📖 3 min de lecture · Mis à jour le 18/01/2026

Sur un réseau plat (non segmenté), tous les appareils communiquent directement entre eux. Un seul poste compromis peut accéder à l’ensemble du réseau : serveurs, imprimantes, caméras, postes des autres collaborateurs. La segmentation réseau par VLAN est la solution.

Qu’est-ce qu’un VLAN ?

Un VLAN (Virtual Local Area Network) est un réseau logique isolé au sein de votre infrastructure physique. Les appareils d’un même VLAN communiquent entre eux, mais pas avec les appareils des autres VLANs sans passer par un routeur ou un pare-feu.

Concrètement, vos switchs existants sont configurés pour affecter chaque port à un VLAN spécifique. Pas besoin de câblage supplémentaire : la segmentation est purement logicielle.

Pourquoi segmenter votre réseau

Sécurité : si un poste est compromis (malware, ransomware), l’attaquant est confiné dans le VLAN de ce poste. Il ne peut pas atteindre directement les serveurs critiques ou les autres segments. C’est le principe de la micro-segmentation.

Performance : la segmentation réduit les domaines de broadcast. Sur un réseau plat de 200 postes, chaque broadcast atteint tous les appareils. Avec des VLANs, les broadcasts sont confinés au segment, réduisant le trafic parasite.

Conformité : le PCI DSS exige l’isolation du réseau traitant les données de cartes bancaires. Le RGPD recommande l’isolation des systèmes traitant des données personnelles.

Organisation : chaque département ou type d’appareil a son propre réseau, facilitant la gestion et le troubleshooting.

Architecture VLAN type pour une PME

  • VLAN 10 — Management : administration des équipements réseau (switchs, bornes Wi-Fi, pare-feu)
  • VLAN 20 — Serveurs : serveurs internes (AD, fichiers, ERP, CRM)
  • VLAN 30 — Postes de travail : ordinateurs des collaborateurs
  • VLAN 40 — VoIP : téléphones IP et systèmes de visioconférence (QoS prioritaire)
  • VLAN 50 — Wi-Fi invités : réseau isolé pour les visiteurs
  • VLAN 60 — IoT/Caméras : caméras de surveillance, capteurs, imprimantes réseau
  • VLAN 70 — DMZ : serveurs exposés à internet (site web, email)

Règles de communication inter-VLANs

Le routage inter-VLAN est géré par votre pare-feu ou routeur de niveau 3. Vous définissez précisément quels flux sont autorisés entre chaque VLAN :

  • VLAN Postes → VLAN Serveurs : autorisé (accès aux applications)
  • VLAN Invités → VLAN Serveurs : interdit (isolation totale)
  • VLAN IoT → VLAN Postes : interdit (les caméras n’ont pas à communiquer avec les postes)
  • VLAN VoIP → Internet : autorisé uniquement vers le SIP trunk (téléphonie)

Prérequis techniques

La segmentation VLAN nécessite des switchs manageables (supportant le 802.1Q). Les switchs non manageables ne gèrent pas les VLANs. Vos bornes Wi-Fi doivent aussi supporter les VLANs pour affecter chaque SSID à un VLAN distinct.

Odyssix conçoit et déploie des architectures réseau segmentées pour les PME. Contactez-nous pour un audit de votre réseau.

OX
Rédigé par
Odyssix
Experts en cybersécurité, hébergement et infrastructure IT · Odyssix accompagne les PME françaises depuis plus de 10 ans dans leur transformation digitale.
Questions fréquentes
3 questions

Non, si vous disposez de switchs manageables. La configuration prend quelques heures pour une PME de 50 postes. La planification (quels VLANs, quelles règles) est plus importante que la technique elle-même. Un prestataire réseau peut le déployer en une journée.

Si vos switchs sont manageables (ils ont une interface de configuration web ou CLI), non. Si vous avez des switchs non manageables (basiques), oui. Un switch manageable coûte entre 100€ (8 ports) et 500€ (24 ports) pour des modèles adaptés aux PME.

Non, au contraire. La segmentation réduit les domaines de broadcast, ce qui améliore les performances globales. Le routage inter-VLAN ajoute un temps de traitement négligeable (microsecondes). L'impact est positif sur les réseaux de plus de 50 appareils.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter