Zone démilitarisée (DMZ) : exemples et architecture

Un réseau de zone démilitarisée (DMZ) est un sous-réseau contenant les services accessibles au public d'une organisation. Il constitue un point d'entrée exposé sur un réseau non fiable, souvent Internet.

Les DMZ (zones démilitarisées) sont utilisées dans divers environnements, des routeurs domestiques aux réseaux d'entreprise, pour isoler les services exposés au public et protéger les systèmes internes. Elles hébergent les services publics tout en les isolant du réseau local (LAN) interne de l'organisation. ¹ Les organisations combinent les périmètres DMZ avec la microsegmentation Zero Trust et des contrôles d'accès stricts. ²

Explorez des exemples concrets de DMZ et différentes architectures de DMZ (pare-feu simple ou double) :

Pourquoi la DMZ est-elle importante pour la sécurité des réseaux ?

Les DMZ ajoutent une couche de segmentation du réseau pour protéger le réseau privé interne. Elles créent une zone tampon entre l'internet public et les réseaux privés de l'organisation.

Ces sous-réseaux limitent l'accès externe aux serveurs et ressources internes, ce qui rend plus difficile pour les attaquants de pénétrer le réseau interne.

Dans les configurations typiques (voir figure ci-dessus), le sous-réseau DMZ est placé entre deux pare-feu ou sur un segment dédié d'un seul pare-feu doté de plusieurs interfaces. Ceci garantit que :

• L'accès non autorisé au réseau interne est bloqué, même si un service hébergé dans la DMZ est compromis.
• Tout le trafic entrant depuis Internet est d'abord filtré et inspecté avant d'atteindre les serveurs de la DMZ.
• Le trafic réseau interne à destination et en provenance de la DMZ est étroitement contrôlé et surveillé.

Exemples de DMZ

Exemple 1 de DMZ : Implémentation d’une DMZ avec un seul pare-feu

Comme le montre la figure 1, le réseau DMZ n'est ni à l'intérieur ni à l'extérieur du pare-feu. Il est accessible via les réseaux internes et externes.

L'un des principaux avantages de ce schéma de réseau est l'isolation. Par exemple, si le serveur de messagerie est piraté, l'attaquant ne pourra pas accéder au réseau interne. Dans ce cas, il pourra accéder à différents serveurs de la DMZ, car ils partagent le même réseau physique.

Figure 1. Schéma simplifié d'une DMZ

Source : International Journal of Wireless and Microwave Technologies ³

Dans cette configuration, la DMZ applique les contrôles d'accès suivants :

• Réseau extérieur : Le réseau extérieur ne peut pas établir de connexions avec le réseau intérieur, mais il peut initier des connexions avec la DMZ.
• Réseau interne : Le réseau interne peut établir des connexions avec des réseaux externes, mais il ne peut pas établir de connexions avec le réseau interne.

Exemple de DMZ 2 : Une DMZ connectée à un périphérique tiers

Une autre approche courante pour les zones démilitarisées (DMZ) consiste à se connecter à un équipement tiers, tel qu'un fournisseur. La figure 2 illustre un réseau où un fournisseur est connecté par une liaison T1 à un routeur situé dans la DMZ.

Cet exemple de DMZ peut être utilisé lorsque des entreprises externalisent leurs systèmes à un tiers, permettant un accès direct au serveur du fournisseur via cette configuration.

Figure 2. DMZ connectée à un fournisseur

Source : O'Reilly Media ⁴

Exemple 3 de DMZ : Plusieurs DMZ connectées à un périphérique tiers

Parfois, une seule DMZ ne suffit pas pour les organisations exploitant des réseaux complexes. La figure 3 illustre un réseau comportant plusieurs DMZ. Cette architecture combine les deux premiers exemples : Internet est situé à l’extérieur du réseau, tandis que les utilisateurs se trouvent à l’intérieur.

Figure 3. Zones démilitarisées multiples

Source : O'Reilly Media ⁵

• DMZ-1 est un point d'accès à un fournisseur.
• La zone DMZ-2 abrite les serveurs Internet.

Les exigences de sécurité sont cohérentes avec l'exemple précédent (Exemple 2), mais une considération supplémentaire est nécessaire : si DMZ-1 est autorisé à initier des connexions à DMZ-2 , et vice versa.

L'évaluation de cet accès bidirectionnel permet de mettre en œuvre des contrôles de sécurité précis au sein d'environnements réseau complexes.

Architectures DMZ

Une DMZ peut être configurée de diverses manières, allant d'un pare-feu unique à deux ou plusieurs pare-feu. La plupart des architectures DMZ actuelles comprennent deux pare-feu dont la capacité peut être étendue pour prendre en charge des réseaux complexes.

1. Pare-feu unique

Un seul pare-feu doté d'au moins trois interfaces réseau est nécessaire pour construire une architecture réseau incluant une DMZ.

Figure 4. Illustration d'une architecture de pare-feu unique

Source : SAP ⁶

Pourquoi utiliser un pare-feu unique ? Un pare-feu unique simplifie l’architecture réseau en centralisant le contrôle du trafic, l’application des politiques et la connexion sur un seul appareil. Cela réduit la complexité administrative et diminue les coûts d’investissement et d’exploitation. Cette solution est idéale pour les environnements de petite taille ne nécessitant pas de défense périmétrique multicouche.

2. Double pare-feu

Cette implémentation crée une DMZ à l'aide de deux pare-feu.

Figure 5. Illustration d'une architecture à double pare-feu

Source : SAP ⁷

Pourquoi utiliser un double pare-feu ? Un double pare-feu offre un système plus sécurisé. Dans certaines entreprises, les deux pare-feu sont fournis par des prestataires différents. Si une attaque externe parvient à franchir le premier pare-feu, il faudra probablement plus de temps pour pénétrer le second s’il est fourni par un fabricant différent, ce qui réduit le risque qu’il soit victime des mêmes failles de sécurité.

Les récentes sorties matérielles ont introduit de nouvelles options pour les déploiements de pare-feu DMZ, notamment le Firebox M695 de WatchGuard (sorti en décembre 2025), qui dispose d'un processeur Core i7-14701E et offre un débit très élevé (45 Gbps bruts) pour les grands environnements. ⁸

Pour les déploiements dans les petites et moyennes entreprises, le WatchGuard Firebox T185 (sorti en janvier 2026) offre des performances multi-gigabits avec un débit de pare-feu brut d'environ 5,7 Gbps et des fonctionnalités de sécurité de classe entreprise pour les réseaux de succursales. ⁹

Avantages de la zone démilitarisée (DMZ)

L'intérêt principal d'une DMZ réside dans sa capacité à offrir aux internautes un accès à des services externes spécifiques tout en servant de barrière protectrice pour le réseau interne de l'organisation.

Cette couche de sécurité supplémentaire offre plusieurs avantages clés en matière de sécurité :

1. Fournit des contrôles d'accès

Un réseau DMZ contrôle l'accès aux services Internet situés en dehors du périmètre réseau de l'entreprise. Il ajoute également une couche de segmentation du réseau, augmentant ainsi le nombre d'obstacles qu'un utilisateur doit franchir pour accéder au réseau privé de l'entreprise.

2. Empêcher la reconnaissance du réseau

Une zone démilitarisée (DMZ) limite la capacité d'un attaquant à évaluer les cibles potentielles sur le réseau. Même si une machine située dans la DMZ est piratée, le pare-feu interne protège le réseau privé en l'isolant de la DMZ. Cette configuration rend les attaques externes sur le réseau plus difficiles.

3. Limites de l'usurpation d'adresse IP (Internet Protocol)

L'usurpation d'adresse IP consiste à falsifier l'adresse IP source des paquets pour obtenir un accès non autorisé. Une DMZ permet de détecter et de bloquer le trafic usurpé, notamment lorsqu'elle est combinée à des mesures de sécurité supplémentaires qui valident l'authenticité des adresses IP, renforçant ainsi la protection du réseau interne contre les attaques par usurpation d'identité.

Les 5 principales vulnérabilités des DMZ en matière de sécurité réseau

Une zone démilitarisée (DMZ) est utile, mais elle présente des faiblesses. Ces faiblesses peuvent faciliter la tâche des attaquants pour y déceler des failles.

1. Les parties publiques sont facilement visibles depuis Internet.

Les serveurs situés dans une DMZ doivent être accessibles au public. Les pirates informatiques peuvent ainsi repérer et analyser ces systèmes publics afin d'y déceler des failles de sécurité.

2. Une mauvaise configuration crée un risque

La configuration et la gestion d'une DMZ peuvent s'avérer complexes. Des règles de pare-feu ou des contrôles d'accès incorrects peuvent permettre à des attaquants de s'y introduire.

3. La complexité accroît les erreurs

Une DMZ ajoute des périphériques, des règles et des paramètres à gérer. Plus de complexité signifie plus de risques d'erreur humaine.

4. Un faux sentiment de sécurité

Certains pensent qu'une DMZ rend un réseau totalement sûr. Ce n'est pas le cas. Une DMZ réduit les risques, mais ne peut pas, à elle seule, empêcher toutes les attaques.

5. Les DMZ peuvent rencontrer des difficultés avec les nouvelles technologies

Les architectures DMZ traditionnelles peuvent ne pas être compatibles avec les services cloud ou les modèles de réseau modernes, ce qui limite leur utilité.

En février 2026, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié de nouvelles directives à l'intention des opérateurs d'infrastructures critiques suite à une cyberattaque contre le réseau électrique polonais. ¹⁰ L’avis souligne l’importance d’une segmentation stricte du réseau et d’autres contrôles pour aider à contenir les menaces dans les réseaux de technologies opérationnelles (OT). ¹¹

Applications des DMZ

1. Services cloud

Certains services cloud utilisent une stratégie de sécurité hybride consistant à établir une zone démilitarisée (DMZ) entre le réseau local de l'entreprise et son réseau logique. Cette stratégie est couramment employée lorsque les services de l'entreprise fonctionnent en partie sur site et en partie sur un réseau logique.

AWS et le cloud Google incluent des solutions de pare-feu intégrées en tant que service. Par exemple, AWS propose AWS Network Firewall (un service de pare-feu géré et avec état pour les VPC). ¹² Google Le pare-feu de nouvelle génération de Cloud inclut un service de filtrage d'URL pour le contrôle du trafic basé sur le domaine et prend en charge les politiques de pare-feu hiérarchiques pour une segmentation réseau granulaire. ¹³ . ¹⁴

2. Réseaux domestiques

Une DMZ peut également s'avérer utile pour les réseaux domestiques utilisant une configuration LAN et un routeur haut débit. De nombreux routeurs domestiques proposent des options DMZ ou des paramètres d'hôte DMZ. Ces options permettent de connecter un seul appareil à Internet à la fois.

3. Systèmes de contrôle industriel (ICS)

Les DMZ peuvent apporter une solution aux problèmes de sécurité associés aux systèmes de contrôle industriel (ICS).

La plupart des équipements de technologies opérationnelles (TO) connectés à Internet ne sont pas aussi bien conçus pour atténuer les attaques que les équipements informatiques. Une zone démilitarisée (DMZ) peut renforcer la segmentation du réseau TO, rendant ainsi plus difficile l'infiltration de logiciels malveillants, de virus ou d'autres menaces réseau.

Les organisations remplacent les périmètres de réseau plats par des modèles Zero Trust qui utilisent la microsegmentation et des contrôles d'accès granulaires. ¹⁵ Les récentes recommandations internationales concernant les réseaux OT (menées par le NCSC britannique en collaboration avec la CISA) insistent sur la réduction des connexions exposées et l'application d'une segmentation stricte du réseau aux limites opérationnelles. ¹⁶ . ¹⁷

4. Hébergement web et de messagerie

Les services exposés au public, tels que les serveurs web, sont généralement déployés au sein d'une DMZ afin de fournir aux utilisateurs externes un accès aux ressources essentielles tout en préservant la sécurité du réseau interne.

5. Systèmes de détection et de prévention des intrusions (IDS/IPS)

Certaines architectures de sécurité placent des capteurs IDS/IPS dans la DMZ pour inspecter le trafic entrant et sortant afin de détecter tout comportement malveillant avant qu'il n'atteigne le réseau interne.

6. Accès des partenaires et des fournisseurs

Les organisations qui offrent un accès réseau à des partenaires ou fournisseurs tiers utilisent souvent une DMZ pour héberger des services partagés (API, portails SFTP, etc.). Cela permet de limiter l'exposition du réseau interne en cas de compromission de l'accès du tiers.

7. Passerelles d'accès à distance

Les concentrateurs VPN, les passerelles de bureau à distance ou les courtiers d'infrastructure de bureau virtuel (VDI) sont souvent déployés dans une DMZ pour permettre un accès distant sécurisé aux systèmes internes sans les exposer directement à Internet.

Liens de référence

1.

https://www.techtarget.com/searchsecurity/definition/DMZ

2.

https://www.cisa.gov/resources-tools/resources/microsegmentation-zero-trust-part-one-introduction-and-planning

3.

4.

5.

6.

SAP Help Portal | SAP Online Help

7.

SAP Help Portal | SAP Online Help

8.

WatchGuard Firebox M695 review | IT Pro

IT Pro

9.

WatchGuard Firebox T185 review | IT Pro

IT Pro

10.

https://www.itpro.com/security/cisa-shares-lessons-learned-from-polish-power-grid-hack-and-how-to-prevent-disaster-striking-again

11.

https://www.itpro.com/security/cisa-shares-lessons-learned-from-polish-power-grid-hack-and-how-to-prevent-disaster-striking-again

12.

https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html

13.

https://docs.cloud.google.com/firewall/docs/about-url-filtering

14.

Cloud NGFW overview  |  Cloud Next Generation Firewall  |  Google Cloud Documentation

15.

https://www.cisa.gov/resources-tools/resources/microsegmentation-zero-trust-part-one-introduction-and-planning

16.

NCSC-led global guidance sets out principles for designing secure connectivity into OT networks - Industrial Cyber

Industrial Cyber

17.

NCSC-led global guidance sets out principles for designing secure connectivity into OT networks - Industrial Cyber

Industrial Cyber

Cem Dilmegani

Analyste principal

Suivre

Cem est analyste principal chez AIMultiple depuis 2017. AIMultiple informe chaque mois des centaines de milliers d'entreprises (selon similarWeb), dont 55 % des entreprises du classement Fortune 500. Les travaux de Cem ont été cités par des publications internationales de premier plan telles que Business Insider, Forbes et le Washington Post, ainsi que par des entreprises mondiales comme Deloitte et HPE, des ONG comme le Forum économique mondial et des organisations supranationales comme la Commission européenne. Vous trouverez d'autres entreprises et ressources réputées ayant fait référence à AIMultiple. Tout au long de sa carrière, Cem a exercé les fonctions de consultant, d'acheteur et d'entrepreneur dans le secteur des technologies. Il a conseillé des entreprises sur leurs décisions technologiques chez McKinsey & Company et Altman Solon pendant plus de dix ans. Il a également publié un rapport McKinsey sur la numérisation. Il a dirigé la stratégie technologique et les achats d'un opérateur télécom, sous la responsabilité directe du PDG. Il a également piloté la croissance commerciale de la société de deep tech Hypatos, qui a atteint un chiffre d'affaires annuel récurrent à sept chiffres et une valorisation à neuf chiffres en seulement deux ans. Les travaux de Cem chez Hypatos ont été présentés dans des publications technologiques de référence telles que TechCrunch et Business Insider. Cem intervient régulièrement lors de conférences internationales sur les technologies. Diplômé en génie informatique de l'université de Bogazici, il est également titulaire d'un MBA de la Columbia Business School.

Voir le profil complet

Soyez le premier à commenter

Votre adresse courriel ne sera pas publiée. Tous les champs sont obligatoires.

Nom

Adresse email

Commentaire

0/450

Publier un commentaire