En entreprise, un incident sur un seul poste peut suffire à compromettre l’ensemble du système d’information… à moins que le réseau ne soit pensé pour contenir la menace. Le VLAN (Virtual Local Area Network) offre cette capacité en cloisonnant logiquement les environnements, limitant les interactions non nécessaires et renforçant le contrôle des flux dans un réseau local. De la conception à la configuration, en passant par les cas d’usage métiers et les bonnes pratiques, découvrez comment intégrer les VLANs dans une stratégie réseau alliant performance, cybersécurité et conformité réglementaire.
Le terme VLAN désigne un réseau local virtuel, logique, qui ne dépend pas du câblage physique. Contrairement à un LAN classique, dont la structure est conditionnée par les connexions matérielles entre les équipements, le VLAN permet de regrouper des machines selon des critères organisationnels (service, localisation, type d’usage), indépendamment de leur emplacement physique réel.
Ainsi, deux postes connectés à des prises réseau différentes, voire situés dans des bâtiments distincts, peuvent faire partie du même VLAN s’ils relèvent du même périmètre fonctionnel. Cette abstraction logique introduit un niveau de flexibilité précieux pour concevoir un réseau local agile et segmenté.
Le VLAN répond à plusieurs objectifs techniques et organisationnels :
En matière de cybersécurité en entreprise, un VLAN limite les déplacements latéraux d’un attaquant en cas de compromission, réduit l’exposition des systèmes critiques et facilite l’application de politiques de contrôle d’accès adaptées à chaque segment. L’ANSSI préconise d’ailleurs la mise en place de zones à sécurité homogène, définies notamment par une segmentation via VLANs et sous-réseaux IP dédiés1.
La mise en œuvre des VLANs repose sur des équipements réseau compatibles, comme les switches manageables. Chaque VLAN est identifié par un numéro unique (VLAN ID), généralement entre 1 et 4094. Lorsqu’un paquet transite sur un port configuré en mode trunk, il est balisé à l’aide du standard IEEE 802.1Q, qui ajoute une étiquette (tag) précisant le VLAN auquel il appartient.
Deux types de ports sont utilisés2 :
Les ports access, dédiés à un seul VLAN, pour les connexions utilisateur classiques.
Les ports trunk, utilisés pour transporter plusieurs VLANs simultanément, par exemple entre deux switches ou entre un switch et un routeur.
La segmentation logique obtenue permet d’isoler les communications au sein de chaque VLAN.
À noter : par défaut, les VLANs ne peuvent pas communiquer entre eux sans configuration spécifique.
Comme évoqué juste au-dessus, l’isolation native des VLANs interdit toute communication directe entre eux. Pour permettre des échanges contrôlés, un routage inter-VLAN doit être mis en place.
Ce routage peut se faire :
Ces flux inter-VLAN peuvent ainsi être inspectés, journalisés et soumis à des politiques de contrôle, conformément aux bonnes pratiques de cybersécurité.
L’un des usages les plus répandus des VLANs consiste à créer un segment réseau pour chaque entité métier. Cette segmentation permet de moduler les politiques d’accès, d’inspection et de supervision en fonction des besoins de chaque service, en cloisonnant les flux pour réduire les risques de mouvements latéraux en cas d’intrusion.
Cette logique de cloisonnement réduit les surfaces d’attaque, simplifie les audits, et permet une réponse plus ciblée en cas d’incident.
En entreprise, les connexions réseau ne sont plus limitées aux salariés. Prestataires externes, consultants, visiteurs, ou encore objets connectés représentent des points d’accès temporaires ou peu maîtrisés. Les VLANs permettent de créer des environnements contrôlés pour ces profils spécifiques :
Les invités peuvent être regroupés dans un VLAN isolé, avec accès restreint à Internet via un portail captif, sans possibilité de découvrir ni interagir avec le réseau interne.
Les prestataires accédant ponctuellement à certains outils (outils de ticketing, plateformes SaaS spécifiques) peuvent se voir attribuer un VLAN dédié avec filtrage fin des ressources accessibles, en fonction de leur contrat ou de leur périmètre d’intervention.
Les équipements IoT, souvent vulnérables ou difficiles à maintenir à jour, bénéficient d’un VLAN cloisonné, ne communiquant qu’avec les serveurs strictement nécessaires (exemple : caméras IP ne pouvant communiquer qu’avec un enregistreur vidéo défini).
Cette logique d’isolation réduit les opportunités de rebond en cas de compromission et plus globalement, les risques cyber en entreprise, tout en offrant une granularité d’analyse utile pour la détection d’anomalies.
Dans les groupes multi-établissements, ou les entreprises opérant sur plusieurs sites (usines, agences, datacenters, plateformes logistiques), le VLAN prend une dimension transverse. L’objectif n’est plus seulement de cloisonner localement, mais de répliquer une segmentation cohérente à l’échelle de l’organisation.
En interconnectant les sites via un backbone fibre, un lien MPLS ou un VPN IPsec, les VLANs peuvent être étendus au-delà des frontières physiques. Ce type d’architecture permet de :
Cette continuité logique renforce la visibilité, facilite les contrôles et prépare l’infrastructure à intégrer une stratégie de cybersécurité cohérente à l’échelle de l’organisation.
Le point de départ d’un déploiement VLAN réussi repose sur une bonne définition des segments à créer. Cette étape doit s’appuyer sur une cartographie précise des usages métiers, des profils d’utilisateurs et des équipements à isoler. Chaque VLAN est ensuite identifié par un numéro unique (VLAN ID), accompagné d’un nom explicite qui reflète sa fonction dans l’organisation.
Par exemple, on pourra définir un VLAN 10 pour les ressources humaines, un VLAN 20 pour les invités, un VLAN 30 pour la production industrielle, ou encore un VLAN 40 pour les équipements de supervision. Cette nomenclature ne doit laisser place à aucune ambiguïté.
Il est recommandé de structurer ces choix en cohérence avec le plan d’adressage IP existant. Un découpage logique des sous-réseaux facilite non seulement le routage inter-VLAN, mais aussi la gestion des accès et la lecture des journaux d’événements. À cette étape, la coordination entre les équipes réseau et sécurité est déterminante, notamment pour anticiper les règles de filtrage et les dépendances entre environnements.
Une fois les VLANs définis, la configuration des ports réseau doit être menée avec rigueur. Les ports connectés aux terminaux utilisateurs (postes de travail, imprimantes, bornes Wi-Fi, équipements industriels) sont configurés en mode access, chacun rattaché à un seul VLAN. Cette association permet de contraindre les flux émis ou reçus à un seul environnement logique.
Les ports interconnectant les switches ou reliant un switch à un routeur doivent quant à eux être configurés en mode trunk, pour transporter simultanément plusieurs VLANs sur un même lien physique. Le balisage 802.1Q assure alors la distinction des trames selon leur appartenance VLAN.
Une attention particulière doit être portée aux ports non utilisés. Les laisser ouverts ou en configuration par défaut crée des zones d’ombre dans l’architecture réseau, exploitables par un attaquant interne ou un utilisateur mal intentionné. Il est préférable de les désactiver explicitement ou de les intégrer dans un VLAN « parking », sans accès réseau.
Une configuration de VLAN, même techniquement correcte, peut générer des effets de bord en production si elle n’est pas rigoureusement testée. Avant de généraliser le déploiement, plusieurs vérifications s’imposent.
Il convient d’abord de s’assurer que les VLANs sont effectivement isolés les uns des autres, comme prévu dans la conception initiale. Des tests de connectivité simples (ping, traceroute) peuvent suffire pour détecter des erreurs de configuration ou des fuites de trafic. Les résolutions DNS, les authentifications centralisées (AD, LDAP) et l’accès aux ressources partagées doivent ensuite être testés dans chaque segment.
Enfin, les journaux des switches, pare-feux et systèmes de supervision doivent être examinés pour confirmer que seuls les flux autorisés circulent entre les VLANs. C’est aussi l’occasion de valider les règles inter-VLAN et de s’assurer qu’aucun flux non autorisé ne contourne les mécanismes de filtrage. Ces tests peuvent être intégrés à un processus de recette, avec un jeu de scénarios représentatifs des usages réels.
Le VLAN 1 est utilisé par défaut pour la gestion interne des équipements. Le réutiliser à des fins métiers peut générer des conflits, des ambiguïtés et des failles de sécurité. Il est préférable de le réserver à des usages spécifiques à la gestion de l’infrastructure, et de définir des VLANs métiers explicitement nommés.
Une cartographie claire des VLANs, de leur usage et de leur affectation sur les ports est indispensable pour assurer la maintenabilité du réseau. Cette documentation facilite les audits, la gestion des incidents, les changements d’infrastructure ou encore la réponse à une alerte de sécurité.
Les VLANs ne doivent pas être considérés uniquement comme des segments techniques : ils sont des composants actifs de la gouvernance réseau et doivent être intégrés à une approche globale de la sécurité.
Le modèle Zero Trust repose sur un principe clair : ne jamais accorder de confiance implicite, même à l’intérieur du réseau local. Chaque accès doit être contrôlé, chaque flux doit être justifié et journalisé.
Dans cette optique, les VLANs jouent un rôle stratégique : en compartimentant les environnements selon leur métier, leur sensibilité ou leur exposition au risque, ils permettent d’appliquer des politiques d’accès différenciées, plus fines, plus intelligentes.
Mais pour que ce cloisonnement réseau soit réellement efficace, il doit s’articuler avec une gestion des identités et des privilèges centralisée. Par exemple, en associant les VLANs à un gestionnaire de mots de passe sécurisé comme LockPass, interconnecté avec l’annuaire d’entreprise (Active Directory), il devient possible de synchroniser dynamiquement les droits d’accès selon le rôle, la fonction, le profil de risque ou le contexte d’un utilisateur.
Par exemple, un collaborateur affecté au service finance, connecté depuis un poste rattaché au VLAN « comptabilité », se verra automatiquement attribuer des accès limités aux seules ressources de ce périmètre. À l’inverse, un prestataire invité sur le VLAN « externe » n’aura accès qu’à une sélection restreinte de services, sans visibilité sur les environnements critiques. Ce modèle permet de mettre en œuvre le principe de moindre privilège (PoLP), non seulement au niveau applicatif, mais également au niveau du réseau.
Enfin, les flux inter-VLAN doivent être contrôlés par des pare-feux de niveau 3 ou des politiques ACL, et intégrés à la supervision globale (SIEM, journalisation des accès sensibles, détection d’anomalies). Cette gouvernance unifiée renforce la posture de sécurité de l’organisation, tout en répondant aux exigences réglementaires comme NIS2, ISO 27001 ou DORA, qui imposent aux entreprises une isolation logique des systèmes critiques et une traçabilité des accès à privilèges.
Sources :
1 https://cyber.gouv.fr/publications/guide-dhygiene-informatique