DMZ, un terme directement issu de la vraie zone démilitarisée Coréenne qui sépare les armées qui se font face depuis 1953... (crédit Globaljuggler)

En informatique, la zone démilitarisée (DeMilitarized Zone en anglais) désigne un sous-réseau séparé du réseau local et d'internet par un pare-feu ( firewall ) généralement matériel, chargé de filtrer les entrées et les sorties. On la nomme parfois aussi "zone tampon" et il s'agit souvent du premier niveau de sécurité élaboré dans une entreprise soucieuse de sa cybersécurité.

Cette architecture a pour objectif de grouper les services accessibles depuis internet dans la DMZ, qui sera constituée d'un ou plusieurs ordinateurs (serveurs web, proxy, FTP, etc.) ne stockant aucune donnée ou information sensible. De cette façon, la DMZ essuiera seule une éventuelle attaque venue d'internet, et les dommages resteront limités à cette partie du réseau, du moins tant que la séparation tiendra...

Bien sûr, pour être efficace, le sous-réseau DMZ doit communiquer avec internet, mais aussi avec le réseau local qu'il protège en lui assurant les services internet indispensables, ce qui laisse le pare-feu seul garant de la sécurité de l'ensemble. C'est pour cette raison qu'il devra être fiable, éventuellement couplé à une passerelle réseau, et parfois même secondé par un deuxième pare-feu, de type différent et organisé en cascade pour compliquer l'attaque d'agresseurs chevronnés.