Cette page explique ce qu'est un réseau overlay, pourquoi Access Gate l'utilise et comment il s'applique dans des déploiements réels.
Qu'est-ce que le réseau overlay ?
Un réseau overlay est un réseau logique construit par-dessus un réseau physique existant (l'underlay).
- Le réseau underlay reste inchangé
- Le réseau overlay introduit de nouvelles adresses IP, un routage et des contrôles de sécurité
- Le trafic est redirigé vers l'overlay uniquement lorsqu'une protection est requise
Avec Access Gate, l'overlay permet d'intercepter, authentifier, journaliser et contrôler le trafic — sans renuméroter les actifs, modifier les VLANs ou insérer des équipements en coupure.
Underlay et Overlay
| Dimension | Réseau Underlay | Réseau Overlay |
|---|---|---|
| Définition | Votre LAN, réseau OT ou réseau d'usine existant | Espace d'adressage IP logique géré par Access Gate |
| Adressage IP | Les actifs conservent leurs adresses IP d'origine | Plage logique distincte (généralement 100.64.0.0/16 CGNAT) |
| Modifications de topologie | Aucune — commutateurs, VLANs, pare-feux inchangés | Superposé à l'underlay, sans recâblage |
| Périmètre | Transporte l'ensemble du trafic existant | Uniquement les chemins d'accès protégés |
| Modèle de sécurité | Confiance implicite au sein du segment | Proxying à application d'identité, sans connectivité directe |
Principe clé : les actifs restent en place. Le contrôle d'accès s'effectue dans l'overlay.
Fonctionnement du routage overlay
Chaque communication protégée comporte deux segments — l'un dans l'overlay, l'autre dans l'underlay — et Access Gate assure la traduction entre les deux. Pour chaque session, un segment reste toujours dans le réseau existant, ce qui explique pourquoi les actifs n'ont jamais besoin d'être renumérotés ou déplacés.
- Flux entrant (client → actif). Le client envoie un paquet avec source = son adresse IP underlay et destination = l'adresse IP overlay de l'actif. Les routes du réseau existant acheminent le trafic à destination de l'overlay vers Access Gate.
- NAT au niveau de la passerelle. Access Gate termine la connexion, applique la politique et ouvre une nouvelle session vers l'adresse IP underlay de l'actif. La source de cette nouvelle session est l'adresse IP underlay d'Access Gate (un NAT). L'actif ne voit jamais l'adresse overlay — de son point de vue, le trafic provient d'un autre équipement underlay.
- Flux sortant (actif → client). L'actif répond à l'adresse IP underlay d'Access Gate. Access Gate associe la réponse à la session overlay d'origine et la retourne au client avec source = l'adresse IP overlay, destination = l'adresse IP underlay du client.
Le segment côté actif est toujours dans l'underlay. L'overlay n'existe qu'entre le client et Access Gate. C'est cette propriété qui permet à Access Gate d'ajouter un contrôle d'accès à application d'identité devant des actifs legacy, sans toucher à leur adressage ni à la topologie underlay.
Pourquoi Access Gate utilise un overlay
Les approches de sécurité traditionnelles reposent sur des équipements en coupure, la segmentation par VLANs ou des VPNs à plat. Ces approches introduisent des risques dans les environnements opérationnels.
Le réseau overlay évite ces écueils :
- Aucun risque lié à la mise en coupure
- Access Gate ne se trouve pas dans le chemin physique du trafic
- Aucun point de défaillance unique
- Le trafic de production continue même si Access Gate est hors ligne
- Aucune refonte du réseau
- Pas de modification des VLANs
- Pas de renumérotation des adresses IP
- Pas de reconfiguration des commutateurs ou routeurs au-delà du routage vers Access Gate
- Contrôle d'accès
- Les clients ne se connectent jamais directement aux actifs
- Tous les accès protégés transitent par le proxy Access Gate
- L'authentification, l'autorisation et la journalisation sont appliquées de manière centralisée
Cette approche overlay est particulièrement pertinente lorsqu'un réseau est déjà en place, avec des configurations legacy difficiles à modifier.
Ce que l'overlay permet
Le réseau overlay permet à Access Gate d'appliquer :
- Un accès basé sur l'identité (qui peut accéder à quoi)
- Des permissions limitées dans le temps et liées aux tâches
- Un proxying tenant compte des protocoles (HTTP, RDP, SSH, SMB, protocoles industriels)
- Une journalisation complète des sessions et une traçabilité totale
- Une isolation ou révocation rapide sans toucher au réseau
Le tout sans modifier la structure physique de votre réseau.
Réseau overlay vs VLANs + pare-feu
| Dimension | Segmentation VLAN | Réseau Overlay |
|---|---|---|
| Modifications réseau | Nécessite une refonte | Modifications minimales |
| Modèle de confiance | Périmètres statiques | Politiques basées sur l'identité |
| Auditabilité | Difficile à auditer | Journalisation complète des accès |
| Adéquation OT | Risqué | Très bien adapté |
Le réseau overlay déplace la sécurité de la topologie réseau vers la politique et l'identité.
Point clé
Le réseau overlay vous permet d'ajouter sécurité, contrôle et conformité par-dessus des réseaux IT et OT existants — sans perturber les opérations.
C'est le socle qui permet à Access Gate d'être :
- Non intrusif
- Sans agent
- Sûr pour la production
- Aligné avec les principes NIS2, CMMC et Zero Trust