MATRICE DE FLUX - Site Vonnas¶

Derniere MAJ : 2026-02-11 | Source : Regles firewall Fortigate FG-60F (40 regles actives) Equipement : Fortigate FG-60F | Mode : Route (routeur inter-VLAN + firewall)

1. Matrice zone-a-zone¶

Lecture : ligne = source, colonne = destination. Chaque cellule indique les services autorises et le volume de trafic.

De \ Vers	WAN	ADMIN (V1)	PC (V10)	VISITEUR (V11)	VOIP (V50)	INDUS_GEST (V110)	INDUS_AUTO (V120)	AZURE (V200)	SERVEUR (V230)	BACKUP (V240)	MGMT (V250)
WAN	-	-	-	-	-	SFTP (268 MB)	-	-	ESET (44 MB)	-	-
ADMIN (V1)	ALL (196 GB)	-	ALL (0)	Copieur (0)	ALL (670 MB)	ORACLE+VNC+RDP+ALL (6 GB)	VNC+RDP+ALL (5 GB)	-	ORACLE (0)	RDP (0)	LAN_TO_LAN
PC (V10)	ALL (196 GB)	ALL (0)	-	Copieur (0)	LAN_TO_LAN	LAN_TO_LAN	LAN_TO_LAN	-	LAN_TO_LAN	-	LAN_TO_LAN
VISITEUR (V11)	ALL (22 GB)	Copieur (0)	Copieur (0)	-	-	-	-	-	-	-	-
VOIP (V50)	3CX (3 GB)	LAN_TO_LAN	LAN_TO_LAN	-	-	LAN_TO_LAN	LAN_TO_LAN	-	LAN_TO_LAN	-	LAN_TO_LAN
INDUS_GEST (V110)	ALL filtre (25 GB)	LAN_TO_LAN	LAN_TO_LAN	-	LAN_TO_LAN	-	LAN_TO_LAN	-	WSUS (227 MB)	-	LAN_TO_LAN
INDUS_AUTO (V120)	ALL filtre+Kemin (8 GB)	LAN_TO_LAN	LAN_TO_LAN	-	LAN_TO_LAN	ORACLE (5 GB)	-	-	WSUS (227 MB)	-	LAN_TO_LAN
AZURE (V200)	-	-	-	-	-	IPSec (916 MB)	-	-	-	-	-
SERVEUR (V230)	ESET+ALL (197 GB)	LAN_TO_LAN	LAN_TO_LAN	-	LAN_TO_LAN	LAN_TO_LAN	LAN_TO_LAN	-	-	-	LAN_TO_LAN
BACKUP (V240)	-	-	-	-	-	-	-	-	ALL (0)	-	-
MGMT (V250)	ALL+Zabbix (196 GB)	LAN_TO_LAN	LAN_TO_LAN	-	LAN_TO_LAN	LAN_TO_LAN	LAN_TO_LAN	-	LAN_TO_LAN	-	-

LAN_TO_LAN = regle #35 permissive (ALL services, 7 zones ↔ 7 zones). Cette regle annule la segmentation entre ADMIN, PC, VOIP, INDUS_GEST, INDUS_AUTO, SERVEUR, MGMT.

2. Flux critiques (par volume)¶

#	Flux	Volume	Regle(s)	Criticite
1	Bureaux → Internet (OUT_WWW)	196.60 GB	#21	Flux principal — postes + serveurs + MGMT
2	LAN ↔ LAN (LAN_TO_LAN)	29.90 GB	#35	PERMISSIF — 7 zones toutes ouvertes
3	Visiteurs → Internet	22.38 GB	#20	Normal (wifi visiteurs)
4	Serveurs ERP → Internet (PRIOS)	12.81 GB	#6	Nutriciel vers Internet (MAJ, cloud ?)
5	Usine → Internet (LAN2WAN_INDUS)	5.62 GB	#18	Filtrage strict Web+AppCtrl
6	Admin → Usine TEST	5.19 GB	#32	REGLE TEST — a supprimer
7	OT → ERP (ORACLE)	4.78 GB	#26	Flux metier principal : postes conduite → Nutriciel
8	Usine → Windows Update	3.78 GB	#8	MAJ postes usine
9	VoIP → 3CX cloud	2.65 GB	#3	Telephonie
10	Postes usine → Internet (MAG2)	2.33 GB	#10	5 MACs specifiques

3. Detail des flux par categorie¶

Categorie	Source	Destination	Service	Details	Volume	Regle
Metier	INDUS_AUTO (postes conduite)	INDUS_GEST (SRLV-SERV-APP/BDD)	ORACLE	Flux principal ERP : postes Nutriciel → serveurs Oracle	4.78 GB	#26
Metier	ADMIN (bureaux)	INDUS_GEST (SRLV-SERV-APP/BDD)	ORACLE	Bureaux → ERP Nutriciel	570 MB	#25
Metier	Azure	INDUS_GEST (SRLV-SERV-APP/BDD)	ALL (IPSec)	Azure → ERP (synchronisation)	916 MB	#34
Metier	INDUS_GEST (SRLV-SERV-APP/BDD)	Azure	ALL (IPSec)	ERP → Azure	0 B	#33
Metier	ADMIN (bureaux)	SERVEUR (LAN_SERVEUR)	ORACLE	Bureaux → serveurs Oracle (inactif ?)	0 B	#27
Sortant	ADMIN + MGMT + PC + SERVEUR + VOIP	Internet	ALL	AV + WF + AC + IPS + CRT	196.60 GB	#21
Sortant	VISITEUR	Internet	ALL	AV + WF + AC + IPS + CRT	22.38 GB	#20
Sortant	INDUS_GEST + ADMIN (PRIOS)	Internet	ALL	AV + IPS + CRT	12.81 GB	#6
Sortant	INDUS_AUTO + GEST	Internet	ALL	AV + WF strict + AC strict + IPS + CRT	5.62 GB	#18
Sortant	INDUS_AUTO + GEST	Windows Update	Internet Svc	AV + IPS + CRT	3.78 GB	#8
Sortant	VOIP	3CX cloud	ALL	Aucun profil securite	2.65 GB	#3
Sortant	INDUS_AUTO + GEST (5 MACs)	Internet	ALL	AV + IPS + CRT	2.33 GB	#10
Sortant	SERVEUR (ESET)	Internet	EPNS + HTTP/S	AV + IPS + CRT	707 MB	#16
Sortant	INDUS_GEST + AUTO (FIB)	Internet	ALL	AV + IPS + CRT	665 MB	#7
Sortant	INDUS_AUTO (Kemin)	Internet	ALL	AV + IPS + CRT	85.4 MB	#14
Entrant	Internet	SERVEUR (ESET ESMC)	Port 2222	VIP	43.7 MB	#5
Entrant	Azure (Allix)	INDUS_GEST (SRLV-SERV-BDD)	SFTP/22	VIP	267.5 MB	#45
Admin	ADMIN	INDUS_GEST + AUTO	ALL	Regle TEST (a supprimer)	5.19 GB	#32
Admin	ADMIN	INDUS_GEST + AUTO	RDP	Administration distante usine	25.5 MB	#31
Admin	ADMIN	INDUS_GEST	VNC	Teleassistance usine Gestion	0 B	#28
Admin	ADMIN	INDUS_AUTO	VNC	Teleassistance usine OT	0 B	#29
Admin	ADMIN	VOIP	ALL	Gestion telephones	670 MB	#39
Admin	ADMIN	INDUS_GEST (Zabbix)	HTTP/S	Zabbix (decommissionne)	0 B	#30
Admin	ADMIN ↔ PC	—	ALL	Migration postes	0 B	#40/#41
Infra	INDUS_AUTO + GEST	SERVEUR (srv-backup)	ALL	WSUS updates usine	227 MB	#12
Infra	BACKUP	SERVEUR	ALL	Sauvegarde (projet V240)	0 B	#23
Infra	ADMIN	BACKUP	RDP	Admin → serveur backup	0 B	#24
Visiteur	VISITEUR	Internet	ALL	Navigation web filtree	22.38 GB	#20
Visiteur	VISITEUR ↔ ADMIN	Copieur Canon	ALL	Impression visiteurs (etage)	0 B	#42/#43
Visiteur	VISITEUR ↔ PC	Copieur Canon	ALL	Impression visiteurs (RDC)	0 B	#44/#44b

Flux vital : si le flux INDUS_AUTO → INDUS_GEST (ORACLE) tombe, la production s'arrete.

Seulement 2 flux entrants depuis Internet. Surface d'attaque externe limitee.

Les visiteurs sont isoles : acces Internet + copieurs uniquement. Pas d'acces LAN.

4. Diagramme des flux principaux¶

Equipements¶

Nom	IP/VLAN	Type	Zone	Criticite
INET	Internet	WAN	WAN	—
AZURE_EXT	Azure Cloud	WAN	WAN	—
CX3	3CX Cloud	WAN	WAN	—
ADMIN	ADMIN V1, Postes bureaux	VLAN	Bureaux	—
PC	PC V10, projet	VLAN	Bureaux	—
VOIP	VOIP V50, 3CX	VLAN	Bureaux	—
VISIT	VISITEUR V11, Wifi	VLAN	Bureaux	—
SERV	SERVEUR V230, VMs, DC, Backup	VLAN	Bureaux	—
MGMT	MGMT V250, iLO, switches	VLAN	Bureaux	—
BACKUP	BACKUP V240, projet	VLAN	Bureaux	—
GEST	INDUS_GEST V110, IT usine	VLAN	Usine	—
AUTO	INDUS_AUTO V120, OT postes conduite	VLAN	Usine	—
ERP	SRLV-SERV-APP/BDD, Nutriciel V110	Serveur	Usine	—

Connexions (flux)¶

Source	Destination	Service	Volume	Type
AUTO	ERP	ORACLE	4.78 GB	Metier
ADMIN	ERP	ORACLE	570 MB	Metier
AZURE_EXT	ERP	IPSec	916 MB	Metier
ADMIN	INET	ALL	196 GB	Sortant
VISIT	INET	ALL filtre	22 GB	Sortant
GEST	INET	ALL strict	25 GB	Sortant
AUTO	INET	ALL strict	8 GB	Sortant
VOIP	CX3	3CX	3 GB	Sortant
SERV	INET	ESET	707 MB	Sortant
INET	SERV	ESET 2222	44 MB	Entrant
INET	ERP	SFTP 22	268 MB	Entrant
ADMIN	GEST	RDP+VNC	—	Admin (dotted = Soft)
ADMIN	AUTO	RDP+VNC	—	Admin (dotted = Soft)
GEST	SERV	WSUS	227 MB	Infra
AUTO	SERV	WSUS	—	Infra
ADMIN	SERV	LAN_TO_LAN ALL	30 GB	Permissif
SERV	ADMIN	LAN_TO_LAN ALL	30 GB	Permissif
ADMIN	MGMT	LAN_TO_LAN	—	Permissif
MGMT	ADMIN	LAN_TO_LAN	—	Permissif

5. Segmentation effective vs attendue¶

Matrice de segmentation reelle¶

La regle LAN_TO_LAN (#35) ouvre tout entre 7 zones. La segmentation ci-dessous montre ce qui est reellement bloque vs autorise.

Zone	Isolee du reste ?	Zones accessibles	Commentaire
VISITEUR (V11)	OUI	Internet + copieurs uniquement	Seule zone reellement isolee
BACKUP (V240)	Partiellement	SERVEUR (V230) uniquement	Isole mais projet non actif (0 B)
AZURE (V200)	Partiellement	INDUS_GEST via IPSec	Tunnel dedie
ADMIN (V1)	NON	Tout via LAN_TO_LAN
PC (V10)	NON	Tout via LAN_TO_LAN
VOIP (V50)	NON	Tout via LAN_TO_LAN
INDUS_GEST (V110)	NON	Tout via LAN_TO_LAN
INDUS_AUTO (V120)	NON	Tout via LAN_TO_LAN
SERVEUR (V230)	NON	Tout via LAN_TO_LAN
MGMT (V250)	NON	Tout via LAN_TO_LAN

Conclusion : sur 10 zones, seuls les visiteurs et le backup sont reellement segmentes. Les 7 autres zones sont ouvertes entre elles via LAN_TO_LAN. La segmentation VLAN est en place au niveau L2 mais annulee au niveau L3 par cette regle.

6. Points d'attention¶

#	Severite	Constat	Impact	Recommandation
1	CRITIQUE	LAN_TO_LAN annule la segmentation (7 zones, ALL, 30 GB)	Un poste compromis dans n'importe quelle zone peut atteindre toutes les autres	Decomposer en regles specifiques par besoin metier
2	CRITIQUE	IT/OT non segmente (ADMIN ↔ INDUS_AUTO via LAN_TO_LAN)	Compromission bureaux = acces direct aux postes de conduite OT	Bloquer ADMIN → INDUS_AUTO sauf RDP/VNC admin
3	HAUTE	Regle TEST #32 active (ALL, 5.19 GB)	Contourne toute segmentation admin → usine	Supprimer
4	HAUTE	Automate Kemin eWon avec acces WAN ALL	Equipement OT expose sur Internet	Restreindre aux IPs/ports Kemin
5	MOYENNE	VoIP sans inspection (no-inspection)	Pas d'antivirus ni IPS sur le flux 3CX	Evaluer impact perf vs securite
6	MOYENNE	Flux unidirectionnel Azure (916 MB entrant, 0 sortant)	Le sens Vonnas → Azure n'est pas utilise	Verifier si normal
7	INFO	2 flux entrants seulement (ESET + SFTP Allix)	Surface d'attaque externe faible	Bonne pratique
8	INFO	Visiteurs correctement isoles	Seul acces : Internet + copieurs	Bonne pratique

7. Informations manquantes¶

Objets reseau derriere les alias (IP exactes des groupes)
Adresses MAC des regles MAG2_TO_WAN et LANUSINE2OFFICE
Configuration SD-WAN (repartition des flux WAN entre Fibre/4G/ADSL)
Regles NAT (VIP, IP pools)
Bande passante par lien WAN
QoS / Traffic shaping (priorite VoIP ?)
Logs de flux pour validation des volumes (periode de l'export)

Voir aussi¶

regles-firewall-fortigate-60f - Detail des 47 regles firewall Fortigate
registre-vlan-vonnas - Registre des VLANs et segmentation
topologie-reseau-vonnas - Topologie physique et logique du reseau

Document genere par NetMapper (A3) le 2026-02-11 | Inclus dans le Pack Panne