⚠️ Disclaimer

La méthode que je présente ici correspond à ma propre démarche d’apprentissage. Elle peut contenir des approximations ou des erreurs, car j’apprends et je progresse chaque jour un peu plus. Ne prenez donc pas ce que je fais comme une référence absolue, mais plutôt comme un retour d’expérience personnel.

Contexte du Projet

Dans le cadre de ma formation en cybersécurité, j’ai eu l’opportunité de travailler sur un projet de conception d’infrastructure réseau pour une entreprise hébergée dans un bâtiment d’incubateur. L’objectif était de concevoir une architecture réseau complète, sécurisée et évolutive, en tenant compte des besoins actuels et futurs de l’organisation.

Ce projet m’a permis d’approfondir mes compétences en architecture réseau et d’appliquer les principes de sécurité par conception (security by design).

Les Concepts Clés Abordés

1. Schéma Physique vs Schéma Logique

L’une des premières distinctions importantes à comprendre dans ce projet était la différence entre ces deux types de représentation :

Le schéma physique représente la réalité tangible du réseau : où sont physiquement situés les équipements (switches, serveurs, points d’accès WiFi), comment ils sont câblés, dans quelles salles ou étages ils se trouvent. C’est la vue “architecturale” du réseau qui permet de comprendre la topologie géographique et le câblage structuré.

Le schéma logique, en revanche, représente comment les données circulent et comment le réseau est organisé d’un point de vue intellectuel : les VLANs, l’adressage IP, les règles de routage et de communication. C’est une abstraction qui se concentre sur les flux d’information plutôt que sur la localisation physique.

Ces deux visions sont complémentaires et essentielles pour documenter correctement une infrastructure.

2. La Segmentation Réseau par VLANs

La segmentation par VLANs (Virtual Local Area Networks) est un concept fondamental en cybersécurité. Plutôt que d’avoir un seul grand réseau “plat”, on crée des segments logiques isolés. Chaque VLAN constitue un domaine de diffusion distinct.

Dans ce projet, j’ai dû identifier et créer plusieurs VLANs pour :

  • Les différents départements de l’entreprise (Direction, RH/Comptabilité, IT, Commercial, R&D)
  • Les équipements d’infrastructure (serveurs, imprimantes)
  • Les systèmes de sécurité physique (caméras, contrôle d’accès)
  • Les réseaux sans fil

Pourquoi segmenter ? La segmentation répond à plusieurs objectifs :

  • Sécurité : limiter la propagation latérale en cas de compromission
  • Performance : réduire les domaines de broadcast
  • Organisation : séparer logiquement les ressources selon leur fonction
  • Conformité : isoler les données sensibles

3. Le Plan d’Adressage IP et le VLSM

Le plan d’adressage IP est un document crucial qui définit comment les adresses IP sont distribuées dans le réseau. J’ai dû appliquer la technique du VLSM (Variable Length Subnet Mask), qui consiste à adapter la taille de chaque sous-réseau au nombre réel d’hôtes nécessaires.

Par exemple :

  • Pour un département de 64 personnes : un sous-réseau /25 (126 hôtes utilisables)
  • Pour un département de 3 personnes : un sous-réseau /28 (14 hôtes utilisables)

Cette optimisation permet d’éviter le gaspillage d’adresses IP et de prévoir l’évolutivité du réseau. Le plan d’adressage doit également définir :

  • Les plages DHCP pour l’attribution automatique
  • Les adresses statiques pour les équipements critiques (serveurs, imprimantes, équipements réseau)
  • Les passerelles par défaut pour chaque VLAN

4. La Matrice des Flux

La matrice des flux est un document de sécurité qui définit explicitement quelles communications sont autorisées entre les différents segments du réseau. Par défaut, les VLANs sont isolés les uns des autres ; c’est à l’architecte réseau de décider quelles communications inter-VLAN sont nécessaires et légitimes.

Cette matrice prend généralement la forme d’un tableau où chaque ligne et colonne représente un VLAN, et les intersections indiquent si la communication est autorisée ou interdite.

Exemples de règles typiques :

  • Tous les VLANs → Internet (via NAT)
  • Tous les VLANs → VLAN Imprimantes (pour l’impression)
  • VLAN IT → Tous les VLANs (pour l’administration)
  • VLAN Caméras ↔ VLANs utilisateurs : INTERDIT (principe du moindre privilège)

Ce document devient ensuite la base pour la configuration des ACLs (Access Control Lists) et des règles de pare-feu.

5. Les Services Réseau Essentiels

La conception d’une infrastructure réseau nécessite également de planifier les services essentiels :

DHCP (Dynamic Host Configuration Protocol) : J’ai dû concevoir un système d’attribution automatique d’adresses IP avec un pool DHCP par VLAN, tout en prévoyant des réservations statiques pour les équipements critiques.

NAT (Network Address Translation) : Indispensable pour permettre aux adresses privées du réseau local d’accéder à Internet via une ou plusieurs adresses publiques.

DNS (Domain Name System) : Configuration des serveurs DNS (généralement des serveurs publics comme Google DNS ou Cloudflare) distribués via DHCP.

Pare-feu : Point central de filtrage et de contrôle, incluant la mise en place d’une DMZ pour les services exposés sur Internet.

6. Architecture de Sécurité

Au-delà de la segmentation par VLANs, ce projet m’a permis d’approfondir plusieurs concepts de sécurité :

  • Principe du moindre privilège : Chaque VLAN ne doit avoir accès qu’aux ressources strictement nécessaires
  • Défense en profondeur : Plusieurs couches de sécurité (segmentation réseau, pare-feu, filtrage, supervision)
  • Isolation des systèmes critiques : Les systèmes de sécurité physique (caméras, contrôle d’accès) doivent être isolés des réseaux utilisateurs
  • DMZ : Zone démilitarisée pour héberger les services accessibles depuis Internet

Les Livrables du Projet

Pour ce projet, j’ai dû produire plusieurs documents techniques :

  1. Schéma physique : Représentation de la topologie matérielle et du câblage
  2. Schéma logique : Représentation des VLANs, du routage et des services
  3. Plan d’adressage IP : Tableau détaillé avec toutes les informations d’adressage (plages, masques, passerelles, DHCP)
  4. Matrice des flux : Tableau définissant les communications autorisées entre VLANs
  5. Document d’Architecture Technique (DAT) : Synthèse complète justifiant les choix techniques

Outils Utilisés

Pour la réalisation des schémas, j’ai principalement utilisé Draw.io, un outil gratuit et puissant pour créer des diagrammes réseau. D’autres outils populaires dans la communauté incluent Lucidchart ou Microsoft Visio.

La simulation et validation de certaines configurations peuvent être réalisées avec Cisco Packet Tracer, bien que pour ce projet la réalisation de schémas conceptuels soit suffisante.

Ce que j’en Retiens

Ce projet m’a permis de comprendre qu’une infrastructure réseau ne se résume pas à “brancher des câbles”. C’est avant tout une réflexion architecturale qui doit prendre en compte :

  • Les besoins métier de l’organisation
  • Les exigences de sécurité (confidentialité, intégrité, disponibilité)
  • L’évolutivité et la scalabilité
  • La facilité de maintenance et d’administration

La segmentation réseau est véritablement une première ligne de défense en cybersécurité. En cloisonnant les différents segments, on applique le principe du containment : si un segment est compromis, l’attaquant ne peut pas se déplacer librement dans l’ensemble du réseau.

Enfin, la documentation technique (schémas, matrices, plans d’adressage) n’est pas un exercice purement académique : ce sont des documents vivants qui seront utilisés quotidiennement par les équipes IT et sécurité pour gérer, maintenir et faire évoluer l’infrastructure.