Mardi matin, 8 h 45. Un collaborateur branche un thermostat connecté sur la même prise réseau que le serveur comptable. Trois heures plus tard, une imprimante Wi-Fi périmée diffuse du trafic broadcast sur l’intégralité du réseau. Les postes ralentissent, Outlook plante, et le NAS de sauvegarde devient inaccessible pendant quarante minutes. Scénario banal. Presque toutes les PME qui fonctionnent sur un réseau « plat » (un seul segment, zéro cloisonnement) l’ont vécu sous une forme ou une autre.
La segmentation par VLAN règle ce problème sans câblage supplémentaire, sans matériel hors de prix, et sans recourir à un ingénieur certifié CCIE. Ce qui suit décrit une approche en trois VLAN que n’importe quelle PME peut appliquer en une journée.
Pourquoi segmenter son réseau local ?
Sur un réseau plat, chaque appareil peut communiquer librement avec tous les autres. Le poste du stagiaire voit le serveur de fichiers. La caméra IP chinoise achetée en solde partage le même broadcast domain que l’ERP. Un ransomware qui infecte un seul PC se propage latéralement sans rencontrer aucun obstacle, et touche potentiellement tout le parc en quelques minutes.
La segmentation VLAN crée des cloisons logiques à l’intérieur du même réseau physique. Chaque cloison confine le trafic broadcast à son segment. L’accès d’un segment à l’autre passe obligatoirement par des règles de pare-feu, ce qui réduit drastiquement la surface d’attaque.
La CISA (Cybersecurity and Infrastructure Security Agency aux États-Unis) classe la segmentation réseau recommandée par la CISA parmi les mesures de base pour limiter l’impact d’une intrusion. Le principe tient en une phrase : si un segment est compromis, les autres restent intacts.
Au-delà de la sécurité, la stabilité y gagne. Moins de trafic parasite signifie des temps de réponse plus courts et moins d’incidents bizarres du type « le téléphone IP grésille quand quelqu’un lance un transfert de fichier volumineux ». Pour les PME qui commencent à déployer des outils d’IA locale (modèles de langage sur GPU, traitement d’image, automatisation interne), isoler ces machines sur leur propre segment évite que leurs flux saturent le réseau bureautique.
Le modèle simple « 3 VLAN »
Trois VLAN couvrent 90 % des besoins d’une PME de 5 à 50 postes. Pas besoin de monter à six ou sept segments dès le départ. Le but est de commencer propre, puis d’affiner si le contexte l’exige.
VLAN 10 : Bureautique. Tous les postes de travail, les ordinateurs portables des employés, les serveurs internes (fichiers, ERP, CRM) et les téléphones IP. C’est le cœur de l’activité. Seul ce segment a accès aux ressources métier critiques.
VLAN 20 : Invités. Le Wi-Fi visiteurs, les appareils personnels des collaborateurs qui se connectent en BYOD, et tout ce qui n’a besoin que d’un accès internet sans toucher aux ressources internes. Ce VLAN débouche directement sur internet et n’a aucune route vers le VLAN Bureautique ou le VLAN IoT.
VLAN 30 : IoT et machines IA. Imprimantes réseau, caméras de surveillance, capteurs domotiques, TV connectées, et les postes dédiés aux traitements IA (inférence locale, fine-tuning de modèles, serveurs GPU). Ces appareils ont souvent des firmwares rarement mis à jour et représentent la porte d’entrée favorite des attaquants. Les isoler est la mesure la plus rentable en termes de réduction du risque.
Chaque VLAN reçoit son propre sous-réseau IP (par exemple 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24) et son propre SSID Wi-Fi si du sans-fil est nécessaire. Les bornes Ubiquiti UniFi, par exemple, gèrent jusqu’à quatre SSID mappés chacun sur un VLAN distinct, ce qui simplifie le déploiement sans multiplier les points d’accès.
Ce qu’il faut côté matériel
La segmentation VLAN repose sur deux piliers : un switch qui supporte le protocole 802.1Q et un routeur ou pare-feu capable de gérer le routage inter-VLAN avec des ACL (listes de contrôle d’accès). Sans ces deux éléments, impossible de créer des VLAN fonctionnels.
Côté commutation, un switch manageable pour VLAN en entreprise est le prérequis. Les switchs non manageables (ceux sans interface de configuration) ne reconnaissent pas les tags VLAN et font transiter tout le trafic sur le même segment. Un switch manageable 24 ports adapté à une PME se trouve entre 150 € et 500 € selon la marque et les fonctions (PoE, QoS, empilage). Cisco CBS, TP-Link JetStream et Netgear ProSAFE sont des gammes courantes dans cette tranche. Le point à vérifier : la compatibilité 802.1Q et la possibilité de créer au minimum 4 VLAN.
Côté routage, le pare-feu ou routeur doit pouvoir créer des interfaces virtuelles (sub-interfaces) pour chaque VLAN et appliquer des règles de filtrage entre eux. Les appliances pfSense ou OPNsense sur du matériel dédié font ce travail pour quelques centaines d’euros. Les routeurs Ubiquiti UniFi Security Gateway ou les pare-feu Fortinet FortiGate en entrée de gamme remplissent aussi ce rôle. L’erreur fréquente : acheter un switch manageable mais garder le routeur fourni par le FAI, qui ne gère pas le routage inter-VLAN. Le segment existe alors sur le papier, mais aucun filtrage réel ne s’applique entre les VLAN.
Exemple concret : une agence de 12 personnes
Prenons une agence de communication de 12 collaborateurs à Montréal. Avant segmentation, tout tourne sur un réseau unique : les postes Mac et PC, deux TV connectées dans la salle de réunion et l’espace détente, une imprimante multifonction, trois caméras IP, un NAS Synology, et un poste « serveur IA » équipé d’une carte NVIDIA RTX 4090 pour du traitement de texte et d’images avec des modèles locaux (Stable Diffusion, LLaMA). Le Wi-Fi invités passe par le même réseau que le reste.
Le mois précédent, un prestataire externe connecté au Wi-Fi a accidentellement scanné le réseau avec un outil de diagnostic. Le scan a ralenti le NAS et déclenché des alertes antivirus sur deux postes. Aucun dommage réel, mais le signal d’alarme était clair.
Après déploiement des 3 VLAN :
- VLAN 10 (Bureautique) : 12 postes de travail + NAS + serveur d’impression (accès restreint via ACL)
- VLAN 20 (Invités) : SSID « AgenceGuest », accès internet uniquement, aucune route vers les VLAN 10 ou 30
- VLAN 30 (IoT/IA) : 2 TV, 3 caméras, le poste IA avec sa RTX 4090, l’imprimante (accessible depuis VLAN 10 via une règle spécifique sur le port d’impression)
Résultat au bout de deux mois : zéro incident réseau, le trafic de broadcast a chuté de façon visible (plus de « micro-coupures » sur les appels Teams), et le poste IA télécharge des modèles de plusieurs Go sans affecter les postes bureautiques. Le prestataire externe ? Il se connecte au Wi-Fi invités et ne voit que l’accès internet.
Check de validation : ce qui doit marcher, ce qui doit être bloqué
Une fois les VLAN configurés, il faut vérifier que le cloisonnement fonctionne réellement. Trop de PME créent des VLAN sans jamais tester les règles de filtrage, ce qui laisse des routes ouvertes entre segments.
Voici les tests à exécuter depuis chaque VLAN :
- Depuis le VLAN Bureautique (10) : les postes doivent accéder à internet, au NAS, au serveur interne, et à l’imprimante sur le VLAN 30 (via la règle spécifique port 9100/IPP). Un ping vers un appareil du VLAN Invités doit échouer (sauf si une règle explicite l’autorise, ce qui n’est normalement pas le cas).
- Depuis le VLAN Invités (20) : l’accès internet fonctionne. Aucun ping, aucun accès SMB, aucun accès HTTP ne passe vers le VLAN 10 ou le VLAN 30. Tester avec
nmap -sn 192.168.10.0/24depuis un poste invité : zéro hôte découvert. Si des hôtes apparaissent, le filtrage inter-VLAN est mal configuré. - Depuis le VLAN IoT/IA (30) : les appareils accèdent à internet (mises à jour firmware, API cloud pour l’IA si nécessaire). Aucun accès initié depuis le VLAN 30 vers le VLAN 10 ne doit aboutir. Les caméras IP ne voient que leur enregistreur (NVR) sur le même VLAN ou un serveur dédié, pas les postes de travail.
Documenter ces tests dans un tableau simple (source → destination → port → résultat attendu) prend trente minutes et constitue la preuve que la segmentation est opérationnelle. Ce document sert aussi de référence lors des futures modifications du réseau.
Poser les bases pour la suite
Trois VLAN, c’est un point de départ. Certaines PME ajouteront un quatrième segment pour la VoIP (QoS prioritaire sur les flux voix) ou un VLAN de management réservé à l’administration des équipements réseau. Mais commencer par trois segments couvre l’essentiel : séparer le métier, les visiteurs et les objets connectés. La complexité viendra plus tard, si elle doit venir.
Ce qui compte, c’est que la prochaine fois qu’un thermostat connecté se met à émettre du trafic anormal, il le fera dans son coin. Le serveur comptable ne s’en apercevra même pas.
Fondateur d’Azertytech et passionné de high-tech et d’informatique, je rédige des articles sur le sujet depuis 2018. Éditeur de sites et consultant SEO, j’utilise ce site pour partager mon savoir et ma passion de l’informatique à travers des guides, tutoriels et analyses détaillées.
