Services
Contactez-nous

Zone démilitarisée (ZDM): Exemples et architecture

Cem Dilmegani
Cem Dilmegani
mis à jour le 6 mars 2026

Un réseau de zone démilitarisée (ZDM) est un sous-réseau contenant les services accessibles publiquement d'une organisation. Il sert de point d'exposition à un réseau non fiable, souvent Internet.

Les ZDM sont utilisées dans divers environnements, des routeurs domestiques aux réseaux d'entreprise, pour isoler les services accessibles publiquement et protéger les systèmes internes. Les ZDM (zones démilitarisées) hébergent des services accessibles publiquement tout en les isolant du LAN interne d'une organisation.1 Les organisations combinent les périmètres ZDM avec la microsegmentation Zero Trust et des contrôles d'accès stricts.2

Découvrez les exemples réels de ZDM et les différentes architectures ZDM (pare-feu unique vs double) :

Pourquoi la ZDM est-elle importante pour la sécurité réseau ?

Les ZDM ajoutent une couche de segmentation réseau pour défendre le réseau privé interne. Elle crée une zone tampon entre Internet public et les réseaux privés de l'organisation.

Ces sous-réseaux limitent l'accès externe aux serveurs et actifs internes, rendant plus difficile pour les attaquants de pénétrer le réseau interne.

Dans les configurations typiques (voir la figure ci-dessus), le sous-réseau ZDM est placé entre deux pare-feu ou sur un segment dédié d'un pare-feu unique avec plusieurs interfaces. Cela garantit que :

  • L'accès non autorisé au réseau interne est bloqué, même si un service hébergé dans la ZDM est compromis.
  • Tout le trafic entrant d'Internet est d'abord filtré et inspecté avant d'atteindre les serveurs ZDM.
  • Le trafic du réseau interne vers et depuis la ZDM est strictement contrôlé et surveillé.

Exemples de ZDM

Exemple de ZDM 1 : Implémentation de ZDM avec un pare-feu

Comme le montre la figure 1, le réseau ZDM n'est ni à l'intérieur ni à l'extérieur du pare-feu. Il est accessible via les réseaux internes et externes.

L'un des principaux avantages de ce schéma réseau est l'isolation. Par exemple, si le serveur de messagerie est piraté, l'attaquant ne pourra pas accéder au réseau interne. Dans ce scénario, l'attaquant peut accéder à divers serveurs dans la ZDM car ils partagent le même réseau physique.

Figure 1. Schéma simple de ZDM

Source : International Journal of Wireless and Microwave Technologies3

Dans cette configuration, la ZDM applique les contrôles d'accès suivants :

  • Réseau externe : Le réseau externe ne peut pas établir de connexions avec le réseau interne, cependant, le réseau externe peut initier des connexions vers la ZDM.
  • Réseau interne : Le réseau interne peut initier des connexions vers les réseaux externes, mais le réseau ne peut pas initier de connexions vers le réseau interne.

Exemple de ZDM 2 : Une ZDM connectée à un appareil tiers

Une autre approche ZDM typique consiste à se connecter à un appareil tiers, tel qu'un fournisseur. La figure 2 illustre un réseau avec un fournisseur connecté via une liaison T1 à un routeur dans la ZDM.

Cet exemple de ZDM peut être utilisé lorsque les entreprises externalisent leurs systèmes à une partie externe, permettant un accès direct au serveur du fournisseur via cette configuration.

Figure 2. ZDM se connectant à un fournisseur

Source : O'Reilly Media4

Exemple de ZDM 3 : Plusieurs ZDM connectées à un appareil tiers

Parfois, une seule ZDM est insuffisante pour les organisations qui gèrent des réseaux complexes. La figure 3 illustre un réseau avec plusieurs ZDM. La conception combine les deux premiers exemples : Internet est à l'extérieur et les utilisateurs sont à l'intérieur du réseau.

Figure 3. Plusieurs ZDM

Source : O'Reilly Media5

  • ZDM-1 est un point d'accès à un fournisseur.
  • ZDM-2 est l'endroit où se trouvent les serveurs Internet.

Les exigences de sécurité sont cohérentes avec l'exemple précédent (Exemple 2), mais une considération supplémentaire est nécessaire : savoir si ZDM-1 est autorisé à initier des connexions vers ZDM-2, et vice versa.

L'évaluation de cet accès bidirectionnel aide à appliquer des contrôles de sécurité granulaires au sein d'environnements réseau complexes.

Architectures ZDM

Une ZDM peut être configurée de diverses manières, allant d'un pare-feu unique à des pare-feu doubles ou multiples. La majorité des architectures ZDM actuelles incluent des pare-feu jumeaux qui peuvent être mis à l'échelle pour prendre en charge des réseaux complexes.

1. Pare-feu unique

Un pare-feu unique avec au moins trois interfaces réseau est nécessaire pour construire une architecture réseau qui inclut une ZDM.

Figure 4. Illustration d'une architecture à pare-feu unique

Source : SAP6

Pourquoi utiliser un pare-feu unique : Un pare-feu unique simplifie l'architecture réseau en consolidant le contrôle du trafic, l'application des politiques et la journalisation dans un seul appareil. Cela réduit la complexité administrative et abaisse à la fois les coûts en capital et opérationnels. C'est idéal pour les petits environnements où il n'y a pas besoin de défenses périmétriques multicouches.

2. Pare-feu double

Cette implémentation crée une ZDM en utilisant deux pare-feu.

Figure 5. Illustration d'une architecture à pare-feu double

Source : SAP7

Pourquoi utiliser des pare-feu doubles : Les pare-feu doubles offrent un système plus sécurisé. Dans certaines entreprises, les deux pare-feu sont fournis par des fournisseurs distincts. Si une attaque externe peut pénétrer le premier pare-feu, il peut falloir plus de temps pour pénétrer le second pare-feu s'il est construit par un fabricant différent, ce qui le rend moins susceptible de tomber victime des mêmes vulnérabilités de sécurité.

Les dernières versions de matériel ont introduit de nouvelles options pour les déploiements de pare-feu ZDM, notamment le Firebox M695 de WatchGuard (sorti en décembre 2025), qui dispose d'un processeur Intel Core i7-14701E et offre un débit très élevé (45 Gbps brut) pour les grands environnements.8

Pour les déploiements de petites et moyennes entreprises, le WatchGuard Firebox T185 (sorti en janvier 2026) offre des performances multi-gigabit avec un débit de pare-feu brut d'environ 5,7 Gbps et des fonctionnalités de sécurité de niveau entreprise pour les réseaux de succursales.9

Avantages de la zone démilitarisée (ZDM)

La valeur principale d'une ZDM réside dans sa capacité à fournir aux utilisateurs d'Internet public l'accès à des services externes spécifiques tout en servant de barrière protectrice qui protège le réseau interne de l'organisation.

Cette couche de sécurité supplémentaire offre plusieurs avantages clés en matière de sécurité :

1. Fournit des contrôles d'accès

Un réseau ZDM contrôle l'accès aux services accessibles via Internet qui ne font pas partie du réseau périmétrique d'une entreprise. Il ajoute également une couche de segmentation réseau, augmentant le nombre de barrières qu'un utilisateur doit franchir avant d'obtenir l'accès au réseau privé d'une entreprise.

2. Empêche la reconnaissance réseau

Une ZDM limite la capacité d'un attaquant à évaluer les cibles potentielles sur le réseau. Même si une machine dans la ZDM est piratée, le pare-feu interne défend le réseau privé en l'isolant de la ZDM. Cette configuration rend les exploits de réseau externes plus difficiles.

3. Limite l'usurpation d'adresse Internet Protocol (IP)

L'usurpation d'adresse IP consiste à falsifier l'adresse IP source des paquets pour obtenir un accès non autorisé. Une ZDM aide à détecter et bloquer le trafic usurpé, surtout lorsqu'elle est combinée à des mesures de sécurité supplémentaires qui valident l'authenticité IP, protégeant ainsi davantage le réseau interne contre les attaques d'usurpation d'identité.

Ne manquez pas nos benchmarks et analyses basées sur les données. Le bouton ouvre Google ; sélectionner AIMultiple confirme que vous souhaitez voir AIMultiple plus souvent dans les résultats de recherche Google.
GoogleAjouter comme source préférée

Top 5 des vulnérabilités des ZDM en matière de sécurité réseau

Une ZDM est utile, mais elle présente des faiblesses. Ces faiblesses peuvent faciliter la tâche des attaquants pour trouver des problèmes.

1. Les parties publiques sont faciles à voir depuis Internet

Les serveurs dans une ZDM doivent être ouverts pour que les gens puissent les utiliser. Les pirates peuvent trouver et scanner ces systèmes accessibles publiquement à la recherche de faiblesses.

2. Une mauvaise configuration crée des risques

La configuration et la gestion de la ZDM peuvent être complexes. Si les règles de pare-feu ou les contrôles d'accès sont incorrects, les attaquants pourraient entrer.

3. La complexité augmente les erreurs

Une ZDM ajoute plus d'appareils, de règles et de paramètres à gérer. Plus de complexité signifie plus de chances d'erreurs humaines.

4. Un faux sentiment de sécurité

Certaines personnes pensent qu'une ZDM rend un réseau totalement sûr. Ce n'est pas le cas. Une ZDM réduit les risques, mais ne peut pas arrêter toutes les attaques par elle-même.

5. Les ZDM peuvent avoir des difficultés avec les nouvelles technologies

Les conceptions traditionnelles de ZDM peuvent ne pas bien s'adapter aux services cloud ou aux modèles de réseau modernes, limitant leur utilité.

En février 2026, l'Agence américaine de la sécurité des infrastructures et de la cybersécurité (CISA) a publié de nouvelles directives pour les opérateurs d'infrastructures critiques à la suite d'une cyberattaque contre le réseau électrique polonais.10 L'avis met l'accent sur la segmentation stricte du réseau et d'autres contrôles pour aider à contenir les menaces dans les réseaux de technologie opérationnelle (OT).11

Applications des ZDM

1. Services cloud

Certains services cloud emploient une stratégie de sécurité hybride dans laquelle une ZDM est établie entre le réseau sur site de l'entreprise et son réseau logique. Cette stratégie est couramment employée lorsque les services de l'entreprise fonctionnent partiellement sur site et partiellement sur un réseau logique.

AWS et Google Cloud incluent des solutions pare-feu en tant que service intégrées. Par exemple, AWS propose AWS Network Firewall (un service de pare-feu géré et étatique pour les VPC).12 Google Cloud's Cloud Next-Generation Firewall inclut un service de filtrage d'URL pour le contrôle du trafic basé sur les domaines et prend en charge les politiques de pare-feu hiérarchiques pour la segmentation réseau granulaire 13 .14

2. Réseaux domestiques

Une ZDM peut également être utile pour les réseaux domestiques qui utilisent des paramètres LAN et des routeurs haut débit. Plusieurs routeurs domestiques incluent des options ZDM ou des paramètres d'hôte ZDM. Ces options permettent aux utilisateurs de connecter un seul appareil à Internet.

3. Systèmes de contrôle industriel (ICS)

Les ZDM peuvent fournir une solution aux problèmes de sécurité associés aux ICS.

La plupart des équipements de technologie opérationnelle (OT) qui se connectent à Internet ne sont pas aussi bien conçus pour atténuer les attaques que les appareils IT. Une ZDM peut améliorer la segmentation du réseau OT, rendant plus difficile l'infiltration de logiciels malveillants, de virus ou d'autres menaces réseau.

Les organisations remplacent les périmètres réseau plats par des modèles Zero Trust qui utilisent la microsegmentation et des contrôles d'accès granulaires.15 Les récentes directives mondiales pour les réseaux OT (menées par le NCSC du Royaume-Uni en collaboration avec la CISA) mettent l'accent sur la réduction des connexions exposées et l'application d'une segmentation stricte du réseau aux limites opérationnelles 16 .17

4. Hébergement web et de messagerie

Les services accessibles publiquement tels que les serveurs web sont généralement déployés dans une ZDM pour fournir aux utilisateurs externes l'accès aux ressources essentielles tout en maintenant la sécurité du réseau interne.

5. Systèmes de détection et de prévention des intrusions (IDS/IPS)

Certaines architectures de sécurité placent des capteurs IDS/IPS dans la ZDM pour inspecter le trafic entrant et sortant à la recherche de comportements malveillants avant qu'il n'atteigne le réseau interne.

6. Accès des partenaires et des fournisseurs

Les organisations qui fournissent un accès réseau à des partenaires ou fournisseurs tiers utilisent souvent une ZDM pour héberger des services partagés (par exemple, des APIs, des portails SFTP). Cela limite l'exposition du réseau interne au cas où l'accès de la partie externe serait compromis.

7. Passerelles d'accès à distance

Les concentrateurs VPN, les passerelles de bureau à distance ou les brokers d'infrastructure de bureau virtuel (VDI) sont souvent déployés dans une ZDM pour permettre un accès sécurisé à distance aux systèmes internes sans les exposer directement à Internet.

Citer cette recherche

Choisissez le format qui correspond à votre lieu de publication. Coller la version avec lien dans votre CMS préserve le lien retour.

Cem Dilmegani (2026) - "Zone démilitarisée (ZDM): Exemples et architecture". Publié en ligne sur AIMultiple.com. Consulté le 6 Mars 2026, à : https://aimultiple.com/dmz [Ressource en ligne]

Dilmegani, C. (2026, 6 Mars). Zone démilitarisée (ZDM): Exemples et architecture. AIMultiple. https://aimultiple.com/dmz

@misc{dilmegani2026,
  author = {Dilmegani, Cem},
  title  = {{Zone démilitarisée (ZDM): Exemples et architecture}},
  year   = {2026},
  month  = mar,
  howpublished    = {\url{https://aimultiple.com/dmz}},
  note   = {AIMultiple. Consulté le 6 Mars 2026}
}
Cem Dilmegani
Cem Dilmegani
Analyste principal
Cem est analyste principal chez AIMultiple depuis 2017. AIMultiple informe chaque mois des centaines de milliers d'entreprises (selon similarWeb), dont 55 % des entreprises du classement Fortune 500. Les travaux de Cem ont été cités par des publications internationales de premier plan telles que Business Insider, Forbes et le Washington Post, ainsi que par des entreprises mondiales comme Deloitte et HPE, des ONG comme le Forum économique mondial et des organisations supranationales comme la Commission européenne. Vous trouverez d'autres entreprises et ressources réputées ayant fait référence à AIMultiple. Tout au long de sa carrière, Cem a exercé les fonctions de consultant, d'acheteur et d'entrepreneur dans le secteur des technologies. Il a conseillé des entreprises sur leurs décisions technologiques chez McKinsey & Company et Altman Solon pendant plus de dix ans. Il a également publié un rapport McKinsey sur la numérisation. Il a dirigé la stratégie technologique et les achats d'un opérateur télécom, sous la responsabilité directe du PDG. Il a également piloté la croissance commerciale de la société de deep tech Hypatos, qui a atteint un chiffre d'affaires annuel récurrent à sept chiffres et une valorisation à neuf chiffres en seulement deux ans. Les travaux de Cem chez Hypatos ont été présentés dans des publications technologiques de référence telles que TechCrunch et Business Insider. Cem intervient régulièrement lors de conférences internationales sur les technologies. Diplômé en génie informatique de l'université de Bogazici, il est également titulaire d'un MBA de la Columbia Business School.
Voir le profil complet

Soyez le premier à commenter

Votre adresse courriel ne sera pas publiée. Tous les champs sont obligatoires. Les commentaires sont laissés dans leur langue d'origine.

0/450