DMZ Découvrez

La DMZ, pour zone démilitarisée (Demilitarized Zone) est utilisée pour protéger le réseau informatique interne d’une entreprise. La présence de ce sous-réseau assure une défense complémentaire contre les cyberattaques. Il s’installe entre le réseau local (LAN) et les réseaux non sécurisés, comme internet. Découvrez l’une des solutions de protection à mettre en place sur votre infrastructure réseau pour sécuriser l’accès à vos données.

Qu’est-ce qu’une DMZ ?

Il peut paraître surprenant de parler de zone démilitarisée lorsqu’il s’agit d’infrastructure réseau et d’informatique. Pourtant, la DMZ s’inspire réellement du fonctionnement d’une zone tampon, située entre la Corée du Nord et la Corée du Sud. Aussi, pour assimiler le concept de ce sous-réseau de protection, un point historique est nécessaire.

Un sous-réseau utilisé comme zone tampon inspirée de la Guerre froide

Depuis la Guerre froide, une zone tampon s’est installée entre la Corée du Nord et la Corée du Sud. Cette zone isolée et démilitarisée (aussi appelée DMZ) est un espace sécurisé. Il filtre la circulation entre les deux États. À la frontière de chaque pays, les militaires autorisent ou non les civils ou le transport de marchandises à passer. Le concept de contrôle d’accès et de zone de sécurité est le même pour une DMZ informatique.

DMZ informatique : un espace de contrôle de sécurité pour protéger les réseaux internes des entreprises

Concrètement, une DMZ est un sous-réseau positionné entre le réseau local d’une organisation et les réseaux non sécurisés, comme internet. Il héberge généralement de nombreux services publics. Vous y trouvez ainsi le serveur web, le serveur de messagerie, le FTP, le serveur pour les domaines (DNS), etc. Tous ces outils sont placés dans un secteur sécurisé dont les accès sont contrôlés.

Ces outils ont accès à internet, mais ils n’atteignent pas votre réseau interne. Avec la DMZ, il n’existe plus d’accès direct entre internet et votre réseau local. Le hacker rencontre donc plus de difficulté à entrer dans les systèmes d’information d’une entreprise.

Quel est le rôle d’une DMZ ?

L’objectif dinstaller une DMZ est avant tout d’assurer la sécurité du réseau interne de l’entreprise. Les serveurs locaux des entreprises et les machines des utilisateurs ne sont plus exposés directement à internet. Les données sont mieux protégées. Le trafic vers les différents services utilisés par les employés est surveillé et filtré. En cas de détection d’attaques ou de connexions inhabituelles (attaque par botnet), le trafic vers le réseau local de la société est bloqué.

Comment fonctionne un tel réseau ?

Le mode de fonctionnement d’une DMZ dépend de l’architecture choisie. Quelle que soit la solution implantée, ce sous-réseau fonctionne obligatoirement avec un pare-feu.

Une zone démilitarisée située entre deux pare-feu

La DMZ est installée entre internet et le réseau local d’une organisation. Elle est entourée de deux pare-feu, l’un situé entre elle  et le réseau local, l’autre entre la DMZ et internet. Ainsi, le trafic venant d’internet est contrôlé selon les critères déterminés par les administrateurs réseau. S’il est jugé normal, alors il est orienté vers le réseau interne de la société.

Deux étapes sécurisées pour accéder au réseau local des entreprises

La mise en place d’une zone démilitarisée offre un double filtrage à des connexions malveillantes ou à une tentative d’intrusion. Le hacker, en provenance d’internet, doit passer une première ligne de sécurité représentée par le pare-feu. Ensuite, s’il réussit à entrer dans la zone, il rencontre alors les différentes sécurités paramétrées à l’intérieur de la DMZ.

Le pare-feu interne s’occupe quant à lui du trafic provenant de la zone démilitarisée. Dans les cas où des intrusions malveillantes auraient profité d’une faille de vulnérabilité du premier pare-feu, le second prend alors le relais pour assurer la sécurité interne. Il est recommandé d’utiliser des pare-feu de fabricants différents pour assurer plus de sécurité.

Les paramétrages de sécurité propres à la zone sécurisée

Les administrateurs de la zone sécurisée doivent la doter de contrôles complémentaires à ceux des pare-feu. Il s’agit notamment d’un système de détection d’intrusion ou de prévention d’intrusion. Tout trafic provenant de sources non fiables est rejeté. Par exemple, vous pouvez empêcher toute connexion qui ne provient ni d’une requête HTTPS ni du port TCP 443.

La particularité d’une architecture DMZ avec un seul pare-feu

Une société peut choisir de mettre en place une zone démilitarisée avec un unique pare-feu. Il s’agit alors de paramétrer trois interfaces pour contrôler les connexions provenant d’internet, de la DMZ et du réseau local. Cette solution ne garantit pas la sécurité des systèmes informatiques locaux. Le hacker professionnel rencontre moins de résistance et moins de barrières, à son intrusion. L’intérêt de cette architecture avec pare-feu unique est avant tout économique.

Le choix de l’architecture à simple ou double pare-feu dépend avant tout du niveau de sécurité recherché. Les entreprises doivent trouver l’équilibre entre l’investissement financier et une cybersécurité performante.

Quels sont les principaux composants d’une DMZ ?

La zone démilitarisée se compose : 

  • d’un pare-feu externe pour contrôler le trafic venant d’internet ;
  • de serveurs publics (serveurs de messagerie, serveurs web, FT, DNS, etc.) ;
  • d’un pare-feu interne contrôlant le trafic venant de la DMZ.

Quels sont les avantages d’une DMZ ?

Si l’installation d’une DMZ est souvent négligée par les services informatiques, elle compte pourtant de nombreux avantages en matière de cybersécurité.

Renforcer la sécurité d’un réseau local et préserver les ressources internes

La cybersécurité des données et ressources d’une société est renforcée avec une DMZ. Ce réseau périphérique limite les intrusions. Les cybercriminels ne peuvent plus générer d’attaques directes sur les infrastructures des sociétés. Les informations internes aux entreprises sont ainsi préservées.

Un réseau interne inaccessible pour les cyberattaquants ou les bots malveillants

Toute l’infrastructure locale d’une société est masquée par le réseau périphérique. Il n’est plus possible pour les hackers de lancer une recherche de vulnérabilité. Les réseaux et systèmes internes ne sont plus directement accessibles. Les organisations disposant de cette fortification deviennent donc des cibles moins faciles pour les cybercriminels.

Autre atout : la DMZ empêche d’usurper l’adresse IP de votre système. Vous ne pouvez donc pas être utilisé pour rejoindre une armée botnet.

Un meilleur contrôle d’accès aux ressources externes

Les administrateurs réseau gèrent les autorisations d’accès des employés aux services publics. Ils opèrent ainsi un contrôle sur les connexions entrantes sur le réseau local. Les utilisateurs non autorisés sont, automatiquement, rejetés. La surveillance de l’activité locale est alors simplifiée puisqu’elle ne concerne, en théorie, que les employés autorisés.

L’importance de la DMZ en matière de sécurité réseau

L’installation d’une DMZ est l’une des meilleures solutions pour assurer la protection des réseaux. La séparation de l’infrastructure interne de l’entreprise aux services publics prises souvent pour cibles permet de conserver l’intégrité des ressources. Elle se montre également efficace dans le cas de l’utilisation multiple des appareils connectés à internet.

Les machines personnelles des employés, utilisées pour travailler, génèrent des risques d’intrusion. La segmentation d’une DMZ permet à ses appareils de se connecter au réseau sans mettre en péril les informations internes.

Quels sont les principaux risques de sécurité associés à une DMZ ?

La DMZ n’est pas une solution de cybersécurité pour les réseaux totalement infaillible. Elle ne prémunit pas les sociétés de tous les risques de cyberattaques. Surtout, elle ne concerne que la sécurité des réseaux. Elle se montre donc complémentaire à d’autres solutions et outils de détection pour votre cybersécurité.

Des risques liés à la configuration de la DMZ

La configuration des pare-feu et des outils de sécurité de la DMZ est le point le plus critique du réseau périphérique. Seul un paramétrage optimisé garantit le bon fonctionnement, et l’intérêt, de cette solution. Aussi, un réseau mal configuré offre des vulnérabilités exploitables pour les hackers. Si les barrières de détection comportent des défauts, il n’est pas difficile pour les pirates les plus expérimentés de passer au travers.

Une protection des données internes non assurée

Si vos données internes de la société sont protégées du réseau externe, la DMZ n’apporte aucune défense au sein même de votre réseau local. Vous devez donc envisager d’autres solutions de cybersécurité, notamment dans le contrôle et l’accès aux infrastructures des usagers. La DMZ ne doit être considérée que comme un outil réseau auquel il est nécessaire d’ajouter d’autres technologies.

L’obsolescence du réseau périphérique

Comme tout outil informatique, la DMZ nécessite des mises à jour régulières. Si elles ne sont pas renouvelées, vous risquez, là encore, de générer des failles de sécurité. L’oubli des mises à jour d’une DMZ survient souvent quand les départements informatiques décident de migrer leur infrastructure vers le cloud et des technologies de sécurité plus innovantes. Une DMZ qui n’est plus surveillée offre de nombreuses possibilités d’intrusion aux hackers.

Avec l’émergence du cloud, la technologie DMZ sur les réseaux physiques a dû évoluer. La DMZ sur le cloud repose sur le même fonctionnement et se montre aussi plus souple en matière de dimensionnement. Cependant, les risques liés à son utilisation restent identiques à la DMZ des réseaux. Cet outil conserve une vraie efficacité seulement si le paramétrage est bien effectué.

La cybersécurité est au cœur des enjeux des entreprises. De nombreuses solutions existent pour sécuriser et protéger les données et les infrastructures. Pour accompagner le déploiement de la cybersécurité, faites appel à des experts. À la Cyber Management School, nous formons les futurs professionnels de la lutte contre les cyberattaques.