MATRICE DE FLUX - Site Vonnas¶

Diagrammes associes

Derniere MAJ : 2026-02-11 | Source : Regles firewall Fortigate FG-60F (40 regles actives) Equipement : Fortigate FG-60F | Mode : Route (routeur inter-VLAN + firewall)

1. Matrice zone-a-zone¶

Lecture : ligne = source, colonne = destination. Chaque cellule indique les services autorises et le volume de trafic.

De \ Vers	WAN	ADMIN (V1)	PC (V10)	VISITEUR (V11)	VOIP (V50)	INDUS_GEST (V110)	INDUS_AUTO (V120)	AZURE (V200)	SERVEUR (V230)	BACKUP (V240)	MGMT (V250)
WAN	-	-	-	-	-	SFTP (268 MB)	-	-	ESET (44 MB)	-	-
ADMIN (V1)	ALL (196 GB)	-	ALL (0)	Copieur (0)	ALL (670 MB)	ORACLE+VNC+RDP+ALL (6 GB)	VNC+RDP+ALL (5 GB)	-	ORACLE (0)	RDP (0)	LAN_TO_LAN
PC (V10)	ALL (196 GB)	ALL (0)	-	Copieur (0)	LAN_TO_LAN	LAN_TO_LAN	LAN_TO_LAN	-	LAN_TO_LAN	-	LAN_TO_LAN
VISITEUR (V11)	ALL (22 GB)	Copieur (0)	Copieur (0)	-	-	-	-	-	-	-	-
VOIP (V50)	3CX (3 GB)	LAN_TO_LAN	LAN_TO_LAN	-	-	LAN_TO_LAN	LAN_TO_LAN	-	LAN_TO_LAN	-	LAN_TO_LAN
INDUS_GEST (V110)	ALL filtre (25 GB)	LAN_TO_LAN	LAN_TO_LAN	-	LAN_TO_LAN	-	LAN_TO_LAN	-	WSUS (227 MB)	-	LAN_TO_LAN
INDUS_AUTO (V120)	ALL filtre+Kemin (8 GB)	LAN_TO_LAN	LAN_TO_LAN	-	LAN_TO_LAN	ORACLE (5 GB)	-	-	WSUS (227 MB)	-	LAN_TO_LAN
AZURE (V200)	-	-	-	-	-	IPSec (916 MB)	-	-	-	-	-
SERVEUR (V230)	ESET+ALL (197 GB)	LAN_TO_LAN	LAN_TO_LAN	-	LAN_TO_LAN	LAN_TO_LAN	LAN_TO_LAN	-	-	-	LAN_TO_LAN
BACKUP (V240)	-	-	-	-	-	-	-	-	ALL (0)	-	-
MGMT (V250)	ALL+Zabbix (196 GB)	LAN_TO_LAN	LAN_TO_LAN	-	LAN_TO_LAN	LAN_TO_LAN	LAN_TO_LAN	-	LAN_TO_LAN	-	-

LAN_TO_LAN = regle #35 permissive (ALL services, 7 zones ↔ 7 zones). Cette regle annule la segmentation entre ADMIN, PC, VOIP, INDUS_GEST, INDUS_AUTO, SERVEUR, MGMT.

2. Flux critiques (par volume)¶

#	Flux	Volume	Regle(s)	Criticite
1	Bureaux → Internet (OUT_WWW)	196.60 GB	#21	Flux principal — postes + serveurs + MGMT
2	LAN ↔ LAN (LAN_TO_LAN)	29.90 GB	#35	PERMISSIF — 7 zones toutes ouvertes
3	Visiteurs → Internet	22.38 GB	#20	Normal (wifi visiteurs)
4	Serveurs ERP → Internet (PRIOS)	12.81 GB	#6	Nutriciel vers Internet (MAJ, cloud ?)
5	Usine → Internet (LAN2WAN_INDUS)	5.62 GB	#18	Filtrage strict Web+AppCtrl
6	Admin → Usine TEST	5.19 GB	#32	REGLE TEST — a supprimer
7	OT → ERP (ORACLE)	4.78 GB	#26	Flux metier principal : postes conduite → Nutriciel
8	Usine → Windows Update	3.78 GB	#8	MAJ postes usine
9	VoIP → 3CX cloud	2.65 GB	#3	Telephonie
10	Postes usine → Internet (MAG2)	2.33 GB	#10	5 MACs specifiques

3. Detail des flux par categorie¶

Categorie	Source	Destination	Service	Details	Volume	Regle
Metier	INDUS_AUTO (postes conduite)	INDUS_GEST (SRLV-SERV-APP/BDD)	ORACLE	Flux principal ERP : postes Nutriciel → serveurs Oracle	4.78 GB	#26
Metier	ADMIN (bureaux)	INDUS_GEST (SRLV-SERV-APP/BDD)	ORACLE	Bureaux → ERP Nutriciel	570 MB	#25
Metier	Azure	INDUS_GEST (SRLV-SERV-APP/BDD)	ALL (IPSec)	Azure → ERP (synchronisation)	916 MB	#34
Metier	INDUS_GEST (SRLV-SERV-APP/BDD)	Azure	ALL (IPSec)	ERP → Azure	0 B	#33
Metier	ADMIN (bureaux)	SERVEUR (LAN_SERVEUR)	ORACLE	Bureaux → serveurs Oracle (inactif ?)	0 B	#27
Sortant	ADMIN + MGMT + PC + SERVEUR + VOIP	Internet	ALL	AV + WF + AC + IPS + CRT	196.60 GB	#21
Sortant	VISITEUR	Internet	ALL	AV + WF + AC + IPS + CRT	22.38 GB	#20
Sortant	INDUS_GEST + ADMIN (PRIOS)	Internet	ALL	AV + IPS + CRT	12.81 GB	#6
Sortant	INDUS_AUTO + GEST	Internet	ALL	AV + WF strict + AC strict + IPS + CRT	5.62 GB	#18
Sortant	INDUS_AUTO + GEST	Windows Update	Internet Svc	AV + IPS + CRT	3.78 GB	#8
Sortant	VOIP	3CX cloud	ALL	Aucun profil securite	2.65 GB	#3
Sortant	INDUS_AUTO + GEST (5 MACs)	Internet	ALL	AV + IPS + CRT	2.33 GB	#10
Sortant	SERVEUR (ESET)	Internet	EPNS + HTTP/S	AV + IPS + CRT	707 MB	#16
Sortant	INDUS_GEST + AUTO (FIB)	Internet	ALL	AV + IPS + CRT	665 MB	#7
Sortant	INDUS_AUTO (Kemin)	Internet	ALL	AV + IPS + CRT	85.4 MB	#14
Entrant	Internet	SERVEUR (ESET ESMC)	Port 2222	VIP	43.7 MB	#5
Entrant	Azure (Allix)	INDUS_GEST (SRLV-SERV-BDD)	SFTP/22	VIP	267.5 MB	#45
Admin	ADMIN	INDUS_GEST + AUTO	ALL	Regle TEST (a supprimer)	5.19 GB	#32
Admin	ADMIN	INDUS_GEST + AUTO	RDP	Administration distante usine	25.5 MB	#31
Admin	ADMIN	INDUS_GEST	VNC	Teleassistance usine Gestion	0 B	#28
Admin	ADMIN	INDUS_AUTO	VNC	Teleassistance usine OT	0 B	#29
Admin	ADMIN	VOIP	ALL	Gestion telephones	670 MB	#39
Admin	ADMIN	INDUS_GEST (Zabbix)	HTTP/S	Zabbix (decommissionne)	0 B	#30
Admin	ADMIN ↔ PC	—	ALL	Migration postes	0 B	#40/#41
Infra	INDUS_AUTO + GEST	SERVEUR (srv-backup)	ALL	WSUS updates usine	227 MB	#12
Infra	BACKUP	SERVEUR	ALL	Sauvegarde (projet V240)	0 B	#23
Infra	ADMIN	BACKUP	RDP	Admin → serveur backup	0 B	#24
Visiteur	VISITEUR	Internet	ALL	Navigation web filtree	22.38 GB	#20
Visiteur	VISITEUR ↔ ADMIN	Copieur Canon	ALL	Impression visiteurs (etage)	0 B	#42/#43
Visiteur	VISITEUR ↔ PC	Copieur Canon	ALL	Impression visiteurs (RDC)	0 B	#44/#44b

Flux vital : si le flux INDUS_AUTO → INDUS_GEST (ORACLE) tombe, la production s'arrete.

Seulement 2 flux entrants depuis Internet. Surface d'attaque externe limitee.

Les visiteurs sont isoles : acces Internet + copieurs uniquement. Pas d'acces LAN.

4. Diagramme des flux principaux¶

flowchart TB
    subgraph WAN["WAN (Internet)"]
        INET[Internet]
        AZURE_EXT[Azure Cloud]
        CX3[3CX Cloud]
    end

    subgraph BUREAUX["Bureaux"]
        ADMIN["ADMIN V1<br/>Postes bureaux"]
        PC["PC V10<br/>(projet)"]
        VOIP["VOIP V50<br/>3CX"]
        VISIT["VISITEUR V11<br/>Wifi"]
        SERV["SERVEUR V230<br/>VMs, DC, Backup"]
        MGMT["MGMT V250<br/>iLO, switches"]
        BACKUP["BACKUP V240<br/>(projet)"]
    end

    subgraph USINE["Usine"]
        GEST["INDUS_GEST V110<br/>IT usine"]
        AUTO["INDUS_AUTO V120<br/>OT postes conduite"]
        ERP["SRLV-SERV-APP/BDD<br/>Nutriciel (V110)"]
    end

    %% Flux metier principal
    AUTO -->|"ORACLE<br/>4.78 GB"| ERP
    ADMIN -->|"ORACLE<br/>570 MB"| ERP
    AZURE_EXT -->|"IPSec<br/>916 MB"| ERP

    %% Flux Internet
    ADMIN -->|"ALL<br/>196 GB"| INET
    VISIT -->|"ALL filtre<br/>22 GB"| INET
    GEST -->|"ALL strict<br/>25 GB"| INET
    AUTO -->|"ALL strict<br/>8 GB"| INET
    VOIP -->|"3CX<br/>3 GB"| CX3
    SERV -->|"ESET<br/>707 MB"| INET

    %% Flux entrants
    INET -->|"ESET 2222<br/>44 MB"| SERV
    INET -->|"SFTP 22<br/>268 MB"| ERP

    %% Flux admin
    ADMIN -.->|"RDP+VNC"| GEST
    ADMIN -.->|"RDP+VNC"| AUTO

    %% Flux infrastructure
    GEST -->|"WSUS<br/>227 MB"| SERV
    AUTO -->|"WSUS"| SERV

    %% LAN_TO_LAN (permissif)
    ADMIN <-->|"LAN_TO_LAN<br/>ALL 30 GB"| SERV
    ADMIN <-->|"LAN_TO_LAN"| MGMT

    style ERP fill:#ff6b6b,stroke:#c92a2a,color:#fff
    style ADMIN fill:#4dabf7,stroke:#1971c2
    style AUTO fill:#ffa94d,stroke:#e8590c
    style VISIT fill:#69db7c,stroke:#2b8a3e

5. Segmentation effective vs attendue¶

Matrice de segmentation reelle¶

La regle LAN_TO_LAN (#35) ouvre tout entre 7 zones. La segmentation ci-dessous montre ce qui est reellement bloque vs autorise.

Zone	Isolee du reste ?	Zones accessibles	Commentaire
VISITEUR (V11)	OUI	Internet + copieurs uniquement	Seule zone reellement isolee
BACKUP (V240)	Partiellement	SERVEUR (V230) uniquement	Isole mais projet non actif (0 B)
AZURE (V200)	Partiellement	INDUS_GEST via IPSec	Tunnel dedie
ADMIN (V1)	NON	Tout via LAN_TO_LAN
PC (V10)	NON	Tout via LAN_TO_LAN
VOIP (V50)	NON	Tout via LAN_TO_LAN
INDUS_GEST (V110)	NON	Tout via LAN_TO_LAN
INDUS_AUTO (V120)	NON	Tout via LAN_TO_LAN
SERVEUR (V230)	NON	Tout via LAN_TO_LAN
MGMT (V250)	NON	Tout via LAN_TO_LAN

Conclusion : sur 10 zones, seuls les visiteurs et le backup sont reellement segmentes. Les 7 autres zones sont ouvertes entre elles via LAN_TO_LAN. La segmentation VLAN est en place au niveau L2 mais annulee au niveau L3 par cette regle.

6. Points d'attention¶

#	Severite	Constat	Impact	Recommandation
1	CRITIQUE	LAN_TO_LAN annule la segmentation (7 zones, ALL, 30 GB)	Un poste compromis dans n'importe quelle zone peut atteindre toutes les autres	Decomposer en regles specifiques par besoin metier
2	CRITIQUE	IT/OT non segmente (ADMIN ↔ INDUS_AUTO via LAN_TO_LAN)	Compromission bureaux = acces direct aux postes de conduite OT	Bloquer ADMIN → INDUS_AUTO sauf RDP/VNC admin
3	HAUTE	Regle TEST #32 active (ALL, 5.19 GB)	Contourne toute segmentation admin → usine	Supprimer
4	HAUTE	Automate Kemin eWon avec acces WAN ALL	Equipement OT expose sur Internet	Restreindre aux IPs/ports Kemin
5	MOYENNE	VoIP sans inspection (no-inspection)	Pas d'antivirus ni IPS sur le flux 3CX	Evaluer impact perf vs securite
6	MOYENNE	Flux unidirectionnel Azure (916 MB entrant, 0 sortant)	Le sens Vonnas → Azure n'est pas utilise	Verifier si normal
7	INFO	2 flux entrants seulement (ESET + SFTP Allix)	Surface d'attaque externe faible	Bonne pratique
8	INFO	Visiteurs correctement isoles	Seul acces : Internet + copieurs	Bonne pratique

7. Informations manquantes¶

Objets reseau derriere les alias (IP exactes des groupes)
Adresses MAC des regles MAG2_TO_WAN et LANUSINE2OFFICE
Configuration SD-WAN (repartition des flux WAN entre Fibre/4G/ADSL)
Regles NAT (VIP, IP pools)
Bande passante par lien WAN
QoS / Traffic shaping (priorite VoIP ?)
Logs de flux pour validation des volumes (periode de l'export)

Voir aussi¶

regles-firewall-fortigate-60f - Detail des 47 regles firewall Fortigate
registre-vlan-vonnas - Registre des VLANs et segmentation
topologie-reseau-vonnas - Topologie physique et logique du reseau

Document genere par NetMapper (A3) le 2026-02-11 | Inclus dans le Pack Panne