Le 29 avril 2026, la CISA, conjointement avec le Department of War, le DOE, le FBI et le Department of State, a publié Adapter les principes Zero Trust aux technologies opérationnelles. Pour les déploiements OT sur site, trois conclusions sont particulièrement importantes. L'application au niveau réseau sans agent est recommandée pour les équipements legacy qui ne peuvent pas exécuter de clients logiciels. La microsegmentation est le contrôle Zero Trust préconisé pour séparer les systèmes de contrôle des systèmes de sécurité. Le document met également en garde explicitement contre l'hypothèse selon laquelle l'isolation physique ou l'architecture segmentée constituerait à elle seule une mesure de sécurité, soulignant le faux sentiment d'isolation que ces modèles engendrent.
Cet article explique ce que chacune de ces conclusions signifie concrètement pour un déploiement sur site, les points d'alignement de l'architecture Access Gate avec les recommandations, et ce qu'il convient de vérifier dans votre environnement au cours des 30 prochains jours.
La question sans agent : ce que dit réellement la CISA
La CISA recommande le déploiement sans agent pour les environnements OT legacy et préconise de le combiner avec une application au niveau réseau. La position est claire sur le compromis à faire : les agents nécessitent des tests de compatibilité approfondis et peuvent affecter les garanties des équipements, tandis que la surveillance passive seule ne détecte les abus dans les sessions d'accès à distance qu'au moment où les commandes malveillantes sont effectivement envoyées. La posture recommandée est sans agent là où les agents sont impraticables, combinée à une application active à la frontière réseau.
Cela est déterminant pour l'OT, car la plupart des équipements installés ne peuvent pas héberger d'agent du tout. Les PLCs, RTUs, HMIs fonctionnant sous Windows XP ou QNX, les postes de travail d'ingénierie vieux de dix ans, et de nombreux serveurs SCADA ne peuvent pas installer de logiciel de point de terminaison, ou ne le font qu'au prix de la perte du support fournisseur. Les stratégies Zero Trust basées sur des agents qui fonctionnent pour les ordinateurs portables IT ne s'appliquent pas à l'atelier.
Access Gate repose sur ce constat. Il s'agit d'un appliance ou d'une VM sur site qui s'exécute en parallèle du réseau OT, et non en coupure. Il applique un accès basé sur l'identité à la frontière réseau via une couche SDN, de sorte que l'équipement lui-même n'a jamais besoin d'installer de logiciel, de prendre en charge une authentification moderne, ni même de savoir que le contrôle d'accès existe. Chaque connexion à un équipement protégé se termine au niveau de l'appliance, où l'authentification, l'autorisation et l'enregistrement complet de la session ont lieu avant que le trafic n'atteigne le dispositif.
La CISA indique explicitement que la surveillance sans agent seule est insuffisante pour l'accès à distance. Access Gate comble cette lacune en agissant comme point d'application pour la session, et non comme simple point d'observation. Une session signalée est bloquée au niveau de l'appliance, et pas seulement consignée en aval.
Microsegmentation sans refonte du réseau
La CISA recommande la microsegmentation comme contrôle Zero Trust spécifiquement pour séparer les systèmes de contrôle des systèmes de sécurité et pour permettre des politiques d'accès ciblées. Les recommandations soulignent que la segmentation doit s'appliquer sans perturber les opérations.
La microsegmentation conventionnelle en OT nécessite une refonte des VLANs, une reconfiguration des commutateurs et une renumérotation IP des équipements. La plupart des sites industriels ne peuvent pas accepter ces interruptions. L'approche Access Gate est différente. Elle construit une couche logique superposée au réseau physique existant. Chaque équipement protégé reçoit une adresse logique distincte que l'appliance proxifie. Les politiques sont appliquées par équipement, par utilisateur, par protocole et par session à la frontière du proxy. Les VLANs sous-jacents et les configurations des commutateurs ne changent pas. Le trafic de production continue de circuler sur le réseau existant sans modification.
C'est cette propriété architecturale qui rend la microsegmentation opérationnellement réalisable pour l'OT legacy. La recommandation de la CISA s'y applique directement. Access Gate applique une politique à une frontière Layer 3/4 qui n'existait pas auparavant, sans que l'opérateur ait à reconstruire la topologie Layer 2 sous-jacente.
Pour le cas spécifique mentionné dans les recommandations — séparer les systèmes de contrôle des systèmes de sécurité — cela signifie qu'un PLC de sécurité et un PLC de contrôle peuvent se trouver sur le même commutateur physique et le même VLAN, tandis qu'Access Gate applique la règle selon laquelle le poste de travail d'ingénierie peut atteindre le PLC de contrôle mais pas le PLC de sécurité. Chaque tentative est consignée, chaque session est attribuable à un utilisateur nommé.
OT legacy et le manque d'ICAM
La CISA recommande explicitement des contrôles compensatoires au-dessus du niveau des dispositifs pour les systèmes OT antérieurs à la gestion moderne des identités, des accréditations et des accès (ICAM). Les recommandations présentent la segmentation elle-même comme un contrôle compensatoire valide lorsque l'identité au niveau du dispositif est impossible.
C'est la réalité opérationnelle fondamentale de l'OT. La plupart des PLCs installés ne prennent pas en charge Active Directory, SAML, OIDC, ni aucun protocole d'identité moderne. Beaucoup ne supportent pas du tout l'authentification par utilisateur. L'authentification documentée par le fournisseur se résume souvent à un mot de passe partagé unique configuré lors de la mise en service il y a dix ans. Les correctifs fournisseurs qui ajouteraient une authentification moderne sont généralement indisponibles, annuleraient la couverture de garantie, ou nécessiteraient un arrêt du processus pour être installés.
Access Gate applique l'ICAM à la frontière réseau au nom de l'équipement. L'utilisateur s'authentifie auprès de votre fournisseur d'identité avec MFA. L'appliance termine la session, applique la politique, puis ouvre une nouvelle connexion vers l'équipement en utilisant le protocole et les accréditations que celui-ci supporte. L'équipement reçoit une connexion depuis une adresse de sous-couche connue. L'utilisateur bénéficie d'un accès lié à son identité avec journalisation des audits. Le contrôle compensatoire s'intercale entre les deux.
Les recommandations de la CISA abordent également la nuance du chiffrement. Pour l'OT, l'intégrité et l'authentification importent davantage que la confidentialité. Lorsque le protocole sous-jacent ne peut pas nativement prendre en charge TLS, il est recommandé de l'encapsuler dans une passerelle compatible TLS. Access Gate le fait pour Modbus, DNP3, OPC UA, EtherNet/IP et d'autres protocoles industriels, en terminant TLS validé FIPS à la frontière du proxy et en transmettant le protocole nativement à l'équipement.
Volt Typhoon et les mouvements latéraux
Les recommandations citent nommément Volt Typhoon comme acteur de menace utilisant des techniques de living-off-the-land dans les environnements IT avant de se déplacer latéralement vers l'OT. C'est le modèle de menace pour lequel la microsegmentation Zero Trust est conçue.
Le schéma d'attaque est bien documenté. L'adversaire compromet un point de terminaison IT, se déplace dans le réseau en utilisant des outils d'administration légitimes, trouve la frontière IT/OT, puis pivote vers l'OT par le chemin d'accès disponible. Ce chemin est souvent un réseau plat ou faiblement segmenté où tout hôte IT compromis peut atteindre directement les équipements OT. Parfois, il s'agit d'un outil d'accès à distance fournisseur avec des accréditations partagées. Parfois, c'est un poste de travail d'ingénierie oublié avec des interfaces réseau à double rattachement. Parfois, c'est un chemin de réplication d'historien que personne n'a documenté.
Une architecture réseau sans accès lié à l'identité à la frontière IT/OT laisse ce chemin d'attaque ouvert. La recommandation de la CISA est de supposer que le côté IT sera compromis et de concevoir la frontière OT comme si l'attaque était déjà en cours. Cela nécessite un accès authentifié, autorisé et journalisé pour chaque session qui franchit la frontière, et pas seulement un inventaire des chemins existants.
Access Gate est conçu pour ce modèle de menace. Chaque session IT vers OT se termine au niveau de l'appliance. L'utilisateur qui se connecte doit s'authentifier avec MFA. La session est liée à une identité d'utilisateur spécifique, et non à un compte de service ou à des accréditations partagées. La session est enregistrée avec la charge utile complète lorsque cela est configuré, et peut être rejouée pour une analyse forensique. Le chemin est refusé par défaut, sauf si une politique explicite l'autorise.
Pour les adversaires de type Volt Typhoon qui s'appuient sur des mouvements latéraux non détectés, ce schéma où chaque session est attribuée et enregistrée est ce qui ferme le chemin. Pour le suivi continu de Volt Typhoon et d'autres groupes de menaces OT identifiés, Trout maintient un portail de renseignement sur les menaces public avec des profils par acteur et des indicateurs.
Ce que cela signifie pour votre déploiement
Si vous exploitez un environnement OT sur site, les actions concrètes à entreprendre dans les 30 prochains jours sont les suivantes.
- Auditez les équipements OT qui disposent actuellement d'une surveillance basée sur des agents. Pour chacun, documentez si l'agent est pris en charge par le fournisseur OT et s'il est examiné pour la compatibilité à chaque cycle de correctifs. Selon la CISA, les agents non pris en charge sur les équipements legacy créent un risque supérieur à celui qu'ils atténuent.
- Cartographiez la frontière IT/OT. Identifiez chaque chemin réseau qui la franchit : accès à distance fournisseur, hôtes de rebond, postes de travail à double rattachement, serveurs de transfert de fichiers, réplication d'historien. Selon la CISA, chacun de ces chemins est un point d'entrée potentiel pour Volt Typhoon s'il n'est pas authentifié.
- Pour chaque chemin à la frontière IT/OT, documentez la posture actuelle en matière d'authentification, d'autorisation et de journalisation des sessions. Tout ce qui n'applique pas une identité par utilisateur, une autorisation par session et une journalisation complète des sessions constitue une lacune.
- Évaluez où l'application au niveau réseau sans agent pourrait remplacer les contrôles basés sur des agents. La CISA indique explicitement que pour l'OT legacy, l'application réseau sans agent est la posture recommandée.
- Testez l'hypothèse d'isolation physique. Selon la CISA, une isolation physique n'est pas en soi un contrôle de sécurité. Si une telle isolation existe, identifiez ce qui se passerait si un périphérique USB, un ordinateur portable fournisseur ou un hôte de rebond de maintenance la contournait.
L'architecture Access Gate répond à chacune de ces actions. Elle se déploie sans agents sur les équipements protégés, applique les contrôles à la frontière réseau, segmente sans modification des VLANs, et génère des preuves de session par défaut. Le déploiement prend généralement quelques heures par site, et non des semaines.
Prêt à aligner votre environnement avec les nouvelles recommandations de la CISA ? Commencez par le guide pratique Zero Trust pour l'OT pour une approche pas à pas de l'application de ces principes aux réseaux industriels legacy sans remettre en cause l'existant.
