TroutTrout
Back to Blog
ArchitectureMulti-siteZero TrustOT Security

Sécurité OT multi-sites : comment déployer le Zero Trust à grande échelle sur 50+ sites

Trout Team9 min read

Le problème du multi-sites

Une seule usine de fabrication avec 200 appareils OT est un projet de sécurité. Une entreprise avec 50 usines réparties dans 12 pays, chacune avec des topologies réseau différentes, des équipements d'époques variées et des capacités IT locales hétérogènes, est un problème d'architecture.

Les défis sont structurels :

  • Cohérence des politiques : un même fournisseur devrait avoir les mêmes restrictions d'accès sur chaque site. En pratique, chaque site configure ses propres règles de pare-feu, tunnels VPN et listes d'accès de façon indépendante.
  • Visibilité : l'équipe de sécurité centrale ne peut pas voir qui accède à quoi sur le site 37. Chaque site possède ses propres journaux, ses propres formats, ses propres politiques de rétention.
  • Ressources humaines : la plupart des sites distants ne disposent d'aucun personnel de sécurité dédié. Une station de traitement des eaux avec 3 opérateurs n'a pas d'ingénieur sécurité. Un poste de transformation électrique n'a aucune IT sur place.
  • Diversité des réseaux : le site A dispose d'un réseau moderne segmenté. Le site B a un réseau plat de niveau 2 datant de 2008. Le site C est isolé physiquement. Une architecture de sécurité qui exige une infrastructure réseau uniforme ne sera jamais déployée.
  • Rapidité de déploiement : si l'ajout d'un nouveau site nécessite 6 semaines de configuration sur place, le programme de sécurité ne rattrapera jamais le rythme de l'expansion de l'entreprise.

L'approche traditionnelle (et pourquoi elle échoue)

La plupart des organisations tentent de sécuriser leurs environnements OT multi-sites en reproduisant le même déploiement site par site :

  1. Déployer des pare-feux sur chaque site
  2. Configurer des règles spécifiques au site
  3. Mettre en place des tunnels VPN pour l'accès à distance
  4. Installer des hôtes de rebond pour l'accès des fournisseurs
  5. Configurer la journalisation locale
  6. Répéter 50 fois

Cette approche présente des modes d'échec prévisibles :

  • Dérive de configuration : au bout de 6 mois, aucun site n'a les mêmes règles de pare-feu. Les politiques divergent au fur et à mesure que les équipes locales accordent des exceptions et procèdent à des ajustements.
  • Aucune visibilité centrale : les journaux existent sur chaque site, mais personne ne les agrège ni ne les corrèle. Un fournisseur accédant à 5 sites en une journée est invisible pour l'équipe centrale.
  • Réponse aux incidents lente : lorsqu'un incident survient sur le site 23, l'équipe centrale a besoin d'un accès VPN au site, d'une connaissance de la configuration locale et d'un accès aux journaux locaux. Le temps de réponse se mesure en heures ou en jours, pas en minutes.
  • Coût insoutenable : chaque site nécessite des licences de pare-feu, des concentrateurs VPN, des hôtes de rebond, une infrastructure de journalisation et des interventions périodiques sur place. À partir de 50 sites, cela représente un coût récurrent de plusieurs millions d'euros.

L'architecture en surcouche centralisée

L'alternative est un modèle de politique centralisée, application distribuée. L'architecture repose sur trois composants :

  1. Plan de gestion central : un moteur de politique unique où l'équipe de sécurité définit toutes les règles d'accès, les permissions des utilisateurs et les exigences de conformité.
  2. Application distribuée sur chaque site : un appliance ou une VM légère sur chaque site qui applique la politique localement, gère tous les accès et enregistre les sessions.
  3. Réseau en surcouche chiffré : un réseau sécurisé défini par logiciel reliant tous les sites au plan de gestion central, sans nécessiter de modifications de l'infrastructure réseau sous-jacente.

C'est le modèle qu'implémente l'Access Gate. Voici comment il fonctionne en pratique.

Déploiement : ce qui se passe sur chaque site

Jour 0 : expédition de l'appliance

L'équipe centrale configure un appliance Access Gate (ou prépare une image VM) avec la politique de base du site. L'appliance est expédiée sur le site.

Jour 1 : connexion et enregistrement

Le personnel sur place (un opérateur, un responsable d'usine, toute personne capable de brancher un câble Ethernet) connecte l'appliance au réseau local. L'appliance :

  • Obtient une adresse réseau
  • Établit un tunnel chiffré vers le plan de gestion central
  • S'enregistre et récupère la dernière configuration de politique
  • Commence à découvrir les actifs réseau locaux

Aucune reconfiguration de pare-feu. Aucun changement de VLAN. Aucune expertise en sécurité requise sur place.

Jour 2 : application et enregistrement des sessions

L'appliance est opérationnel. Tout accès aux actifs OT de ce site transite désormais par l'Access Gate local. L'équipe centrale peut :

  • Voir toutes les sessions de ce site dans le tableau de bord central
  • Pousser des mises à jour de politique qui prennent effet immédiatement
  • Consulter les enregistrements de sessions
  • Recevoir des alertes en cas de violation de politique

Durée totale de déploiement par site : 1 à 2 jours, dont la majeure partie correspond au délai d'expédition. À comparer aux 4 à 6 semaines habituellement nécessaires pour un déploiement traditionnel de pare-feu et VPN.

Opérations courantes pour l'équipe centrale

Une fois les sites déployés, l'équipe de sécurité centrale gère tout depuis un seul endroit.

Ajout de nouveaux sites

  1. Configurer la politique de base du nouveau site (copier depuis un modèle, ajuster pour les actifs spécifiques au site)
  2. Expédier l'appliance
  3. Le personnel distant le branche
  4. Le site apparaît dans le tableau de bord central en quelques minutes

Mise à jour des politiques

Une modification de politique (par exemple, « toutes les sessions fournisseurs nécessitent MFA et enregistrement de session ») se propage simultanément sur tous les sites. Aucune visite sur site. Aucune configuration par site. La modification prend effet sur l'ensemble des 50+ sites en quelques minutes.

Investigation des incidents

Lorsqu'une alerte se déclenche sur le site 23 :

  1. L'équipe centrale voit l'alerte dans le tableau de bord unifié
  2. Elle récupère immédiatement l'enregistrement de session, sans VPN
  3. Elle examine exactement ce qui s'est passé : qui s'est connecté, quel protocole, quelles commandes
  4. Elle peut révoquer l'accès de l'utilisateur sur tous les sites en une seule action

Rapports de conformité

Générez un rapport de conformité unique couvrant tous les sites. Le rapport présente :

  • Le total des sessions par site, utilisateur et protocole
  • Les violations de politique et les actions correctives
  • La couverture des enregistrements de sessions (pourcentage des chemins d'accès OT enregistrés)
  • Les schémas d'accès des utilisateurs sur l'ensemble des sites

Un seul rapport, tous les sites, prêt pour l'auditeur.

Comparaison : déploiement par site vs surcouche centralisée

FacteurDéploiement par siteSurcouche centralisée
Durée de déploiement par site4 à 6 semaines (pare-feu, VPN, hôte de rebond, journalisation)1 à 2 jours (expédition de l'appliance, branchement)
Cohérence des politiquesConfiguration manuelle par site ; la dérive est inévitableMoteur de politique unique ; tous les sites appliquent les mêmes règles
Visibilité centraleNécessite un projet d'agrégation des journaux ; souvent incompletIntégrée ; toutes les sessions visibles dans le tableau de bord central
Personnel par siteNécessite une ressource IT/sécurité locale pour la maintenanceAucune ; gestion entièrement assurée par l'équipe centrale
Coût par site50 000 à 150 000 €+ (matériel, licences, main-d'œuvre)Un seul appliance/VM ; fraction du coût traditionnel
Délai de propagation d'un changement de politiqueJours à semaines (coordination avec chaque site)Minutes (propagation automatique)
Temps de réponse aux incidentsHeures à jours (accès au site requis, consultation des journaux locaux)Minutes (tableau de bord central, relecture instantanée des sessions)
Modifications réseau requisesOui (règles de pare-feu, VLANs, tunnels VPN)Non (la surcouche s'appuie sur le réseau existant)
Passage à l'échelle à 200+ sitesImpraticable sans une grande équipe dédiéeLinéaire ; chaque site est identique du point de vue de la gestion

Ce que cela signifie pour différents secteurs

Industrie manufacturière (10 à 200 usines)

Chaque usine dispose d'équipements différents, d'époques différentes, de configurations réseau différentes. L'approche en surcouche traite chaque usine comme un point d'application de politique. L'équipe centrale définit des accès basés sur les rôles (ingénieur de maintenance, fournisseur, opérateur) et la politique s'applique uniformément, quelle que soit la configuration réseau sous-jacente de l'usine.

Services aux collectivités (postes de transformation, stations de traitement, stations de pompage)

Des dizaines ou des centaines de sites distants non gardiennés. Aucune IT sur place. L'appliance est expédié, branché et se connecte. L'équipe centrale dispose d'une visibilité sur chaque session dans chaque poste de transformation sans avoir à maintenir des tunnels VPN vers chaque site. Découvrez comment cela fonctionne en pratique pour les postes de transformation du réseau électrique et les stations de remontées mécaniques distribuées sur 55+ sites.

Défense et aérospatiale (plusieurs installations, conformité stricte)

CMMC exige des contrôles cohérents dans toutes les installations traitant des CUI. Une surcouche centralisée garantit que chaque installation répond au même standard d'audit, avec des enregistrements de sessions et des journaux d'accès générés de façon uniforme sur tous les sites.

Commerce de détail et distribution (entrepôts, centres de distribution)

Nombre de sites élevé, faible complexité par site, aucun personnel de sécurité sur place. Le modèle d'appliance a été conçu pour cela : expédier, brancher, gérer à distance.

Principes de passage à l'échelle

Trois principes architecturaux rendent le Zero Trust multi-sites praticable :

  1. La politique réside en un seul endroit. Chaque règle d'accès, chaque permission utilisateur, chaque exigence de conformité est définie une fois et appliquée partout. La dérive de configuration devient impossible.
  2. L'application est locale. L'appliance sur chaque site gère toute la médiation localement. Si la connexion au plan de gestion central est interrompue, l'application locale continue avec la dernière politique connue. Aucun point de défaillance unique.
  3. La surcouche est indépendante du réseau sous-jacent. Peu importe que le site dispose d'un réseau non segmenté, segmenté ou isolé physiquement. La surcouche crée une couche de sécurité cohérente par-dessus l'existant. Pour une comparaison détaillée de cette approche en surcouche par rapport aux VLANs traditionnels, consultez réseaux en surcouche vs VLANs pour la segmentation OT.

La sécurité OT multi-sites n'est pas un problème de déploiement. C'est un choix d'architecture. Déployez le bon modèle une fois, et chaque site supplémentaire devient une opération d'une journée plutôt qu'un projet de six semaines.

Pour plus de ressources Zero Trust OT, guides d'architecture et comparatifs, consultez le hub Zero Trust pour les réseaux OT.

Other Articles

Zero TrustOT Security

Agent-Free Zero Trust: Why OT Environments Can't Use Endpoint Software

IT Zero Trust relies on endpoint agents. OT devices cannot run them. Here is why, and how network-layer enforcement provides equivalent protection without touching the device.

Zero TrustCISA

What the New CISA Zero Trust OT Guide Means for On-Premise Deployments

CISA, the Department of War, DOE, FBI, and Department of State published joint Zero Trust OT guidance on April 29, 2026. Three findings matter most for on-premise deployments: agentless network-layer enforcement is endorsed for legacy OT, microsegmentation must operate without redesign, and air-gap alone is called out as a false sense of security.

CMMCManufacturing

CMMC Level 2 for Manufacturers: Why VLANs Are Not Enough for Shop Floor OT

VLANs segment traffic at the switch level. CMMC Level 2 requires identity-based access control, audit logging, and encryption. VLANs provide none of these. Here is what assessors actually look for on the shop floor.

News & Insights

Resources & Insights.

Securing Modbus whitepaper
WhitepaperWhitepaper

Securing Modbus in Modern Industrial Environments

Zero Trust OT webinar
WebinarWebinar

Zero Trust for OT Networks

OT network architecture diagram
ArchitectureGuide

Reference Architectures for OT Security

All articles