Un réseau de zone démilitarisée (ZDM) est un sous-réseau contenant les services accessibles publiquement d'une organisation. Il sert de point d'exposition à un réseau non fiable, souvent Internet.
Les ZDM sont utilisées dans divers environnements, des routeurs domestiques aux réseaux d'entreprise, pour isoler les services accessibles publiquement et protéger les systèmes internes. Les ZDM (zones démilitarisées) hébergent des services accessibles publiquement tout en les isolant du LAN interne d'une organisation.1 Les organisations combinent les périmètres ZDM avec la microsegmentation Zero Trust et des contrôles d'accès stricts.2
Découvrez les exemples réels de ZDM et les différentes architectures ZDM (pare-feu unique vs double) :
Pourquoi la ZDM est-elle importante pour la sécurité réseau ?
Les ZDM ajoutent une couche de segmentation réseau pour défendre le réseau privé interne. Elle crée une zone tampon entre Internet public et les réseaux privés de l'organisation.
Ces sous-réseaux limitent l'accès externe aux serveurs et actifs internes, rendant plus difficile pour les attaquants de pénétrer le réseau interne.
Dans les configurations typiques (voir la figure ci-dessus), le sous-réseau ZDM est placé entre deux pare-feu ou sur un segment dédié d'un pare-feu unique avec plusieurs interfaces. Cela garantit que :
- L'accès non autorisé au réseau interne est bloqué, même si un service hébergé dans la ZDM est compromis.
- Tout le trafic entrant d'Internet est d'abord filtré et inspecté avant d'atteindre les serveurs ZDM.
- Le trafic du réseau interne vers et depuis la ZDM est strictement contrôlé et surveillé.
Exemples de ZDM
Exemple de ZDM 1 : Implémentation de ZDM avec un pare-feu
Comme le montre la figure 1, le réseau ZDM n'est ni à l'intérieur ni à l'extérieur du pare-feu. Il est accessible via les réseaux internes et externes.
L'un des principaux avantages de ce schéma réseau est l'isolation. Par exemple, si le serveur de messagerie est piraté, l'attaquant ne pourra pas accéder au réseau interne. Dans ce scénario, l'attaquant peut accéder à divers serveurs dans la ZDM car ils partagent le même réseau physique.
Figure 1. Schéma simple de ZDM
Source : International Journal of Wireless and Microwave Technologies3
Dans cette configuration, la ZDM applique les contrôles d'accès suivants :
- Réseau externe : Le réseau externe ne peut pas établir de connexions avec le réseau interne, cependant, le réseau externe peut initier des connexions vers la ZDM.
- Réseau interne : Le réseau interne peut initier des connexions vers les réseaux externes, mais le réseau ne peut pas initier de connexions vers le réseau interne.
Exemple de ZDM 2 : Une ZDM connectée à un appareil tiers
Une autre approche ZDM typique consiste à se connecter à un appareil tiers, tel qu'un fournisseur. La figure 2 illustre un réseau avec un fournisseur connecté via une liaison T1 à un routeur dans la ZDM.
Cet exemple de ZDM peut être utilisé lorsque les entreprises externalisent leurs systèmes à une partie externe, permettant un accès direct au serveur du fournisseur via cette configuration.
Figure 2. ZDM se connectant à un fournisseur
Source : O'Reilly Media4
Exemple de ZDM 3 : Plusieurs ZDM connectées à un appareil tiers
Parfois, une seule ZDM est insuffisante pour les organisations qui gèrent des réseaux complexes. La figure 3 illustre un réseau avec plusieurs ZDM. La conception combine les deux premiers exemples : Internet est à l'extérieur et les utilisateurs sont à l'intérieur du réseau.
Figure 3. Plusieurs ZDM
Source : O'Reilly Media5
- ZDM-1 est un point d'accès à un fournisseur.
- ZDM-2 est l'endroit où se trouvent les serveurs Internet.
Les exigences de sécurité sont cohérentes avec l'exemple précédent (Exemple 2), mais une considération supplémentaire est nécessaire : savoir si ZDM-1 est autorisé à initier des connexions vers ZDM-2, et vice versa.
L'évaluation de cet accès bidirectionnel aide à appliquer des contrôles de sécurité granulaires au sein d'environnements réseau complexes.
Architectures ZDM
Une ZDM peut être configurée de diverses manières, allant d'un pare-feu unique à des pare-feu doubles ou multiples. La majorité des architectures ZDM actuelles incluent des pare-feu jumeaux qui peuvent être mis à l'échelle pour prendre en charge des réseaux complexes.
1. Pare-feu unique
Un pare-feu unique avec au moins trois interfaces réseau est nécessaire pour construire une architecture réseau qui inclut une ZDM.
Figure 4. Illustration d'une architecture à pare-feu unique
Source : SAP6
Pourquoi utiliser un pare-feu unique : Un pare-feu unique simplifie l'architecture réseau en consolidant le contrôle du trafic, l'application des politiques et la journalisation dans un seul appareil. Cela réduit la complexité administrative et abaisse à la fois les coûts en capital et opérationnels. C'est idéal pour les petits environnements où il n'y a pas besoin de défenses périmétriques multicouches.
2. Pare-feu double
Cette implémentation crée une ZDM en utilisant deux pare-feu.
Figure 5. Illustration d'une architecture à pare-feu double
Source : SAP7
Pourquoi utiliser des pare-feu doubles : Les pare-feu doubles offrent un système plus sécurisé. Dans certaines entreprises, les deux pare-feu sont fournis par des fournisseurs distincts. Si une attaque externe peut pénétrer le premier pare-feu, il peut falloir plus de temps pour pénétrer le second pare-feu s'il est construit par un fabricant différent, ce qui le rend moins susceptible de tomber victime des mêmes vulnérabilités de sécurité.
Les dernières versions de matériel ont introduit de nouvelles options pour les déploiements de pare-feu ZDM, notamment le Firebox M695 de WatchGuard (sorti en décembre 2025), qui dispose d'un processeur Intel Core i7-14701E et offre un débit très élevé (45 Gbps brut) pour les grands environnements.8
Pour les déploiements de petites et moyennes entreprises, le WatchGuard Firebox T185 (sorti en janvier 2026) offre des performances multi-gigabit avec un débit de pare-feu brut d'environ 5,7 Gbps et des fonctionnalités de sécurité de niveau entreprise pour les réseaux de succursales.9
Avantages de la zone démilitarisée (ZDM)
La valeur principale d'une ZDM réside dans sa capacité à fournir aux utilisateurs d'Internet public l'accès à des services externes spécifiques tout en servant de barrière protectrice qui protège le réseau interne de l'organisation.
Cette couche de sécurité supplémentaire offre plusieurs avantages clés en matière de sécurité :
1. Fournit des contrôles d'accès
Un réseau ZDM contrôle l'accès aux services accessibles via Internet qui ne font pas partie du réseau périmétrique d'une entreprise. Il ajoute également une couche de segmentation réseau, augmentant le nombre de barrières qu'un utilisateur doit franchir avant d'obtenir l'accès au réseau privé d'une entreprise.
2. Empêche la reconnaissance réseau
Une ZDM limite la capacité d'un attaquant à évaluer les cibles potentielles sur le réseau. Même si une machine dans la ZDM est piratée, le pare-feu interne défend le réseau privé en l'isolant de la ZDM. Cette configuration rend les exploits de réseau externes plus difficiles.
3. Limite l'usurpation d'adresse Internet Protocol (IP)
L'usurpation d'adresse IP consiste à falsifier l'adresse IP source des paquets pour obtenir un accès non autorisé. Une ZDM aide à détecter et bloquer le trafic usurpé, surtout lorsqu'elle est combinée à des mesures de sécurité supplémentaires qui valident l'authenticité IP, protégeant ainsi davantage le réseau interne contre les attaques d'usurpation d'identité.
Top 5 des vulnérabilités des ZDM en matière de sécurité réseau
Une ZDM est utile, mais elle présente des faiblesses. Ces faiblesses peuvent faciliter la tâche des attaquants pour trouver des problèmes.
1. Les parties publiques sont faciles à voir depuis Internet
Les serveurs dans une ZDM doivent être ouverts pour que les gens puissent les utiliser. Les pirates peuvent trouver et scanner ces systèmes accessibles publiquement à la recherche de faiblesses.
2. Une mauvaise configuration crée des risques
La configuration et la gestion de la ZDM peuvent être complexes. Si les règles de pare-feu ou les contrôles d'accès sont incorrects, les attaquants pourraient entrer.
3. La complexité augmente les erreurs
Une ZDM ajoute plus d'appareils, de règles et de paramètres à gérer. Plus de complexité signifie plus de chances d'erreurs humaines.
4. Un faux sentiment de sécurité
Certaines personnes pensent qu'une ZDM rend un réseau totalement sûr. Ce n'est pas le cas. Une ZDM réduit les risques, mais ne peut pas arrêter toutes les attaques par elle-même.
5. Les ZDM peuvent avoir des difficultés avec les nouvelles technologies
Les conceptions traditionnelles de ZDM peuvent ne pas bien s'adapter aux services cloud ou aux modèles de réseau modernes, limitant leur utilité.
En février 2026, l'Agence américaine de la sécurité des infrastructures et de la cybersécurité (CISA) a publié de nouvelles directives pour les opérateurs d'infrastructures critiques à la suite d'une cyberattaque contre le réseau électrique polonais.10 L'avis met l'accent sur la segmentation stricte du réseau et d'autres contrôles pour aider à contenir les menaces dans les réseaux de technologie opérationnelle (OT).11
Applications des ZDM
1. Services cloud
Certains services cloud emploient une stratégie de sécurité hybride dans laquelle une ZDM est établie entre le réseau sur site de l'entreprise et son réseau logique. Cette stratégie est couramment employée lorsque les services de l'entreprise fonctionnent partiellement sur site et partiellement sur un réseau logique.
AWS et Google Cloud incluent des solutions pare-feu en tant que service intégrées. Par exemple, AWS propose AWS Network Firewall (un service de pare-feu géré et étatique pour les VPC).12 Google Cloud's Cloud Next-Generation Firewall inclut un service de filtrage d'URL pour le contrôle du trafic basé sur les domaines et prend en charge les politiques de pare-feu hiérarchiques pour la segmentation réseau granulaire 13 .14
2. Réseaux domestiques
Une ZDM peut également être utile pour les réseaux domestiques qui utilisent des paramètres LAN et des routeurs haut débit. Plusieurs routeurs domestiques incluent des options ZDM ou des paramètres d'hôte ZDM. Ces options permettent aux utilisateurs de connecter un seul appareil à Internet.
3. Systèmes de contrôle industriel (ICS)
Les ZDM peuvent fournir une solution aux problèmes de sécurité associés aux ICS.
La plupart des équipements de technologie opérationnelle (OT) qui se connectent à Internet ne sont pas aussi bien conçus pour atténuer les attaques que les appareils IT. Une ZDM peut améliorer la segmentation du réseau OT, rendant plus difficile l'infiltration de logiciels malveillants, de virus ou d'autres menaces réseau.
Les organisations remplacent les périmètres réseau plats par des modèles Zero Trust qui utilisent la microsegmentation et des contrôles d'accès granulaires.15 Les récentes directives mondiales pour les réseaux OT (menées par le NCSC du Royaume-Uni en collaboration avec la CISA) mettent l'accent sur la réduction des connexions exposées et l'application d'une segmentation stricte du réseau aux limites opérationnelles 16 .17
4. Hébergement web et de messagerie
Les services accessibles publiquement tels que les serveurs web sont généralement déployés dans une ZDM pour fournir aux utilisateurs externes l'accès aux ressources essentielles tout en maintenant la sécurité du réseau interne.
5. Systèmes de détection et de prévention des intrusions (IDS/IPS)
Certaines architectures de sécurité placent des capteurs IDS/IPS dans la ZDM pour inspecter le trafic entrant et sortant à la recherche de comportements malveillants avant qu'il n'atteigne le réseau interne.
6. Accès des partenaires et des fournisseurs
Les organisations qui fournissent un accès réseau à des partenaires ou fournisseurs tiers utilisent souvent une ZDM pour héberger des services partagés (par exemple, des APIs, des portails SFTP). Cela limite l'exposition du réseau interne au cas où l'accès de la partie externe serait compromis.
7. Passerelles d'accès à distance
Les concentrateurs VPN, les passerelles de bureau à distance ou les brokers d'infrastructure de bureau virtuel (VDI) sont souvent déployés dans une ZDM pour permettre un accès sécurisé à distance aux systèmes internes sans les exposer directement à Internet.
Citer cette recherche
Choisissez le format qui correspond à votre lieu de publication. Coller la version avec lien dans votre CMS préserve le lien retour.
@misc{dilmegani2026,
author = {Dilmegani, Cem},
title = {{Zone démilitarisée (ZDM): Exemples et architecture}},
year = {2026},
month = mar,
howpublished = {\url{https://aimultiple.com/dmz}},
note = {AIMultiple. Consulté le 6 Mars 2026}
}







Soyez le premier à commenter
Votre adresse courriel ne sera pas publiée. Tous les champs sont obligatoires. Les commentaires sont laissés dans leur langue d'origine.