TroutTrout
Back to Blog
Zero TrustAir GapOT Security

Zero Trust pour les réseaux OT en air gap : ce qui fonctionne et ce qui ne fonctionne pas

Trout Team4 min read

Les réseaux OT isolés (air-gapped) ne sont pas connectés à internet. Ils restent connectés aux personnes. Les techniciens branchent des ordinateurs portables. Les prestataires apportent des clés USB. Les opérateurs s'authentifient — ou ne s'authentifient pas — aux terminaux HMI. Chacun de ces points constitue un vecteur d'attaque que l'isolation réseau ne traite pas. Le Zero Trust s'applique ici. Mais la plupart des outils Zero Trust supposent une connectivité cloud, que les réseaux isolés n'ont pas.

Ce qui ne fonctionne pas dans les environnements isolés

Les fournisseurs d'identité cloud. Azure AD, Okta et Google Workspace nécessitent une connectivité internet pour l'authentification. Si votre fournisseur d'identité est dans le cloud, votre réseau isolé n'a pas de couche d'identité.

Les pare-feux gérés dans le cloud. Palo Alto Prisma, Zscaler et les plateformes similaires acheminent le trafic via des points d'inspection cloud. Dans un environnement isolé, il n'existe aucune route vers le cloud.

Les plateformes SIEM en SaaS. Splunk Cloud, Microsoft Sentinel et les autres SIEM cloud ne peuvent pas recevoir de journaux depuis un réseau déconnecté. Votre piste d'audit reste locale ou n'existe pas.

La protection des postes par agents. Même si vos équipements OT pouvaient exécuter des agents — ce que la plupart ne peuvent pas —, ces agents ont généralement besoin d'une connectivité cloud pour les mises à jour de signatures, les déploiements de politiques et la collecte de télémétrie.

Ce qui fonctionne

Application de l'identité sur site

Déployez une passerelle d'identité à l'intérieur du réseau isolé. Toute authentification des utilisateurs s'effectue localement. Les jetons MFA (TOTP) fonctionnent hors ligne. Le moteur de politiques s'exécute sur site sans dépendance externe.

Access Gate fonctionne entièrement sur site. Sa passerelle d'identité, son moteur de politiques, son proxy de session et son stockage de journaux opèrent tous au sein du réseau local. Aucune donnée ne quitte le périmètre.

Contrôle d'accès au niveau réseau

Plutôt que de s'appuyer sur des agents de poste, appliquez le contrôle d'accès au niveau réseau. Un réseau superposé avec application par proxy vérifie l'identité et autorise chaque session avant qu'elle n'atteigne l'actif OT. L'équipement n'a pas besoin de participer à l'authentification.

Journalisation locale des sessions

Capturez les journaux de session sur site. Stockez-les sur l'appliance ou transmettez-les à un SIEM local via syslog. Chaque connexion est enregistrée avec l'identité de l'utilisateur, l'horodatage, la source, la destination, le protocole et la charge utile.

Segmentation définie par logiciel

Créez des microsegments sans reconfigurer les commutateurs. Un réseau superposé établit des frontières logiques au-dessus du réseau physique existant. Chaque actif ou groupe d'actifs dispose de son propre segment avec sa propre politique d'accès. Pas de modification de VLAN, pas de recâblage, pas de mise à jour du firmware des commutateurs.

Le paradoxe de l'isolation

Le paradoxe de la sécurité par isolation : la coupure protège contre les attaques distantes, mais crée des angles morts pour les menaces locales. Sans couche d'identité, vous ne savez pas qui accède à quoi à l'intérieur du périmètre. Sans journalisation, vous ne pouvez pas reconstituer un incident. Sans segmentation, un équipement compromis peut atteindre tout ce qui se trouve sur le réseau plat.

Le Zero Trust à l'intérieur du périmètre répond aux trois problèmes : vérification de l'identité pour chaque session, journalisation des audits pour chaque connexion, et microsegmentation pour limiter les mouvements latéraux.

Considérations de déploiement

Pas d'internet pour les mises à jour. Les mises à jour logicielles doivent être appliquées manuellement via un support sécurisé. Access Gate prend en charge les paquets de mise à jour hors ligne.

Pas de cloud pour la gestion. La gestion multi-sites nécessite un plan de gestion local. Access Gate prend en charge la gestion site à site via des tunnels chiffrés entre sites isolés.

Environnements classifiés. Les réseaux isolés dans des environnements SCIF ou classifiés sont soumis à des exigences de traitement supplémentaires. Access Gate n'a aucune dépendance cloud et stocke toutes les données localement.

Pour plus de ressources Zero Trust OT, des guides d'architecture et des comparatifs, consultez le hub Zero Trust pour les réseaux OT.

FAQ

Frequently Asked Questions

Le Zero Trust peut-il fonctionner sans connectivité internet ?
Oui. Le Zero Trust est un principe d'architecture, pas un service cloud. Les implémentations sur site appliquent l'identité, le contrôle d'accès et la journalisation localement, sans aucune dépendance internet.
Comment fonctionne le MFA dans un environnement isolé ?
Les mots de passe à usage unique basés sur le temps (TOTP) fonctionnent hors ligne. L'utilisateur génère un code sur un jeton matériel ou un appareil mobile. La passerelle d'identité le valide localement. Aucun appel réseau vers un fournisseur externe n'est nécessaire.
Qu'en est-il des mises à jour de signatures pour la détection des menaces ?
La détection basée sur les signatures nécessite des mises à jour périodiques. Dans les environnements isolés, les mises à jour sont appliquées via un transfert sur support sécurisé. La détection comportementale et par anomalie fonctionne sans signatures.
Comment gérer plusieurs sites isolés ?
Access Gate prend en charge un plan de gestion local qui connecte les sites via des tunnels chiffrés. Si les sites sont physiquement séparés sans connectivité, chacun fonctionne de manière autonome avec une gestion locale des politiques.
L'isolation réseau satisfait-elle aux exigences CMMC ?
L'isolation réseau répond à certains contrôles NIST 800-171 (comme les restrictions d'accès depuis internet), mais ne traite pas le contrôle d'accès, la journalisation des audits, le MFA ou le chiffrement au sein du réseau. Des contrôles à l'intérieur du périmètre restent nécessaires.

Other Articles

Zero TrustOT Security

Agent-Free Zero Trust: Why OT Environments Can't Use Endpoint Software

IT Zero Trust relies on endpoint agents. OT devices cannot run them. Here is why, and how network-layer enforcement provides equivalent protection without touching the device.

Zero TrustCISA

What the New CISA Zero Trust OT Guide Means for On-Premise Deployments

CISA, the Department of War, DOE, FBI, and Department of State published joint Zero Trust OT guidance on April 29, 2026. Three findings matter most for on-premise deployments: agentless network-layer enforcement is endorsed for legacy OT, microsegmentation must operate without redesign, and air-gap alone is called out as a false sense of security.

CMMCManufacturing

CMMC Level 2 for Manufacturers: Why VLANs Are Not Enough for Shop Floor OT

VLANs segment traffic at the switch level. CMMC Level 2 requires identity-based access control, audit logging, and encryption. VLANs provide none of these. Here is what assessors actually look for on the shop floor.

News & Insights

Resources & Insights.

Securing Modbus whitepaper
WhitepaperWhitepaper

Securing Modbus in Modern Industrial Environments

Zero Trust OT webinar
WebinarWebinar

Zero Trust for OT Networks

OT network architecture diagram
ArchitectureGuide

Reference Architectures for OT Security

All articles