Au-delà du modèle Purdue : Repenser la segmentation et la DMZ industrielle

Un plan pratique pour sécuriser les réseaux industriels modernes — sans reconstructions coûteuses.

Télécharger le livre blanc

Depuis des années, les réseaux industriels ont adopté le modèle classique de Purdue : zones en couches, pare-feux périphériques et une DMZ industrielle dédiée. Mais dans le monde actuel des opérations connectées au cloud, des réseaux IT/OT convergés, de l'accès à distance et des cycles de changement rapide dans la fabrication, la DMZ industrielle traditionnelle est devenue statique, exposée et fragile.

Le problème de l'ancienne approche

La DMZ industrielle a été conçue comme un tampon périphérique entre l'IT d'entreprise et l'OT de l'usine, une zone statique qui protégeait tout ce qui se trouvait derrière elle.

  • Mais c'est une architecture lourde à mettre en place et à maintenir avec beaucoup d'équipements redondants.

  • Et les réalités opérationnelles — assistance à distance de tiers, capteurs IIoT, analyses cloud, informatique en périphérie — brisent les hypothèses de zones isolées et de flux unidirectionnels.

  • En conséquence, l'ancien modèle conduit souvent à des surfaces d'attaque planes, un risque de mouvement latéral, et des cycles de changement lents.

    Tandis que des modèles comme Beyond Corp mettent l'accent sur l'identité, la confiance zéro et les contrôles définis par logiciel, de nombreuses implémentations industrielles comptent encore sur des architectures DMZ héritées.

Pendant des années, les réseaux industriels ont adopté le modèle classique de Purdue — zones superposées, pare-feu périmétriques, et une DMZ industrielle dédiée. Mais dans le monde actuel des opérations connectées au cloud, des réseaux IT/OT convergents, de l'accès à distance, et des cycles de changement rapide en fabrication, la DMZ industrielle traditionnelle est devenue statique, exposée et fragile.

Le problème de l'ancienne approche

La DMZ industrielle a été conçue comme un tampon périmétrique, entre l'IT d'entreprise et l’OT sur le terrain — une zone statique qui protégeait tout ce qui était derrière elle.

  • Mais c'est une architecture lourde à mettre en place et à maintenir avec beaucoup d'équipements redondants.

  • Et les réalités opérationnelles — support à distance de tiers, capteurs IIoT, analyses cloud, informatique de périphérie — remettent en cause les hypothèses de zones isolées et de flux unidirectionnels.

  • En conséquence, l'ancien modèle entraîne souvent des surfaces d'attaque plates, un risque de mouvement latéral, et des cycles de changement lents.

    Alors que des modèles tels que Beyond Corp mettent l'accent sur l'identité, la confiance zéro, et les contrôles définis par logiciel, de nombreuses implémentations industrielles reposent encore sur des architectures DMZ héritées.

Purdue Problems
Purdue Problems

Présentation des micro-DMZ et des enclaves

Il est temps de passer au-delà de la DMZ industrielle — et d'adopter les micro-DMZ, déployées à côté ou devant chaque actif, fournissant une segmentation dynamique, centrée sur l'identité et définie par logiciel.

  • Au lieu d'une grande DMZ avec des règles statiques et des zones fixes, pensez à un « overlay DMZ par cas d'utilisation » : chaque machine ou système de contrôle est protégé par une micro-DMZ, gérée via une enclave.

  • L'accès n'est plus accordé en fonction de la localisation sur le réseau (Zone 2/3), mais basé sur l'identité, le contexte et l'état en temps réel, avec une dégradation progressive plutôt qu'un refus complet lorsque les conditions ne sont pas entièrement remplies.

  • L'approche micro-DMZ permet un déploiement agile, un déploiement progressif, et s'aligne avec les principes de zero-trust et de réseau overlay.

Introduction aux Micro-DMZ et Enclaves

Il est temps de passer au-delà de la DMZ Industrielle — et d'adopter les micro-DMZ, déployées à ou devant chaque actif, offrant une segmentation logicielle, dynamique et centrée sur l'identité.

  • Au lieu d'une grande DMZ avec des règles statiques et des zones fixes, pensez « DMZ en surimpression pour chaque cas d'utilisation » : chaque machine ou système de contrôle est protégé par une micro-DMZ, gérée via une enclave.

  • L'accès n'est plus accordé en fonction de la localisation réseau (Zone 2/3), mais sur l'identité, le contexte et la posture en temps réel, avec une dégradation progressive plutôt qu'un refus total lorsque les conditions ne sont pas entièrement remplies.

  • L'approche des micro-DMZ permet un déploiement agile, un déploiement progressif et s'aligne avec les principes du zéro-trust et du réseau en surimpression.

Purdue Problems
Purdue Problems

Pourquoi c'est important pour les réseaux industriels

  • La fabrication moderne ne peut pas arrêter la production pour reconstruire des zones réseau ou retirer l'infrastructure — donc une approche en superposition a du sens.

  • Les micro-DMZ réduisent la surface d'attaque en limitant le mouvement latéral et réduisent le "rayon d'explosion" de toute compromission d'actif.

  • Elles permettent des flux inter-zones (IT→OT, OT→IT, analyses cloud, support à distance) d'être autorisées dynamiquement sous des règles de moindre privilège plutôt que sous des règles de zone larges.

  • Elles soutiennent une architecture prête pour l'avenir, où chaque actif devient une enclave contrôlée, partie d'un tissu défini par logiciel plus large.

Une feuille de route pour la modernisation

  1. Inventoriez et classez vos actifs et flux OT/IT : cartographiez ce qui est dans l'ancienne DMZ et ce qui en dépend encore.

  2. Concevez des superpositions micro-DMZ devant les actifs critiques : chacune avec des portes d'accès, vérification d'identité, et règles basées sur le contexte.

  3. Déployez progressivement la superposition sur le réseau existant — pas besoin de remplacement massif.

  4. Passez à des contrôles basés sur l'identité et une segmentation définie par logiciel, en s'éloignant des règles statiques basées sur les zones.

  5. Surveillez et affinez : suivez les flux, resserrez les règles, segmentez davantage à mesure que de nouveaux actifs ou flux apparaissent.

Pourquoi c'est important pour les réseaux industriels

  • La fabrication moderne ne peut pas arrêter la production pour reconstruire des zones réseau ou supprimer l'infrastructure — ainsi une approche par superposition est logique.

  • Les micro-DMZ réduisent la surface d'attaque en limitant les mouvements latéraux et réduisent le « rayon d'explosion » de toute compromission d'actif.

  • Elles permettent des flux inter-zones (IT→OT, OT→IT, analyses cloud, support à distance) d'être autorisés dynamiquement selon des règles de privilège minimum plutôt que des règles de zone larges.

  • Elles soutiennent une architecture prête pour l'avenir, où chaque actif devient une enclave contrôlée, partie d'un tissu défini par logiciel plus large.

Une feuille de route pour la modernisation

  1. Inventoriez et classez vos actifs OT/IT et flux : cartographiez ce qui se trouve dans l'ancienne DMZ et ce qui en dépend encore.

  2. Concevez des superpositions de micro-DMZ devant les actifs critiques : chacune avec des portails d'accès, une vérification d'identité, et des règles basées sur le contexte.

  3. Déployez progressivement la superposition au-dessus du réseau existant — pas besoin de remplacement massif.

  4. Passez à des contrôles axés sur l'identité et une segmentation définie par logiciel, en s'éloignant des règles statiques basées sur des zones.

  5. Surveillez et affinez : suivez les flux, resserrez les règles, segmentez davantage au fur et à mesure de l'apparition de nouveaux actifs ou flux.

Télécharger le livre blanc

Pour aller plus loin

Réseaux Overlay

Sécurisez et segmentez une infrastructure existante, sans toucher au réseau physique sous-jacent.

État des ransomwares 2025

Notre analyse montre une augmentation de 47 % par rapport à 2024, avec environ 56 % des attaques ciblant les entreprises industrielles.

Analyse ROI

Moderniser votre réseau industriel ne doit pas signifier supprimer ce qui fonctionne déjà. Obtenez les éléments d'analyse du ROI.