TroutTrout
Back to Blog
Zero TrustOT SecurityAgentless

Zero Trust sans agent : pourquoi les environnements OT ne peuvent pas utiliser de logiciels endpoint

Trout Team4 min read

Le Zero Trust IT repose sur l'installation d'agents sur les terminaux. L'agent vérifie l'état du poste, applique les politiques et remonte la télémétrie. Ce modèle ne fonctionne pas en OT. Les PLCs exécutent des firmwares propriétaires. Les CNCs tournent sur des systèmes d'exploitation embarqués datant de 2005. Les HMIs fonctionnent sous Windows XP Embedded sans aucune voie de mise à jour. Impossible d'installer un agent sur ces équipements. Une approche différente s'impose.

Pourquoi les agents ne fonctionnent pas en OT

Systèmes d'exploitation propriétaires

La plupart des PLCs et des automates industriels exécutent des systèmes d'exploitation temps réel propriétaires. Allen-Bradley utilise ControlLogix OS. Siemens utilise le runtime Step 7. Les contrôleurs CNC Fanuc embarquent leur propre firmware. Aucun de ces systèmes ne prend en charge l'installation de logiciels tiers.

Contraintes temps réel

Les automates industriels fonctionnent sur des cycles déterministes mesurés en millisecondes. Un PLC qui scrute ses entrées/sorties toutes les 10 ms ne peut pas tolérer la charge CPU ou la gigue temporelle qu'introduit un agent de sécurité. Le moindre retard peut provoquer un défaut de sécurité ou un arrêt de production.

Absence de voie de mise à jour

De nombreux équipements OT tournent avec le même firmware depuis 10 ou 20 ans. Le fabricant peut ne plus exister. Même lorsque des mises à jour sont disponibles, leur application exige un arrêt de production et une requalification. Le coût du correctif dépasse souvent la valeur de l'équipement.

Certification et garantie

Les équipements industriels sont souvent certifiés pour des configurations précises. L'installation d'un logiciel non autorisé annule la garantie et peut invalider les certifications de sécurité. Dans les secteurs réglementés, c'est rédhibitoire.

L'alternative au niveau réseau

Plutôt que de sécuriser l'équipement, sécurisez le chemin qui y mène. Un proxy à connaissance d'identité s'intercale entre l'utilisateur et l'actif OT. Chaque connexion transite par ce proxy, qui :

  1. Authentifie l'utilisateur via MFA avant l'établissement de la session
  2. Autorise la session en fonction du rôle, de l'actif, du protocole et de la plage horaire
  3. Journalise la session avec l'identité de l'utilisateur, l'horodatage et la charge utile
  4. Chiffre la connexion entre l'utilisateur et le proxy
  5. Isole l'actif dans un microsegment avec des règles de refus par défaut

L'équipement OT continue de fonctionner exactement comme avant. Il reçoit le même protocole, les mêmes schémas de trafic, le même cadencement. L'application des politiques se fait au niveau du proxy, pas sur l'équipement.

Ce que vous obtenez sans agents

CapacitéBasé sur agentNiveau réseau
Vérification d'identitéOuiOui (au proxy)
Application du MFAOuiOui (au proxy)
Journalisation des sessionsOuiOui (au proxy)
Inspection des protocolesLimitéeOui (inspection approfondie)
Vérification de l'état du posteOuiNon
Fonctionne sur OT legacyNonOui
Impact sur la productionRisque de perturbationAucun

La seule capacité perdue est l'attestation de l'état de l'équipement. Il est impossible de vérifier l'état interne d'un PLC depuis le réseau. En revanche, vous pouvez vérifier et contrôler chaque connexion vers et depuis cet équipement — ce que CMMC, NIS2 et IEC 62443 exigent réellement.

L'architecture en superposition

Access Gate se déploie en tant qu'appliance physique ou VM adjacente à votre réseau existant. Il crée un réseau superposé utilisant la plage d'adresses 100.64.0.0/16. Chaque actif OT reçoit un point de terminaison proxy. La couche superposée gère l'identité, le contrôle d'accès, la journalisation et le chiffrement. La couche sous-jacente (vos commutateurs, VLANs et câblage existants) reste intacte.

On parle parfois d'« architecture sucette » : chaque actif dispose d'un chemin unique et contrôlé (le bâton) vers son proxy (la tête). Aucun mouvement latéral entre actifs. Aucune connexion non authentifiée. Aucune session non journalisée.

Pour davantage de ressources Zero Trust OT, des guides d'architecture et des comparatifs, consultez le hub Zero Trust pour les réseaux OT.

FAQ

Frequently Asked Questions

Un agent peut-il s'exécuter sur un PLC ?
En pratique, non. Certains automates industriels récents prennent en charge des extensions limitées, mais celles-ci sont spécifiques au fabricant et ne fournissent pas les capacités de sécurité nécessaires au Zero Trust (MFA, journalisation des sessions, chiffrement).
L'application au niveau réseau offre-t-elle une protection équivalente aux agents ?
Pour le contrôle d'accès, la journalisation des sessions, le MFA et le chiffrement, oui. La principale lacune est l'attestation de l'état de l'équipement, qui n'est pas exigée par la plupart des référentiels de conformité pour les actifs OT.
Qu'en est-il des agents conteneurisés ou des shims légers ?
Ces solutions nécessitent un système d'exploitation compatible sur l'équipement. La plupart des équipements OT n'en disposent pas. Même lorsque c'est techniquement possible, les contraintes temps réel et les exigences de certification rendent la chose impraticable.
Comment Access Gate gère-t-il les protocoles OT propriétaires ?
Access Gate opère au niveau réseau et prend en charge tout protocole basé sur IP. Pour des protocoles tels que Modbus TCP, EtherNet/IP et OPC UA, il fournit une inspection tenant compte du protocole et un contrôle d'accès par commande.
Cette approche satisfait-elle NIS2 et IEC 62443 ?
Oui. Les deux référentiels exigent la segmentation réseau, le contrôle d'accès et la supervision. Aucun n'impose d'agents sur les équipements OT. L'application au niveau réseau satisfait l'intention des contrôles.

Other Articles

CMMCCompliance

What the CMMC Enduring Exception Actually Requires You to Document

The Enduring Exception is not a waiver. It requires specific documentation, compensating controls with evidence, and an Affirming Official signature. Miss any of it and you face False Claims Act exposure.

OT SecurityZero Trust

Why Your OT Network Has No Identity Layer (And What Happens When an Attacker Notices)

The moment an attacker reaches your OT network, they stop having to prove who they are. Flat Layer 2, PLCs that can't do MFA, trust-by-location — it's a lateral movement playground. The fix isn't rewiring the plant. It's putting an identity layer in front of the assets that can't enforce one themselves.

Zero TrustOT Security

Zero Trust for Legacy PLCs: The Lollipop Architecture Explained

Legacy PLCs cannot authenticate users, log sessions, or encrypt traffic. The lollipop architecture puts a proxy in front of each asset, enforcing Zero Trust at the network layer without modifying the device.

News & Insights

Resources & Insights.

Securing Modbus whitepaper
WhitepaperWhitepaper

Securing Modbus in Modern Industrial Environments

Zero Trust OT webinar
WebinarWebinar

Zero Trust for OT Networks

OT network architecture diagram
ArchitectureGuide

Reference Architectures for OT Security

All articles