55 remontées mécaniques, 1 500 mètres de dénivelé, zéro équipe de sécurité
Une grande station de ski exploite 55 remontées mécaniques réparties sur une plage d'altitude allant de 850 m à 2 353 m. Chaque remontée est un système critique pour la sécurité — moteurs, systèmes de freinage, surveillance de la tension, capteurs de détection des passagers et arrêts d'urgence — le tout piloté par des équipements d'automatisation industrielle.
À cela s'ajoutent les systèmes d'enneigement artificiel (des centaines de canons à neige avec régulation automatisée de la pression et de la température), les infrastructures de déclenchement d'avalanches, les stations météo, les portiques d'accès aux points d'entrée et le réseau de communication qui relie l'ensemble.
Il s'agit d'une infrastructure opérationnelle distribuée. Elle présente les mêmes défis de sécurité qu'un réseau de pipelines ou un réseau électrique distribué — des défis que nous approfondissons dans notre guide sur le déploiement du Zero Trust à grande échelle sur plus de 50 sites — avec quelques complications supplémentaires :
- Environnement physique extrême — les équipements fonctionnent en haute altitude, par températures négatives, sous le vent, la glace et les UV
- Personnel saisonnier — le turnover est élevé ; de nombreux opérateurs sont des employés saisonniers avec une formation technique limitée
- Aucune équipe IT sur site — il n'existe pas de centre d'opérations de sécurité au sommet d'une montagne
- Opérations critiques pour la sécurité — une panne de remontée mécanique n'est pas une violation de données ; c'est un incident de sécurité physique pouvant entraîner des blessures ou des décès
« Déployer une architecture Zero-Trust sur notre site — une station de ski — était hors de portée avec nos ressources. Aujourd'hui, nous exploitons une architecture ZT avec un pilotage centralisé simple. Un vrai changement de paradigme. »
— STBMA Operations
Les systèmes OT auxquels on ne pense pas
Les stations de ski — et les opérateurs d'infrastructures distribuées en général — exploitent une gamme de systèmes OT qui apparaissent rarement dans les discussions sur la cybersécurité :
- Contrôleurs de remontées mécaniques — des PLCs gérant la vitesse des moteurs, le freinage, l'embarquement et le débarquement des passagers, ainsi que les procédures d'urgence. Ils communiquent avec un système de dispatching central via le réseau de la station.
- Automatisation de l'enneigement — des contrôleurs pour des centaines de canons à neige, gérant la pression de l'eau, le débit d'air et l'activation en fonction des capteurs de température et d'humidité. Un contrôleur d'enneigement compromis peut entraîner un gaspillage considérable d'eau et d'énergie, ou créer des conditions dangereuses sur les pistes.
- Systèmes de déclenchement d'avalanches — des systèmes explosifs à déclenchement à distance (Gazex, tours Wyssen) pour le déclenchement contrôlé d'avalanches. Ce sont littéralement des systèmes d'armement pilotés via un réseau.
- Stations météo — des capteurs automatisés alimentant les opérations en données pour les décisions relatives à l'exploitation des remontées, à l'enneigement et au risque d'avalanche.
- Portiques d'accès et billetterie — des portiques RFID/NFC aux points d'accès des remontées, connectés au système de billetterie et de contrôle d'accès.
- Infrastructure de communication — fibre optique, répéteurs radio et points d'accès WiFi répartis sur la montagne, souvent dans des emplacements exposés.
Chacun de ces systèmes est en réseau. Chacun est un point d'entrée potentiel. Et chacun se trouve dans un endroit difficile à sécuriser physiquement.
Pourquoi la sécurité traditionnelle ne passe pas à l'échelle
L'approche classique pour sécuriser des sites distribués consiste à déployer une infrastructure de sécurité sur chaque site : un pare-feu par site, un concentrateur VPN, des commutateurs managés et un administrateur local pour tout maintenir.
Pour une station de ski avec 55 gares de remontées mécaniques, des dizaines de nœuds d'enneigement et d'autres sites divers, cette approche s'effondre :
| Facteur | Sécurité traditionnelle site par site | Approche par couche de gestion centralisée |
|---|---|---|
| Coût en capital | Pare-feu + commutateur managé par site. 55 remontées = 55 pare-feux minimum. | Un plan de gestion unique + un équipement léger par site. |
| Ressources humaines | Nécessite du personnel réseau/sécurité pour configurer et maintenir chaque équipement. | Un seul administrateur gérant des politiques centralisées. |
| Couverture | Inégale — les sites bien dotés bénéficient d'une bonne sécurité, les sites distants sont oubliés. | Uniforme — la même politique s'applique à la remontée à 2 353 m comme à la gare de départ. |
| Délai de déploiement | Plusieurs semaines à plusieurs mois. Chaque site nécessite une configuration et des tests sur place. | Quelques jours. Les équipements préconfigurés sont expédiés sur site, branchés et s'enregistrent automatiquement. |
| Modifications de politique | Intervenir sur chaque équipement. Une modification de règle pare-feu sur 55 sites prend plusieurs jours. | Un seul déploiement de politique. Les modifications se propagent sur tous les sites en quelques minutes. |
| Accès du personnel saisonnier | Créer/révoquer des comptes sur chaque système local. | Gestion centralisée des identités. Une seule désactivation, effective partout. |
| Accès de maintenance des fournisseurs | Identifiants VPN par site, souvent partagés ou jamais révoqués. | Sessions limitées dans le temps et enregistrées via une passerelle centrale. |
| Réponse aux incidents | Se rendre sur site, se connecter au pare-feu local, extraire les journaux. | Tableau de bord central avec visibilité en temps réel sur tous les sites. |
Le calcul est simple. En estimant 8 heures de configuration par site pour une approche de sécurité traditionnelle, une station de 55 remontées nécessite 440 heures de travail technique sur site rien que pour le déploiement initial. Avec une approche par couche centralisée, le travail sur site par emplacement tombe à moins de 30 minutes — brancher l'équipement, vérifier la connectivité, passer au site suivant.
À quoi ressemble le « Zero Trust sans équipe de sécurité »
L'exemple de STBMA illustre un modèle de déploiement applicable à tout opérateur d'infrastructure distribuée : stations de ski, mais aussi exploitants de parcs éoliens, installations solaires distribuées, services des eaux avec des dizaines de stations de pompage, ou entreprises logistiques avec des centaines d'entrepôts.
Ce modèle d'exploitation repose sur quatre caractéristiques :
1. Politique centralisée, application distribuée
Les politiques de sécurité sont définies une seule fois dans une console de gestion centrale. Des règles telles que « les contrôleurs de remontées ne peuvent communiquer qu'avec le système de dispatching central » ou « les PLCs d'enneigement ne peuvent pas initier de connexions sortantes » sont rédigées sous forme de politiques et déployées sur chaque site.
Les politiques s'appliquent d'elles-mêmes sur chaque site, sans aucune administration locale. Il n'y a pas de pare-feu local à mal configurer.
2. Accès basé sur l'identité, pas sur la confiance réseau
Être connecté au réseau WiFi de la station ne donne pas accès aux systèmes OT. Chaque connexion requiert une authentification. Un opérateur de remontée saisonnier s'authentifie avec ses propres identifiants pour accéder à l'interface de supervision de la remontée. En fin de saison, son accès est révoqué centralement — immédiatement effectif sur chaque gare.
3. Intégration et décommissionnement automatisés
Les nouveaux sites (une nouvelle remontée, une nouvelle zone d'enneigement) sont ajoutés en expédiant un équipement préconfiguré. Il se connecte au réseau superposé, télécharge ses politiques et commence à les appliquer. Le décommissionnement d'un site est tout aussi simple — le supprimer de la console de gestion et le tunnel superposé se ferme.
C'est déterminant pour les opérations saisonnières. Les stations mettent en service et hors service des sections d'infrastructure en fonction des conditions d'enneigement. La sécurité doit suivre les opérations, et non l'inverse.
4. Piste d'audit complète sans gestion locale des journaux
Chaque événement d'accès, chaque action d'application de politique et chaque modification de configuration sur l'ensemble des 55 sites et plus est journalisé centralement. Quand un auditeur ou un assureur demande « qui a accédé au système de déclenchement d'avalanches le 14 février », la réponse est une requête, pas une demande de monter sur la montagne pour extraire des journaux d'un équipement local.
Au-delà des stations de ski
Ce modèle de déploiement — gestion centralisée, équipements légers en périphérie, réseau superposé, aucune expertise en sécurité requise sur site — s'applique à toute organisation exploitant une infrastructure physique distribuée :
- Parcs éoliens — 50 turbines et plus réparties sur des terrains isolés, chacune avec un contrôleur connecté à un SCADA
- Postes de transformation du réseau électrique — des centaines de postes non gardiennés sur des milliers de kilomètres carrés
- Services des eaux — des centaines de stations de pompage et d'installations de traitement sur un territoire de desserte
- Opérateurs logistiques — des systèmes d'automatisation d'entrepôts répartis sur des dizaines de centres de distribution
- Télécommunications — équipements de tours cellulaires et stations de commutation distantes
La contrainte commune est identique : trop de sites, trop peu de personnel de sécurité qualifié, trop d'enjeux pour laisser les systèmes sans protection. Les organisations qui résolvent ce problème sont celles qui cessent de vouloir reproduire un modèle de sécurité de centre de données sur chaque site distant, et qui transfèrent plutôt la sécurité vers un plan centralisé capable d'opérer à l'échelle que leur infrastructure exige.
Pour plus de ressources Zero Trust OT, des guides d'architecture et des comparaisons, consultez le hub Zero Trust pour les réseaux OT.
