Les réseaux IT et OT convergent. Les systèmes ERP extraient des données des historiens. Les tableaux de bord cloud affichent des métriques de production en temps réel. Les fournisseurs se connectent à distance pour diagnostiquer des PLCs. Chaque connexion crée un chemin de l'IT vers l'OT.
La question n'est pas de savoir s'il faut connecter IT et OT. C'est comment contrôler la frontière entre eux.
Cet article présente trois modèles d'architecture, chacun traitant un aspect différent de la sécurité à la frontière IT/OT.
Convergence IT/OT : le problème
IT et OT ont des priorités différentes. L'IT optimise la confidentialité et la disponibilité des données. L'OT optimise la sûreté et la disponibilité des processus physiques. Lorsqu'on les connecte, on hérite du profil de risque des deux.
Ce qui tourne mal :
- Un système IT compromis (hameçonnage, rançongiciel) accède à l'OT via un chemin réseau partagé
- Un tunnel VPN destiné au diagnostic de PLCs devient une porte dérobée persistante dans l'usine
- La réplication cloud des données d'historien expose les schémas opérationnels OT à quiconque possède des identifiants cloud
Ce que la convergence permet, bien réalisée :
- Visibilité de la production en temps réel sans export manuel de données
- Réponse aux incidents centralisée sur IT et OT
- Posture de conformité unifiée pour CMMC, NIS2 et NIST 800-171
Modèle 1 : DMZ industrielle
La DMZ industrielle place une zone tampon entre IT et OT. Aucun trafic direct ne traverse d'un côté à l'autre. Des services proxy dans la DMZ relaient les requêtes autorisées.
Architecture :
- Le pare-feu externe fait face à l'IT, le pare-feu interne fait face à l'OT
- La DMZ héberge des bastions proxy, des réplicas d'historien, des serveurs de correctifs et des collecteurs de journaux
- Les deux pare-feux refusent tout trafic par défaut ; seuls les flux explicitement définis sont autorisés
Quand l'utiliser :
- Vous devez partager des données entre IT et OT (données d'historien, métriques de production)
- Vous avez besoin d'une zone de transit pour les correctifs et mises à jour avant qu'ils atteignent l'OT
- La conformité exige une protection de frontière démontrable (NIST 800-171 SC-7)
Détail technique : Les pare-feux externe et interne doivent utiliser des éditeurs ou des moteurs de règles différents. Si les deux pare-feux partagent une vulnérabilité, un attaquant peut les traverser tous les deux en une seule exploitation. La diversité à la frontière renforce la résilience.
Limite : Une DMZ unique protège la frontière entre IT et OT, mais ne fournit aucune segmentation au sein de l'OT. Les mouvements latéraux à l'intérieur de l'OT restent possibles.
Modèle 2 : accès distant sécurisé
L'accès distant est le vecteur d'attaque le plus courant dans l'OT. Les VPN fournisseurs, les sessions de bureau à distance et les outils d'accès distant cloud créent des chemins persistants vers l'OT qui contournent les autres contrôles.
Architecture :
- Le VPN se termine dans la DMZ, pas à l'intérieur de l'OT
- L'authentification multifacteur (MFA) est requise pour chaque session
- Les sessions sont limitées dans le temps et restreintes à des actifs spécifiques
- Pas de tunnels persistants, pas d'accès permanent
Quand l'utiliser :
- Les fournisseurs doivent se connecter pour des diagnostics ou de la maintenance
- Les opérateurs distants doivent surveiller ou contrôler des systèmes
- Vous avez besoin d'une piste d'audit de chaque session distante à des fins de conformité
Détail technique : Une erreur courante consiste à terminer les tunnels VPN directement sur des équipements OT ou sur un hôte de rebond à l'intérieur du réseau OT. Cela donne à l'utilisateur VPN le même accès réseau qu'un opérateur local. Il faut plutôt terminer le VPN sur une passerelle dans la DMZ. La passerelle authentifie l'utilisateur, restreint l'accès à l'actif spécifique dont il a besoin, et se déconnecte à l'expiration de la fenêtre de maintenance.
Limite : Traite uniquement l'accès distant. Ne segmente pas le trafic OT local et ne prévient pas les mouvements latéraux depuis un équipement local compromis.
Modèle 3 : segmentation Zero Trust
La segmentation Zero Trust étend la sécurité à l'intérieur de l'OT en plaçant des points d'application entre les actifs individuels ou les groupes d'actifs. Chaque connexion est authentifiée, autorisée, enregistrée et inspectée, qu'elle provienne de l'IT ou de l'intérieur de l'OT.
Architecture :
- VPN + MFA au périmètre pour les utilisateurs distants
- Un Access Gate se place entre les segments réseau, enregistrant et inspectant chaque session
- Chaque segment contient un petit groupe d'actifs liés (une boucle de contrôle, une cellule de production)
- Les connexions entre segments exigent une vérification d'identité (utilisateur + équipement)
Quand l'utiliser :
- Vous devez prévenir les mouvements latéraux à l'intérieur de l'OT
- La conformité exige un contrôle d'accès par système (CMMC AC.L2-3.1.1)
- Vous avez des environnements à confiance mixte où fournisseurs, opérateurs et systèmes automatisés partagent le même réseau
- Vous avez besoin d'un enregistrement et d'une inspection complets des sessions à des fins d'audit
Détail technique : Le Zero Trust en OT fonctionne au niveau de la couche 3. Chaque micro-segment dispose de son propre sous-réseau. Le point d'application (Access Gate) inspecte chaque demande de connexion : identité source, destination, protocole et action. Chaque session est enregistrée avec ses métadonnées complètes. L'application étant réseau, elle fonctionne avec les équipements legacy qui ne peuvent pas exécuter d'agents ni participer à des échanges d'authentification. L'Access Gate s'authentifie au nom de l'équipement.
Limite : Nécessite davantage de points d'application qu'une DMZ unique. L'exploitation est simplifiée avec des appliances qui combinent segmentation, authentification, enregistrement et journalisation dans un seul équipement.
Combiner les modèles
Ces modèles ne sont pas mutuellement exclusifs. Un environnement de production nécessite généralement les trois :
| Couche | Modèle | Objectif |
|---|---|---|
| Frontière IT/OT | DMZ industrielle | Empêcher le trafic direct IT vers OT |
| Connexions distantes | Accès distant sécurisé | Contrôler les sessions fournisseurs et opérateurs |
| Intérieur OT | Segmentation Zero Trust | Prévenir les mouvements latéraux, enregistrer et inspecter toutes les sessions |
Correspondance avec les exigences de conformité
| Exigence | Modèle 1 (DMZ) | Modèle 2 (Accès distant) | Modèle 3 (Zero Trust) |
|---|---|---|---|
| CMMC AC.L2-3.1.3 (Contrôle des flux) | Appliqué à la frontière DMZ | Appliqué par session | Appliqué par segment |
| NIST 800-171 SC-7 (Protection des frontières) | DMZ à double pare-feu | Passerelle de session | Application par actif |
| NIS2 Art. 21 (Mesures basées sur les risques) | Journalisation de frontière | Enregistrement de session | Surveillance au niveau des actifs |
| CMMC AU.L2-3.3.1 (Journalisation d'audit) | Journaux des services DMZ | Journaux par session | Journaux par segment |
Conclusion
Sécuriser la frontière IT/OT n'est pas un choix d'architecture unique. C'est une approche en couches : une DMZ à la frontière, une segmentation Zero Trust à l'intérieur de l'OT, et un accès distant contrôlé pour les connexions externes. Chaque modèle traite un vecteur de menace différent. Ensemble, ils assurent la protection des frontières, la prévention des mouvements latéraux et la visibilité au niveau des sessions.
Commencez par la DMZ si vous n'en avez pas. Ajoutez la segmentation Zero Trust pour vos actifs OT les plus exposés. Verrouillez l'accès distant avec MFA, enregistrement des sessions et portée limitée dans le temps. Une appliance passerelle intégrée peut délivrer les trois modèles depuis un point d'application unique.
