14/07/2026

Segmentation réseau : la mesure la plus rentable contre les ransomwares en PME

Un réseau plat, sans segmentation, permet à un ransomware de se propager à toute l’entreprise en quelques minutes. La segmentation limite les dégâts sans tout reconstruire.

Sur beaucoup de PME que j’audite, le réseau est encore « plat » : postes, serveurs, imprimantes, caméras et Wi-Fi invité partagent le même segment réseau. En cas de compromission d’un seul poste, rien n’empêche un ransomware de se propager à l’ensemble du parc en quelques minutes.

Le principe de la segmentation

La segmentation consiste à découper le réseau en zones (VLAN) selon les usages : postes utilisateurs, serveurs, imprimantes/objets connectés, Wi-Fi invité, administration. Chaque zone ne communique qu’avec ce dont elle a réellement besoin, via des règles de firewall explicites.

Ce que ça change concrètement

  • Un poste compromis par phishing n’a plus un accès direct aux serveurs de fichiers ou à la sauvegarde.
  • Les objets connectés (caméras, badgeuses, imprimantes) souvent mal sécurisés sont isolés du reste du système d’information.
  • Le Wi-Fi invité ne peut plus servir de porte d’entrée vers le réseau interne.
  • En cas d’incident, le périmètre à analyser et à nettoyer est beaucoup plus restreint.

Une mise en place progressive

La segmentation ne demande pas nécessairement de tout changer d’un coup. Elle peut se faire par étapes, en commençant par isoler les zones les plus à risque (Wi-Fi invité, objets connectés, sauvegardes), avant d’affiner le reste du réseau.

C’est souvent le chantier avec le meilleur rapport coût/réduction de risque après l’activation du MFA, et l’un des premiers points vérifiés lors d’un audit sécurité.