Micro-segmentation au niveau applicatif ?

Oui c'est le but : isoler chaque workload (VM, container) avec sa politique de sécurité. Au niveau L7 : VMware NSX, Cisco Tetration, Illumio. Au niveau L4 : SGT (Cisco), VRF granulaires (Fortinet).

Combien de VLAN max ?

Limite physique 4094 VLANs (12 bits). Limite pratique 200-500 VLANs sur un même domaine spanning-tree. Au-delà : passer à VXLAN (16M segments) ou architecture spine-leaf EVPN.

Segmentation et micro-segmentation réseau

15 avril 2026·3 min de lecture·459 mots

La segmentation réseau isole les flux entre zones pour limiter la propagation d'attaques et appliquer des politiques différenciées. La micro-segmentation va plus loin avec isolation au niveau de la VM/container/workload. Essentielle pour ZTNA et conformité NIS2/ISO 27001. Guide 2026.

Segmentation classique (macro)

VLAN 802.1Q : séparation L2 par port switch
Subnets IP : séparation L3, routing inter-subnet avec ACL/FW
VRF : séparation routing tables sur routeur (multi-tenant)
DMZ : zone publique isolée (web, email, VPN)
Admin network : réseau isolé pour management (OOB)

Typical enterprise segmentation

VLAN 10 DATA : utilisateurs bureautique
VLAN 20 VOICE : téléphones IP
VLAN 30 WIFI : WiFi invités
VLAN 40 PRINT : imprimantes
VLAN 50 CAM : caméras IP et IoT
VLAN 60 IOT : capteurs, badges
VLAN 70 SERVERS : serveurs on-prem
VLAN 99 MGMT : management OOB

Policies inter-segments

Le FW applique les règles entre zones :

DATA → Internet : allow HTTP/HTTPS
VOICE → DATA : allow SIP/RTP vers PBX
WIFI-Invités → Internet : allow, → LAN : deny
IOT → Internet : deny, → MQTT broker : allow
SERVERS → LAN : deny sauf applications spécifiques
MGMT : accessible uniquement depuis bastion

Micro-segmentation

Va plus loin : isole chaque workload individuellement (VM, container, pod K8s) :

Granularité : par application, pas par VLAN
Politique : 'App-WEB peut parler à App-DB sur port 3306 uniquement'
Zero trust lateral : deny-by-default, allow explicite
Enforcement : hyperviseur (VMware NSX), agent OS (Illumio), switch hardware (Cisco Nexus 10000 avec Pensando)

Solutions micro-segmentation

VMware NSX-T : overlay hyperviseur, DFW (Distributed FireWall), 5-10K règles par hôte
Cisco ACI : contracts et EPGs (End-Point Groups), enforcement hardware
Illumio Core : agent OS, politique par label
Guardicore Centra (Akamai) : agent + orchestration multi-cloud
Aruba CX 10000 + Pensando DPU : stateful FW dans le switch hardware

Mapping application (étape critique)

Avant de micro-segmenter, découvrir les flux réels :

NetFlow/IPFIX sur switchs/FW
Tools : ExtraHop, Darktrace, Cisco Tetration, Guardicore Reveal
Période : 30-60 jours pour capturer tous les flux (batch, backup, monthly cron)
Output : matrice app-to-app avec protocoles/ports

NIS2 et micro-segmentation

La directive NIS2 (EU, entrée vigueur 2024) impose :

Segmentation des réseaux
Prévention lateral movement
Audit trail des flux inter-zones
Micro-segmentation fortement recommandée pour opérateurs essentiels/importants

Cas d'usage

Hôpital

Segments : patient records, imagerie médicale, biomed IoT (pompes, moniteurs), admin, public WiFi. Micro-segmentation IoT médical obligatoire (Cisco Cyber Vision + Stealthwatch).

Usine 4.0

Purdue Model : Level 0-5. Segmentation IT/OT critique. DMZ industrielle (L3.5). ISA/IEC 62443.

Banque

PCI-DSS : cardholder data environment (CDE) isolé strict. Tiers 1 (front office), Tier 2 (back office), Tier 3 (core banking). Micro-segmentation obligatoire dans CDE.

Commander chez OPTINOC

Audit segmentation + design macro + micro-segmentation clé-en-main. VMware NSX, Cisco ACI, Fortinet, Palo Alto. Mapping flux applications. Devis sous 48h.