TroutTrout
Back to Blog
Network VisibilityFirewalls

Déployer des pare-feux sans perturber le trafic ICS

Trout Team8 min read

Introduction

Emplacement d'un pare-feu dans un réseau ICS montrant les protocoles ICS autorisés et le trafic non-ICS bloqué par Access Gate
Le placement d'un pare-feu dans un réseau ICS : protocoles ICS autorisés, tout le reste bloqué.

L'intégration de pare-feux dans les systèmes de contrôle industriel (ICS) peut représenter un défi considérable pour tout professionnel de la sécurité IT. La difficulté réside dans l'équilibre entre des mesures de sécurité robustes et la nécessité de maintenir un trafic ICS fluide et ininterrompu. Une erreur peut entraîner des perturbations opérationnelles et des temps d'arrêt significatifs. Cet article présente des stratégies efficaces pour déployer des pare-feux sans compromettre le flux critique du trafic ICS, en garantissant à la fois la visibilité réseau et la sécurité.

Comprendre les défis

Avant d'aborder les stratégies de déploiement, il convient de bien saisir les défis propres aux environnements ICS :

  • Opérations en temps réel : les systèmes ICS pilotent souvent des processus en temps réel où les délais peuvent affecter la sécurité et l'efficacité.
  • Diversité des protocoles : de nombreux environnements ICS utilisent un mélange de protocoles hérités et modernes, ce qui pose des problèmes de compatibilité.
  • Disponibilité avant sécurité : historiquement, les ICS ont privilégié la disponibilité et le temps de fonctionnement au détriment de mesures de sécurité strictes.
  • Visibilité réseau : obtenir une visibilité complète du trafic réseau est indispensable pour surveiller et sécuriser les environnements ICS.

Considérations clés pour le déploiement de pare-feux dans les ICS

1. Cartographie réseau complète

Une compréhension approfondie de la topologie de votre réseau est indispensable. Cela implique :

  • Identification des actifs critiques : cartographier tous les actifs critiques et leurs voies de communication.
  • Identification des protocoles : documenter tous les protocoles utilisés, y compris les protocoles hérités qui peuvent nécessiter un traitement particulier.
  • Modèles de trafic : comprendre les modèles de trafic normaux pour distinguer le trafic légitime du trafic potentiellement malveillant.

2. Choisir le bon pare-feu

Le choix de la technologie de pare-feu appropriée est déterminant. Tenez compte des éléments suivants :

  • Pare-feux sensibles aux protocoles : privilégiez les pare-feux qui prennent en charge l'inspection approfondie des paquets (deep packet inspection) et reconnaissent les protocoles industriels tels que Modbus, DNP3 et OPC UA. Gardez à l'esprit que l'inspection approfondie des paquets ne fonctionne que lorsque ces protocoles circulent en clair. À mesure que l'OT adopte le chiffrement, un pare-feu perd cette visibilité, tandis qu'un proxy qui termine la session la conserve (voir ci-dessous).
  • Évolutivité et performances : vérifiez que le pare-feu peut gérer le volume de données sans introduire de latence.
  • Capacités d'intégration : le pare-feu doit s'intégrer de manière transparente aux outils et frameworks de sécurité ICS existants.

3. Positionnement stratégique du pare-feu

Un positionnement efficace du pare-feu peut renforcer considérablement la sécurité sans perturber le flux de trafic :

  • Protection périmétrique : déployez des pare-feux au périmètre du réseau pour filtrer le trafic entrant et sortant.
  • Segmentation interne : utilisez des pare-feux pour créer des zones sécurisées au sein du réseau, protégeant les zones sensibles contre les accès non autorisés.
  • Redondance et basculement : mettez en place des chemins redondants et des mécanismes de basculement pour maintenir la connectivité lors de la maintenance ou d'une défaillance du pare-feu.

Proxy ou pare-feu : deux approches pour contrôler le trafic OT

Un pare-feu et un proxy résolvent des problèmes connexes de manière différente, et en OT cette différence est significative. Un pare-feu prend une décision d'autorisation ou de refus sur un paquet lors de son transit entre deux points, en fonction de la source, la destination, le port et, avec l'inspection approfondie des paquets sur les protocoles non chiffrés hérités, le protocole. Le paquet continue de voyager directement du client vers l'actif. Un proxy termine la connexion, autorise la session complète, puis ouvre une connexion distincte vers l'actif. Rien n'atteint l'équipement tant que le proxy n'en a pas décidé ainsi.

Cette étape supplémentaire est ce qui rend un proxy si précieux dans les environnements industriels :

  • Dissimulation : l'actif n'est jamais exposé directement. Les clients se connectent au proxy, de sorte que le PLC, le HMI ou l'historian reste invisible aux scanners et aux attaquants sur le réseau.
  • Visibilité approfondie : parce que le proxy termine la session, il voit l'intégralité de l'échange au niveau de la couche applicative, les commandes et les charges utiles, pas seulement les en-têtes de paquets. Et contrairement à l'inspection approfondie des paquets d'un pare-feu, qui devient aveugle dès que le trafic est chiffré, un proxy conserve cette visibilité car il est un point de terminaison de la session, et non un observateur passif.
  • Application de l'identité : le proxy authentifie l'utilisateur avant que la session n'atteigne l'actif, appliquant un MFA au niveau réseau et un accès par utilisateur même aux équipements qui n'ont aucune notion de comptes.
  • Chiffrement : le proxy peut encapsuler des protocoles hérités en clair tels que Modbus et DNP3 dans TLS entre le client et lui-même, puis les transmettre nativement à l'actif. L'équipement n'a pas besoin de prendre en charge le chiffrement.

La raison pour laquelle cela est important est simple : un proxy vous permet de déployer des contrôles de sécurité sur des actifs qui ne peuvent pas les héberger eux-mêmes. La plupart des équipements OT ne peuvent pas exécuter un agent, ne peuvent pas appliquer le MFA et ne prennent pas en charge TLS. Un proxy fournit ces contrôles à la frontière, devant l'équipement, de sorte qu'un contrôleur hérité bénéficie de l'identité, du chiffrement et de l'audit sans aucune modification de l'actif.

C'est pourquoi un pare-feu est le mauvais outil principal pour l'OT. Les pare-feux sont efficaces en IT généraliste, où les points de terminaison peuvent se défendre eux-mêmes et où le chiffrement est déjà la norme. L'OT est à l'opposé : réseaux plats, protocoles en clair et actifs qui ne peuvent héberger aucun contrôle propre. Dans ce contexte, un proxy est mieux adapté à la visibilité, au contrôle et à la protection.

L'Access Gate de Trout est l'appliance qui rend cela pratique à grande échelle. Il exécute des proxies OT dans toute l'usine et fournit les services dont ces actifs ont besoin pour fonctionner en toute sécurité, DNS, synchronisation de l'heure, accès distant et partage de fichiers, afin que les équipements qui n'ont jamais été conçus pour être connectés en toute sécurité puissent se connecter sans jamais être exposés.

Bonnes pratiques pour une perturbation minimale

1. Réaliser une évaluation des risques

Avant le déploiement, effectuez une évaluation complète des risques pour identifier les vulnérabilités potentielles et prioriser les zones d'implémentation du pare-feu. Cela s'aligne sur les exigences de gestion des risques de NIST 800-171 et CMMC.

2. Tests pilotes

Déployez des pare-feux dans un environnement de test pour évaluer leur impact sur le trafic ICS. Surveillez :

  • Effets de latence : vérifiez que les opérations en temps réel ne sont pas affectées.
  • Problèmes de compatibilité : contrôlez la gestion des protocoles et l'interopérabilité avec les systèmes existants.

3. Déploiement progressif

Mettez en œuvre les pare-feux par phases pour minimiser les perturbations :

  1. Commencer par les zones non critiques : débutez le déploiement dans les parties moins critiques du réseau.
  2. Surveiller et ajuster : surveillez en continu les performances réseau et effectuez les ajustements nécessaires.
  3. Étendre le déploiement : étendez progressivement la couverture du pare-feu aux zones plus critiques.

4. Surveillance et journalisation continues

  • Surveillance en temps réel : utilisez des outils de surveillance réseau pour maintenir la visibilité sur les modèles de trafic et détecter les anomalies.
  • Gestion des journaux : mettez en place des mécanismes de journalisation robustes pour suivre l'activité du pare-feu et assurer la conformité aux normes telles que NIS2 et CMMC.

Maintenir la visibilité réseau

La visibilité réseau est indispensable pour un déploiement efficace des pare-feux. Envisagez d'utiliser :

  • Analyse NetFlow : fournit des informations sur les flux de trafic et aide à identifier les modèles anormaux.
  • Inspection approfondie des paquets (Deep Packet Inspection) : permet un examen détaillé du contenu des paquets, garantissant que seul le trafic légitime est autorisé.

Conclusion

Commencez par un déploiement en mode surveillance passive : capturez une semaine complète de trafic sur le segment où vous prévoyez de déployer le pare-feu. Utilisez cette capture pour construire vos règles de liste d'autorisation. Déployez le pare-feu en mode surveillance uniquement en premier lieu, validez qu'aucun trafic légitime ne serait bloqué, puis passez en mode application. Cette séquence élimine la cause la plus fréquente des pannes ICS induites par les pare-feux : des règles qui bloquent un trafic dont vous ignoriez l'existence.