Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBonnes pratiques
Meilleures pratiques de sécurité réseau

Meilleures pratiques de sécurité réseau

Les meilleures pratiques robustes de sécurité réseau sont plus importantes que jamais pour se protéger contre les menaces cybernétiques de plus en plus sophistiquées d'aujourd'hui. Cet article explore une gamme de meilleures pratiques et technologies de réseau et de sécurité dont vous avez besoin pour renforcer votre réseau contre les accès non autorisés et les violations de données.

Types de dispositifs réseau et solutions de sécurité

Avant de plonger dans les meilleures pratiques de sécurité réseau d'entreprise, examinons les types courants d'appareils réseau et les solutions de sécurité dont les organisations peuvent bénéficier :

  • Les ponts étaient autrefois utilisés pour connecter deux hôtes ou plus ou des segments de réseau. Ils sont dépassés et ne sont plus utilisés.
  • Les concentrateurs étaient autrefois utilisés pour connecter les appareils d'un réseau local (LAN). Comme ils ne possèdent pas d'intelligence intégrée, les concentrateurs sont rarement utilisés dans les configurations de réseau modernes.
  • Un commutateur réseau est l’équipement par défaut qui relie les ordinateurs, serveurs, imprimantes et autres appareils au sein d’un réseau local (LAN). Il utilise les adresses MAC pour gérer et transmettre les données vers des appareils spécifiques. Contrairement à un concentrateur (hub), un commutateur peut diriger intelligemment le trafic afin de réduire la congestion du réseau et d’améliorer ses performances.
  • Un routeur réseau dirige les paquets de données entre différents réseaux pour faciliter la connectivité Internet et la communication interne du réseau. Les routeurs utilisent des adresses IP pour déterminer le chemin le plus efficace pour la transmission de paquets de données à travers les réseaux. Ils peuvent également fournir des fonctionnalités de sécurité telles que des listes de contrôle d'accès pour restreindre l'accès au réseau.
  • Une passerelle sert d'intermédiaire pour les appareils sur des réseaux distincts, leur permettant de communiquer même s'ils utilisent différents protocoles de communication.
  • Un firewall sépare un réseau d'un autre. Les firewalls sont disponibles sous forme matérielle et logicielle et peuvent être intégrés dans des appareils tels que des routeurs ou des serveurs. L'exemple classique d'un firewall est un appareil dédié qui sert de barrière entre le réseau interne et le monde extérieur.
  • Un système de network access control (NAC) évalue si les appareils tentant d'accéder au réseau répondent aux normes de sécurité définies (telles que des logiciels antivirus à jour, des mises à jour système et des paramètres de configuration spécifiques) puis accorde ou refuse l'accès.
  • Un filtre web limite l'accès au contenu Internet en fonction de critères prédéfinis. Par exemple, ce type de solution de sécurité peut bloquer l'accès à des sites Web malveillants ou inappropriés, conformément aux politiques d'une organisation.
  • Un serveur proxy agit comme un intermédiaire entre l’appareil d’un utilisateur et Internet. Les serveurs proxy peuvent masquer l’adresse IP de l’utilisateur et filtrer les requêtes web afin de bloquer l’accès à des sites ou contenus malveillants.
  • Un filtre d'e-mails (filtre anti-spam) aide à prévenir la réception d'e-mails indésirables dans la boîte de réception de l'utilisateur ou livre l'e-mail mais supprime les hyperliens potentiellement malveillants et les pièces jointes. Les filtres simples utilisent des politiques organisationnelles ou des modèles spécifiés par le fournisseur pour détecter les spams ; les filtres avancés emploient des méthodes heuristiques pour repérer des modèles suspects ou la fréquence des mots.
  • DDoS mitigation tools are designed to identify distributed denial of service (DDoS) attacks in their early stages, absorb the associated surge in traffic and help pinpoint the attack's origin.
  • Les équilibreurs de charge contribuent à la sécurité du réseau en répartissant uniformément le trafic réseau sur plusieurs serveurs. Par exemple, ils peuvent aider à empêcher qu'un seul serveur ne soit surchargé lors d'une attaque par déni de service distribué.

Pour plus d'informations de fond, consultez le modèle OSI pour les systèmes de réseau dans l'Annexe A.

Meilleures pratiques de sécurité réseau d'entreprise

Avec ces bases en tête, explorons les meilleures pratiques de sécurité réseau connues qui peuvent aider votre organisation à améliorer sa posture de sécurité pour bloquer les attaques, ainsi que les meilleures pratiques pour détecter et répondre rapidement aux menaces en cours.

Meilleures pratiques de sécurité réseau pour la prévention des menaces

Séparez votre réseau.

L'une des meilleures pratiques fondamentales pour la sécurité des réseaux, la segmentation du réseau consiste à diviser un réseau en zones logiques ou fonctionnelles. Cela peut être réalisé par des moyens physiques comme des routeurs et des commutateurs, ou virtuellement en utilisant des VLAN. L'objectif est de contenir une violation de sécurité dans une seule zone et ainsi limiter les perturbations et les dommages. La segmentation permet également aux équipes informatiques d'appliquer différents contrôles de sécurité et de surveillance à chaque zone. 

En particulier, les organisations peuvent mettre en place une zone démilitarisée (DMZ) comme tampon entre leur réseau interne et Internet ou d'autres réseaux non fiables. La DMZ héberge des services orientés vers l'extérieur comme les serveurs d'applications web ; si ces services sont compromis, un attaquant n'a pas accès directement au réseau interne.

Une forme extrême de segmentation est la air gap, où les systèmes (tels que les serveurs avec des sauvegardes ou d'autres informations sensibles) sont complètement déconnectés du réseau.

Placez vos dispositifs de sécurité correctement.

La façon dont vous positionnez vos dispositifs de sécurité affecte le niveau de protection qu'ils fournissent. Le positionnement efficace des pare-feu est particulièrement important. Idéalement, un pare-feu devrait être situé à chaque jonction de zone de réseau pour servir de barrière entre les différents segments. Les pare-feu modernes sont souvent dotés de fonctionnalités intégrées telles que les systèmes de détection et de prévention des intrusions, l'atténuation des DDoS et le filtrage web, ce qui les rend très adaptés pour la défense périmétrique.

Les pare-feu d'applications Web (WAF) sont idéalement placés dans des zones où les applications sont hébergées, telles que la DMZ. Ce positionnement aide à protéger les applications web contre des menaces telles que l'injection SQL et le cross-site scripting. Les équilibreurs de charge qui gèrent le trafic des applications ou les serveurs DNS doivent également être situés dans la DMZ pour optimiser le flux de trafic et améliorer la sécurité.

Sécurisez physiquement les équipements réseau.

Une autre meilleure pratique pour une infrastructure réseau sécurisée est de contrôler strictement l'accès à l'infrastructure réseau. Seul le personnel autorisé devrait avoir accès à des espaces tels que les placards de câblage, les cadres de distribution principaux (MDF), les cadres de distribution intermédiaires (IDF), les serveurs et surtout les centres de données. Une authentification devrait être requise pour entrer dans toute zone critique.

De plus, les organisations devraient interdire l'utilisation de clés USB et de disques externes pour empêcher les initiés de retirer des données sensibles.

Utilisez la traduction d'adresse réseau.

La traduction d'adresse réseau (NAT) convertit toutes les adresses privées d'une organisation en une seule adresse IP publique pour les communications externes. Sans le NAT, le monde aurait épuisé les adresses IPv4 il y a bien longtemps. Mais l'avantage du NAT pour la sécurité du réseau est qu'il masque la structure du réseau interne aux yeux des externes, ajoutant une couche de confidentialité et de sécurité.

Utilisez des pare-feu personnels.

Les pare-feu personnels sont des pare-feu basés sur des logiciels qui résident sur chaque ordinateur ou serveur. Bien qu'ils soient souvent intégrés dans le système d'exploitation, ils peuvent également être installés en tant qu'applications tierces. Comme les pare-feu traditionnels, ils restreignent le trafic entrant et sortant pour protéger l'appareil.

Configurer des pare-feu personnels peut initialement prendre du temps en raison de la diversité des applications et services fonctionnant sur un appareil. Cependant, négliger cette étape pour des raisons de commodité peut laisser les appareils vulnérables aux logiciels malveillants et au piratage. Activez toujours les pare-feu personnels pour garantir la sécurité de chaque appareil au sein du réseau plus large.

Utilisez la liste blanche lorsque c'est possible.

La liste blanche d'applications est la pratique consistant à créer une liste de logiciels approuvés et à autoriser uniquement l'exécution de ces applications. Cette stratégie peut considérablement réduire les risques ; par exemple, elle peut empêcher l'exécution de logiciels malveillants livrés par des attaques de phishing ou des sites Web malveillants.

Cependant, le fait d'autoriser uniquement certaines applications n'est pas toujours pratique, car la liste doit être constamment mise à jour avec toutes les applications que quelqu'un dans l'organisation a une raison légitime d'utiliser.

Utilisez un serveur proxy web pour gérer l'accès à Internet.

En authentifiant et en surveillant les connexions sortantes, un serveur proxy web aide à garantir que seul le trafic web initié par des utilisateurs légitimes est autorisé. Par exemple, cela aide à empêcher les logiciels malveillants à l'intérieur du réseau de communiquer avec le serveur de commande et de contrôle de l'attaquant.

Appliquez le principe du moindre privilège.

Se concentrer uniquement sur les menaces cybernétiques externes peut négliger l'aspect tout aussi critique des menaces internes. Il est vital de restreindre les droits d'accès de chaque utilisateur à ce qui est essentiel pour leurs rôles ; cela réduit les dommages qu'un utilisateur peut causer accidentellement ou délibérément, et le pouvoir qu'un attaquant gagnerait en compromettant le compte. De plus, mettez en œuvre des mesures d'authentification fortes pour rendre les identifiants volés inutiles.

Exigez l'utilisation de VPN pour l'accès à distance.

Un réseau privé virtuel (VPN) établit une connexion réseau sécurisée et privée sur une infrastructure de réseau public. Il permet aux utilisateurs distants de se connecter au réseau comme s'ils étaient connectés localement. Les VPN peuvent également être utilisés pour relier de manière sécurisée des LAN à travers Internet en utilisant un tunnel sécurisé qui chiffre toutes les données en transit. Les VPN nécessitent soit du matériel spécialisé, soit un logiciel VPN installé sur les serveurs et les postes de travail.

Meilleures pratiques de sécurité réseau pour la détection et la réponse aux menaces

Établissez une référence pour les protocoles réseau et surveillez leur utilisation.

Établissez la base d'utilisation des différents protocoles sur vos réseaux filaires et sans fil. Pour créer une base précise, les données doivent être collectées à partir d'une variété de sources, y compris les routeurs, les commutateurs, les pare-feu, les points d'accès sans fil, les analyseurs de réseau et les collecteurs de données dédiés. Surveillez ensuite les écarts par rapport à ces bases, qui peuvent indiquer un tunneling de données, des logiciels malveillants transmettant des données vers des destinations non autorisées et d'autres menaces.

Utilisez des pots de miel et des réseaux de leurre.

Un honeypot est un système leurre conçu pour ressembler à un véritable actif réseau, et un honeynet est un réseau de honeypots qui simule un environnement réseau plus grand et plus complexe. Ils sont conçus pour attirer les adversaires à interagir avec eux, à la fois pour détourner les acteurs malveillants des véritables actifs et pour permettre aux équipes de sécurité d'étudier les techniques d'attaque et de recueillir d'autres renseignements pour une gestion efficace des menaces.

Utilisez des systèmes de détection et de prévention des intrusions.

Il est essentiel de surveiller et d'enregistrer l'activité à travers le réseau et de l'analyser pour détecter des connexions inhabituelles, des événements informatiques suspects et d'autres anomalies. Un intrusion detection system (IDS) surveille les flux de données réseau pour détecter une activité potentiellement malveillante et alerte les administrateurs en cas d'anomalies. Un intrusion prevention system (IPS) surveille également le trafic réseau pour les menaces ; cependant, en plus d'alerter les administrateurs, il peut automatiquement prendre des mesures pour bloquer ou atténuer les menaces. 

Ces outils peuvent être une partie précieuse de votre stratégie de sécurité réseau. Par exemple, en comparant l'activité actuelle à une base de référence établie, ils pourraient détecter une augmentation soudaine de l'activité réseau qui pourrait indiquer une attaque par rançongiciel ou une injection SQL. Ils peuvent également utiliser des signatures d'attaque — des caractéristiques typiques communes à une attaque spécifique ou à un modèle d'attaques — pour repérer des attaques qui ne génèrent pas d'activité violant la base de référence de votre organisation.

Automatisez la réponse aux attaques lorsque cela est approprié.

De nombreux outils de sécurité modernes peuvent être configurés pour répondre automatiquement aux menaces connues. Par exemple, ces systèmes peuvent :

  • Bloquer l'adresse IP — Un IPS ou un pare-feu peut bloquer l'adresse IP d'où l'attaque a été lancée. Cette option est très efficace contre les attaques de phishing et de déni de service. Cependant, certains attaquants usurpent l'adresse IP source pendant les attaques, donc la mauvaise adresse sera bloquée.
  • Mettre fin aux connexions — Les routeurs et pare-feu peuvent être configurés pour interrompre les connexions qu'un intrus maintient avec le système compromis en ciblant les paquets TCP RESET vers l'attaquant.
  • Acquérir des informations supplémentaires — Les outils peuvent également collecter des informations précieuses qui aident à déterminer le point d'accès initial, quels comptes ont été compromis, comment les intrus se sont déplacés à travers le réseau et quelles données ont été compromises.

Meilleure pratique bonus

Une dernière meilleure pratique de sécurité réseau s'applique à la fois à la prévention des menaces et à la détection & réponse.

Utilisez plusieurs fournisseurs.

L'utilisation de solutions de différents fournisseurs renforce la cyber-résilience en réduisant le risque associé à un point de défaillance unique — si une solution d'un fournisseur est compromise, la présence de solutions d'autres fournisseurs aide à maintenir le bouclier défensif. Cette approche permet également une plus grande adaptabilité en réponse aux menaces évolutives et aux exigences de sécurité. Plus largement, cela peut conduire à une tarification compétitive et stimuler l'innovation, les fournisseurs s'efforçant de proposer les solutions les plus avancées et les plus rentables.

Conclusion

En adhérant aux meilleures pratiques de sécurité réseau détaillées ici, votre organisation peut réduire le risque de perturbations commerciales coûteuses et d'incidents de sécurité, ainsi qu'assurer la conformité avec les mandats législatifs stricts d'aujourd'hui.

Appendix A: Le modèle OSI

Le modèle OSI (Open Systems Interconnection) est un cadre établi pour les systèmes de réseau. Il comprend sept couches, du matériel physique aux interactions au niveau de l'application :

Couche

Fonction

Types d'appareils de réseau

Protocoles ou normes

7 : Application

Fournit des services tels que l'email, les transferts de fichiers et les serveurs de fichiers

HTTP, FTP, TFTP, DNS, SMTP, SFTP, SNMP, RLogin, BootP, MIME

6 : Présentation

Fournit le chiffrement, la conversion de code et le formatage des données

MPEG, JPEG, TIFF

5 : Session

Négocie et établit une connexion avec un autre ordinateur

Passerelles

SQL, X- Window, ASP, DNA, SCP, NFS, RPC

4 : Transport

Prend en charge la livraison de bout en bout des données

Passerelle

TCP, UDP, SPX

3 : Réseau

Effectue le routage des paquets

Routeur

IP, OSPF, ICMP, RIP, ARP, RARP

2 : Liaison de données

Fournit la vérification des erreurs et le transfert des trames de messages

Commutateur

Ethernet, Token Ring, 802.11

1 : Physique

Interagit physiquement avec le support de transmission et envoie des données sur le réseau

Hub

EIA RS-232, EIA RS-449, IEEE, 802

Netwrix Auditor for Network Devices

Améliorez la sécurité de votre réseau en obtenant une visibilité sur les changements de configurations, les tentatives de connexion, les menaces de scan et les dysfonctionnements matériels sur vos appareils réseau

Téléchargez l'essai gratuit de 20 jours

Partager sur

Ressources associées

Approfondissez avec nos ressources associées

Centre de ressources
eBook

Faciliter la prévention de la perte de données avec les solutions Netwrix

Prévention des pertes de données
eBook

Déploiement de logiciels sur Windows : douloureux mais pas nécessaire

Endpoint Management