez l’architecture de sécurité d’un nouveau Datacenter entièrement virtualisé. L’environnement héberge des applications critiques et est segmenté logiquement en utilisant des VLANs traditionnels (Virtual Local Area Networks). Une analyse récente des risques a révélé que la menace la plus probable provient de mouvements latéraux (trafic Est-Ouest) entre les systèmes internes, après une compromission initiale d’un hôte. Le modèle de sécurité actuel repose largement sur un firewall périmétrique centralisé (optimisé pour le trafic Nord-Sud), ce qui laisse le trafic interne largement non inspecté.
Quelle stratégie de conception devez-vous privilégier pour améliorer de manière proactive le contrôle de sécurité du trafic Est-Ouest à l’échelle, tout en intégrant des principes de Zero Trust?
[A] Déployer une architecture de type Screened Subnet avec des bastion hosts dans une DMZ renforcée pour filtrer plus précisément tout le trafic entrant (Ingress) et sortant (Egress).
[B] Utiliser des solutions de Network Access Control (NAC) basées sur la norme IEEE 802.1X, opérant à la couche 2, afin de s’assurer que seuls les dispositifs authentifiés puissent communiquer au sein de chaque VLAN.
[C] Mettre en place des tunnels VPN basés sur IPSec en mode Transport pour chiffrer la charge utile (payload) de toutes les communications sensibles entre les machines virtuelles.
[D] Implémenter la micro-segmentation en utilisant des network overlays (tels que des VXLANs) et des distributed firewalls afin d’appliquer un contrôle d’accès granulaire.
[A] Cette option est incorrecte car elle cible principalement la protection périmétrique (trafic Nord-Sud, entrant/sortant). Un Screened Subnet, également connu sous le nom de DMZ (zone démilitarisée), est un sous-réseau placé entre deux routeurs ou pare-feu, conçu pour exposer des services publics tout en protégeant le réseau interne. Bien que le renforcement des bastion hosts (systèmes durcis exposés sur Internet) soit crucial pour la sécurité, cette architecture n’apporte pas de solution directe ou granulaire au problème soulevé : l’inspection et la limitation du trafic interne (Est-Ouest). Le risque principal identifié dans le scénario est le mouvement latéral après une compromission initiale, et non la rupture du périmètre, rendant la DMZ moins pertinente ici.
[B] Cette option est partiellement correcte car le Network Access Control (NAC) et l’IEEE 802.1X sont des contrôles fondamentaux pour l’accès réseau. L’IEEE 802.1X est une technologie de contrôle d’accès basée sur les ports (Couche 2) qui s’assure que seuls les clients authentifiés peuvent communiquer sur le réseau. Le NAC renforce l’adhérence aux politiques de sécurité, assurant que les systèmes sont conformes (mises à jour, antivirus) avant l’accès (preadmission). Cependant, dans un environnement virtualisé utilisant des VLAN traditionnels, le trafic Est-Ouest entre les systèmes authentifiés au sein d’un même VLAN ou segment est souvent non inspecté ou insuffisamment contrôlé. Le NAC contrôle l’accès au réseau, mais la micro-segmentation (Option D) contrôle les communications après l’accès, ce qui est essentiel pour limiter le mouvement latéral.
[C] Cette option est inappropriée comme stratégie d’architecture générale pour la sécurisation du trafic Est-Ouest interne dans un centre de données virtualisé. Le mode Transport d’IPSec chiffre uniquement la charge utile du paquet IP, laissant l’en-tête IP d’origine intact. Bien qu’IPSec (Internet Protocol Security) puisse être utilisé pour chiffrer les communications (VPN), l’imposer en mode Transport entre chaque machine virtuelle (VM) pour la communication Est-Ouest créerait une surcharge de complexité et de gestion d’un grand nombre de tunnels host-to-host. De plus, le scénario appelle à l’application des principes Zero Trust et à l’inspection granulaire du trafic, ce qui est l’objectif principal de la micro-segmentation et des pare-feu distribués, et non du chiffrement généralisé qui pourrait compliquer l’inspection du trafic.
[D] C’est effectivement la meilleure stratégie. La micro-segmentation est une stratégie de sécurité qui divise le réseau en segments isolés, potentiellement aussi petits qu’une seule charge de travail ou machine virtuelle (VM). Cette approche est cruciale pour contrôler le trafic Est-Ouest (mouvements latéraux internes) et limiter la propagation des menaces après une compromission initiale. L’implémentation repose sur des technologies de virtualisation telles que les network overlays (comme les VXLANs), qui créent des réseaux logiques sur l’infrastructure physique existante. Les distributed firewalls (ou Internal Segmentation Firewalls – ISFWs) sont déployés directement au niveau des charges de travail pour appliquer des politiques de sécurité granulaires, garantissant que les communications suivent le principe du moindre privilège (Zero Trust). La micro-segmentation est explicitement citée comme un composant fondamental de l’architecture Zero Trust.
✅ La bonne réponse est la proposition [D]
Pour en savoir plus sur la sécurité des réseaux nous vous recommandons de suivre les modules n°11 et 12 de notre formation CISSP en distanciel.
💼 Plus de 30 ans d’expertise en cybersécurité condensés dans une méthode unique : pédagogie active, rigueur académique et application concrète des 8 domaines du CBK.
💡 En route vers la certification CISSP : https://www.verisafe.fr/formation-cissp
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
