Ce document présente un exemple de procédure de réponse à un incident OT et l'utilisation d'Access Gate à chaque phase : détection, quarantaine et reprise.
Ceci est un modèle évolutif: adaptez les seuils, les actifs et les actions à votre propre installation et à votre propre runbook, puis cochez chaque étape au fur et à mesure.
Phase 1 : Détection
Cette phase a lieu avant tout incident, lors de la configuration du système. Access Gate génère des détections à partir du comportement des actifs et d'un ensemble de règles configurables, puis les transmet à votre SIEM, de sorte qu'en cas de problème, l'alerte parvient déjà à vos intervenants là où ils travaillent.
- Accédez à Rules → Configure Forward et dirigez Access Gate vers votre SIEM.

Pour la configuration complète, consultez Transfert de journaux et export SIEM. Des guides plus détaillés sont disponibles pour des systèmes SIEM spécifiques :
Phase 2 : Quarantaine
C'est ici que commence la réponse à l'incident. Une alerte parvient à votre SIEM, et vous vous connectez à Access Gate pour agir.
Pour un cas urgent, mettez l'actif en quarantaine directement :
- Ouvrez l'actif et définissez son statut sur In Maintenance ou Disabled. Cela suspend toutes les communications vers et depuis cet actif.

Pour les cas non urgents, mettez en quarantaine au niveau du flux.
Passez par l'enclave de l'actif plutôt que de l'arrêter complètement :
- Ouvrez l'enclave et examinez les communications entrantes et sortantes de l'actif.
- Identifiez le comportement à risque.
- Désactivez l'accès spécifique qui le véhicule, en plaçant ce flux en quarantaine pendant que le reste de l'actif continue de fonctionner.
- Maintenez un chemin ouvert pour le dépannage, par exemple une session RDP, afin qu'un ingénieur puisse toujours accéder à l'équipement. Consultez Configurer les flux RDP pour la mise en place.
Phase 3 : Reprise
Après le dépannage de l'équipement, remettez-le en service étape par étape :
- Réactivez chaque connexion l'une après l'autre.
- Vérifiez que le trafic semble normal au fur et à mesure.
- Remettez l'actif en production.
L'application des règles étant portée par l'overlay, vous réactivez les flux au niveau d'Access Gate, sans reconfigurer la machine elle-même. L'actif physique n'a jamais été modifié.

Ce que nous avons accompli
Au cours des trois phases, nous avons :
- Détecté l'incident à partir de règles actives en ligne, et transmis l'alerte au SIEM.
- Mis en quarantaine le risque, soit en désactivant l'actif directement, soit en coupant uniquement le flux à risque à l'intérieur de l'enclave tout en maintenant l'installation en fonctionnement.
- Repris en réactivant les flux sur l'overlay, une étape à la fois, sans jamais toucher à l'actif physique.
C'est ainsi que la réponse aux incidents OT et la reprise respectent la disponibilité : le confinement et la reprise s'effectuent sur le plan de contrôle, tandis que le plan physique continue de fonctionner.