TroutTrout
Back to Blog
Zero TrustOT SecurityLegacy PLCsArchitecture

Zero Trust pour les PLCs legacy : L'architecture Lollipop expliquée

Trout Team5 min read

Un automate programmable (PLC) hérité accepte toute connexion sur son port ouvert. Il n'a aucune notion d'utilisateurs, de rôles ou de sessions. Il ne peut pas enregistrer qui y a accédé ni quand. Il transmet en clair. Il a été conçu ainsi parce qu'au moment de sa fabrication, le réseau sur lequel il fonctionnait était physiquement isolé. Cette hypothèse ne tient plus.

L'architecture lollipop résout ce problème en plaçant un proxy à reconnaissance d'identité devant chaque PLC. Le proxy prend en charge tout ce que le PLC ne peut pas faire : authentification, autorisation, journalisation et chiffrement. Le PLC continue de fonctionner exactement comme avant. Il ne sait pas que le proxy existe.

À quoi ressemble le lollipop

Imaginez chaque actif OT comme un bonbon au bout d'un bâton. Le bonbon est l'actif (PLC, CNC, HMI). Le bâton est l'unique chemin imposé à travers le proxy. Il n'existe aucun autre chemin. Pas de connexions latérales entre les actifs. Pas d'accès direct depuis le réseau.

User → [MFA] → [Proxy] → PLC
                  ↓
              [Session Log]

Chaque connexion au PLC doit :

  1. Authentifier l'utilisateur (MFA au niveau du proxy)
  2. Vérifier l'autorisation (rôle, actif, protocole, fenêtre temporelle)
  3. Établir une session journalisée (identité de l'utilisateur, horodatage, charge utile)
  4. Chiffrer le segment utilisateur-proxy (TLS)

Le segment proxy-PLC utilise le protocole industriel natif (Modbus, EtherNet/IP, OPC UA). Le PLC reçoit exactement ce qu'il attend. Aucune traduction de protocole. Aucune modification du firmware.

Déploiement

L'appliance ou la VM Access Gate se connecte en adjacence au réseau existant. Elle ne s'insère pas en coupure dans le trafic de production. Elle crée un réseau superposé (overlay) utilisant la plage d'adresses 100.64.0.0/16.

Pour chaque actif OT, l'Access Gate crée un point de terminaison proxy. L'overlay achemine tout le trafic vers cet actif via son proxy. L'adresse IP d'origine et la configuration des commutateurs restent inchangées.

Le déploiement se compte en heures, pas en semaines. Connectez l'appliance, découvrez les actifs, définissez les politiques, appliquez-les. Pas de reconfiguration de VLAN. Pas de recâblage. Pas de modification d'adresses IP. Pas d'interruption de la production.

Ce que le proxy applique

Vérification d'identité

Avant qu'une session atteigne le PLC, l'utilisateur doit s'authentifier via la passerelle d'identité de l'Access Gate. Nom d'utilisateur, mot de passe et jeton TOTP. Le PLC ne reçoit jamais de trafic non authentifié.

Contrôle d'accès basé sur les rôles

Tous les utilisateurs ne doivent pas accéder à tous les PLC. Un fournisseur OEM obtient l'accès au CNC spécifique qu'il entretient, sur le protocole spécifique dont il a besoin, pendant la fenêtre de maintenance définie. Un opérateur accède au HMI, pas au PLC qui se trouve derrière. Les politiques définissent qui peut accéder à quoi.

Journalisation des sessions

Chaque connexion est enregistrée avec : l'identité de l'utilisateur, l'IP source, l'actif de destination, le protocole, la charge utile des commandes, l'horodatage et la durée de session. C'est la piste d'audit qu'exige CMMC AU 3.3.1 et que le PLC ne peut pas générer par lui-même.

Refus par défaut

Si aucune politique n'autorise une connexion, celle-ci est bloquée et journalisée. Cela inverse le modèle de réseau à plat où tout peut atteindre tout. Avec l'architecture lollipop, rien n'atteint quoi que ce soit sans autorisation explicite.

Chiffrement

Le segment entre l'utilisateur et le proxy est chiffré avec TLS. Le segment entre le proxy et le PLC utilise le protocole natif en clair, mais ce segment est isolé dans une micro-DMZ sans sortie externe. Les CUI en transit sont protégées.

Pourquoi « lollipop » et non « hub and spoke »

Le modèle hub and spoke implique des chemins latéraux entre les branches via le hub. Le modèle lollipop est plus strict. Chaque actif dispose d'un unique chemin imposé. Il n'existe aucune connectivité entre les actifs à moins qu'une politique ne la crée explicitement. Cela élimine les mouvements latéraux par conception.

Si un attaquant compromet un PLC (par accès physique ou via une faille zero-day dans le protocole), il ne peut atteindre aucun autre actif. La topologie overlay bloque tous les chemins latéraux. L'attaquant est confiné dans un segment d'un seul élément.

Positionnement dans les référentiels de conformité

RéférentielExigenceCe que le lollipop couvre
CMMCContrôle d'accès (AC)Autorisation basée sur l'identité par session
CMMCJournalisation d'audit (AU)Journalisation des sessions avec identité de l'utilisateur
CMMCChiffrement (SC)TLS sur les chemins CUI
NIS2Segmentation réseauMicrosegmentation par actif
IEC 62443Zone et conduitChaque proxy constitue une frontière de conduit

Le livre blanc Modèles de conception de DMZ industrielle couvre en détail les quatre modèles d'architecture, dont le modèle lollipop (médiation en ligne).

Pour davantage de ressources Zero Trust OT, des guides d'architecture et des comparaisons, consultez le hub Zero Trust pour les réseaux OT.

FAQ

Frequently Asked Questions

Le proxy ajoute-t-il de la latence aux communications avec le PLC ?
L'établissement de session ajoute une surcharge inférieure à la milliseconde. Une fois établi, le proxy achemine le trafic à une vitesse proche du débit ligne. Les protocoles industriels fonctionnant avec des cycles de scrutation de 10 ms ne sont pas affectés.
Que se passe-t-il si le proxy tombe en panne ?
L'Access Gate se déploie en adjacence au réseau, pas en coupure. Si le proxy est indisponible, le chemin réseau direct vers le PLC reste opérationnel. Vous perdez l'application des politiques et la journalisation, mais la production continue.
Puis-je utiliser l'architecture lollipop pour seulement certains actifs ?
Oui. Vous pouvez commencer par les actifs à risque le plus élevé (PLC manipulant des CUI, contrôleurs SCADA) et étendre progressivement aux autres. Chaque actif dispose de son propre proxy de manière indépendante.
Cela fonctionne-t-il avec Modbus TCP ?
Oui. L'Access Gate fournit des capacités de proxy avec connaissance du protocole Modbus. Il peut appliquer le contrôle d'accès par code de fonction et journaliser chaque opération de lecture/écriture. Consultez le livre blanc Securing Modbus à l'adresse /resources/securing-modbus pour l'architecture complète.
En quoi est-ce différent d'une DMZ industrielle traditionnelle ?
Une DMZ traditionnelle est un point de contrôle centralisé entre IT et OT. L'architecture lollipop est distribuée. Chaque actif dispose de son propre point d'application. Cela élimine le point de défaillance unique et offre une granularité par actif.

Other Articles

CMMCCompliance

What the CMMC Enduring Exception Actually Requires You to Document

The Enduring Exception is not a waiver. It requires specific documentation, compensating controls with evidence, and an Affirming Official signature. Miss any of it and you face False Claims Act exposure.

OT SecurityZero Trust

Why Your OT Network Has No Identity Layer (And What Happens When an Attacker Notices)

The moment an attacker reaches your OT network, they stop having to prove who they are. Flat Layer 2, PLCs that can't do MFA, trust-by-location — it's a lateral movement playground. The fix isn't rewiring the plant. It's putting an identity layer in front of the assets that can't enforce one themselves.

Zero TrustOT Security

Agent-Free Zero Trust: Why OT Environments Can't Use Endpoint Software

IT Zero Trust relies on endpoint agents. OT devices cannot run them. Here is why, and how network-layer enforcement provides equivalent protection without touching the device.

News & Insights

Resources & Insights.

Securing Modbus whitepaper
WhitepaperWhitepaper

Securing Modbus in Modern Industrial Environments

Zero Trust OT webinar
WebinarWebinar

Zero Trust for OT Networks

OT network architecture diagram
ArchitectureGuide

Reference Architectures for OT Security

All articles