Dans un contexte où les attaques informatiques sont de plus en plus fréquentes, la protection des réseaux devient une priorité. Parmi les solutions mises en place par les professionnels de la cybersécurité, la DMZ (Demilitarized Zone), ou zone démilitarisée, joue un rôle essentiel dans l’isolation des services exposés à Internet.

Mais, que signifie réellement ce terme, hérité du vocabulaire militaire ? À quoi sert une DMZ dans un réseau d’entreprise ou sur une box Internet à la maison ? Est-elle utile pour héberger un site web, un serveur FTP ou une caméra IP accessible de l’extérieur ? Et surtout, comment l’utiliser correctement sans exposer son réseau personnel ou professionnel à des risques inutiles ?

Dans cet article, vous découvrirez de manière simple et illustrée :

• Ce qu’est une DMZ et à quoi elle sert
• La différence entre une vraie DMZ professionnelle et la fonction DMZ d’une box
• Les bonnes pratiques de configuration pour éviter les erreurs fréquentes

Que vous soyez curieux, administrateur réseau ou simple utilisateur souhaitant comprendre ce que fait votre routeur, ce guide vous aidera à mieux sécuriser vos connexions et vos services exposés à Internet.

Qu’est-ce qu’une DMZ et À quoi cela sert ?

Une DMZ (Demilitarized Zone) est une zone intermédiaire entre Internet (extérieur) et le réseau local privé (LAN). Elle est utilisée pour héberger des serveurs accessibles depuis Internet tout en limitant les risques de piratage.

Exemples de services qu’on place souvent dans une DMZ :

• Un site web hébergé à la maison ou dans une entreprise
• Un serveur mail ou FTP (échange de fichiers)
• Une caméra IP que vous souhaitez consulter à distance
• Un serveur de jeux accessible de l’extérieur

Pourquoi utiliser une DMZ ?

L’idée est simple : si un pirate attaque votre site web ou serveur de jeu, il ne doit pas pouvoir rebondir sur votre ordinateur personnel ou sur les fichiers de l’entreprise.

En plaçant ce service dans une DMZ :

• Il reste accessible depuis Internet ;
• Mais il est isolé du reste du réseau ;
• Et donc, les dégâts sont limités en cas de faille ou d’attaque.

La « DMZ » des box ou routeurs : une fausse DMZ

Dans les box Internet (comme la Freebox, la Livebox ou la Bbox) ou dans les routeurs grand public, l’option appelée « DMZ » est trompeuse. Elle ne correspond pas du tout à une véritable zone démilitarisée telle qu’on la trouve dans les réseaux professionnels.
Dans ce contexte, la DMZ consiste simplement à rediriger l’ensemble du trafic Internet entrant — qui n’a pas été explicitement redirigé par des règles NAT — vers un seul appareil du réseau local, comme un PC, une console de jeux ou un NAS. Cet appareil se retrouve ainsi directement exposé à Internet, sans aucun filtrage ni protection intermédiaire de la part du routeur. On parle souvent d’une « ouverture totale » vers ce terminal.

Ce mécanisme n’isole pas l’appareil du reste du réseau domestique : il reste connecté au réseau local (LAN) et peut donc interagir avec les autres machines, ce qui va à l’encontre du principe de cloisonnement d’une véritable DMZ. Si l’appareil exposé est compromis, un pirate pourrait très facilement rebondir vers les autres équipements du foyer (ordinateurs, smartphones, objets connectés…).

L’usage de cette pseudo-DMZ est donc fortement déconseillé en continu, surtout s’il s’agit d’un appareil contenant des données personnelles, d’une machine de travail, ou d’un système non sécurisé. Elle peut néanmoins être utilisée temporairement, dans un but de test ou de dépannage, mais seulement si l’on sait exactement ce que l’on fait, et idéalement sur une machine isolée et protégée par un pare-feu logiciel bien configuré.

Plutôt que d’activer cette DMZ simplifiée, il est préférable de définir des redirections de ports spécifiques, uniquement pour les services dont vous avez besoin (par exemple : port 22 pour SSH, port 443 pour HTTPS, etc.). Cela permet un meilleur contrôle sur ce qui est réellement accessible depuis Internet, tout en évitant une exposition inutile de l’ensemble de l’appareil.

En résumé, la fonction DMZ présente sur les box Internet n’est pas une vraie DMZ, mais une simple redirection complète vers un hôte interne. Elle doit être utilisée avec précaution, voire évitée, au profit de solutions plus précises et plus sûres comme la gestion fine du NAT, ou, pour les utilisateurs avancés, l’usage d’un routeur dédié avec segmentation réseau et pare-feu personnalisable.

Quand ne pas utiliser la DMZ d’une box

• Ne jamais activer la DMZ sur un PC de travail, un NAS, une console, ou un appareil partagé.
• Ne pas confondre avec une vraie DMZ réseau professionnelle (qui est sécurisée et segmentée).
• Cela n’est pas une solution de redirection propre : si vous voulez ouvrir un port, il vaut mieux le faire manuellement dans la configuration NAT.

Dans les réseaux d’entreprise

Dans un réseau d’entreprise, la sécurité est une priorité. Pour se protéger des attaques extérieures tout en continuant à proposer des services accessibles depuis Internet (site web, messagerie, VPN, etc.), les administrateurs réseau utilisent une DMZ (Zone Démilitarisée).

Une DMZ (Demilitarized Zone) est une zone réseau isolée, placée entre le réseau interne de l’entreprise et Internet. Elle permet de publier des services externes (comme un serveur web ou mail) sans exposer directement le cœur du système d’information.

L’objectif principal est la segmentation du réseau :

• Limiter l’exposition aux attaques provenant d’Internet
• Empêcher la propagation d’un piratage depuis un serveur compromis
• Contrôler finement les flux de données entre les zones

Ainsi, dans une architecture classique de DMZ en entreprise, le trafic provenant d’Internet passe d’abord par un premier pare-feu, qui filtre et autorise uniquement certains ports vers la DMZ (par exemple HTTP ou SMTP).
Les serveurs exposés au public (comme un site web ou un serveur de messagerie) se trouvent dans cette DMZ, une zone intermédiaire isolée.
Ensuite, un second pare-feu sépare la DMZ du réseau interne (LAN). Ce second pare-feu empêche les serveurs de la DMZ de communiquer librement avec le reste de l’infrastructure, garantissant ainsi que même en cas de compromission, l’accès au réseau interne reste bloqué. Ce dispositif forme une triple barrière : Internet → DMZ → LAN.

L’article DMZ (Demilitarized Zone) est apparu en premier sur malekal.com.