Infrastructure Reseau
Segmentation, securite perimetrique et acces distant
Architecture reseau securisee – Segmentation VLAN
Justification reglementaire
NIS2 Art.21(2)(i) : segmentation reseau comme mesure de gestion des risquesDORA Art.9 : protection de l'infrastructure ICT critique
PSSI section 6.6 : segmentation reduit la surface d'attaque et limite la propagation laterale
| VLAN | Nom | Contenu / Usage | Niveau de securite |
|---|---|---|---|
| 10 | Administration | Controleurs de domaine, serveurs d'administration, bastion | |
| 20 | Production | Serveurs applicatifs metier : ERP, RDS, GLPI… | |
| 30 | Donnees sensibles | Serveurs fichiers, BDD, gestionnaire mots de passe | |
| 40 | Utilisateurs | Postes de travail internes | |
| 50 | DMZ | Serveurs exposes : reverse proxy, serveur mail | |
| 60 | IoT / Peripheriques | Imprimantes, telephonie IP, devices connectes | |
| 70 | Invites / WiFi | Acces WiFi visiteurs – Isolation totale |
Securite perimetrique – NGFW
Firewall de Nouvelle Generation (NGFW) – Fonctionnalites requises :
- Inspection des paquets en profondeur (DPI)
- Prevention d'intrusion (IPS) – conf. NIS2 Art.21
- Filtrage applicatif (Layer 7)
- Protection anti-malware integree
- Double lien Internet redonde (conf. PSSI 6.6 / DORA Art.11)
- Regles par defaut : DENY ALL – Autorisation explicite par flux metier
- Journalisation exhaustive et revision trimestrielle des regles (PSSI 6.8)
Acces distant securise
- Suppression de l'acces RDP direct sur IP publique (risque critique – cf. R01 matrice)
- VPN SSL avec MFA obligatoire (conf. NIS2 Art.21 / DORA Art.9)
- Bastion d'administration (Jump Server) dedie
- Session timeout apres [X] minutes d'inactivite (cf. Charte Informatique)
- RBAC – Controle d'acces base sur les roles
Action immediate requise
Suppression immediate de l'acces RDP direct sur IP publique – risque critique identifie R01 dans la matrice de risque (criticite 16/16)
Pages liées
- Voir aussi l'Analyse des Risques pour comprendre les menaces réseau.
- Complétez avec notre système de Surveillance et IDS/IPS.