TroutTrout

Exemple de procédure de réponse aux incidents

Un guide pas à pas de réponse aux incidents et de reprise OT avec Access Gate, couvrant la détection, la mise en quarantaine et la reprise des opérations.

3 min read · Last updated 2026-07-15

Ce document présente un exemple de procédure de réponse à un incident OT et l'utilisation d'Access Gate à chaque phase : détection, quarantaine et reprise.

Ceci est un modèle évolutif: adaptez les seuils, les actifs et les actions à votre propre installation et à votre propre runbook, puis cochez chaque étape au fur et à mesure.

Phase 1 : Détection

Cette phase a lieu avant tout incident, lors de la configuration du système. Access Gate génère des détections à partir du comportement des actifs et d'un ensemble de règles configurables, puis les transmet à votre SIEM, de sorte qu'en cas de problème, l'alerte parvient déjà à vos intervenants là où ils travaillent.

  • Accédez à Rules → Configure Forward et dirigez Access Gate vers votre SIEM.
Configuration du transmetteur
Configuration du transmetteur

Pour la configuration complète, consultez Transfert de journaux et export SIEM. Des guides plus détaillés sont disponibles pour des systèmes SIEM spécifiques :

Phase 2 : Quarantaine

C'est ici que commence la réponse à l'incident. Une alerte parvient à votre SIEM, et vous vous connectez à Access Gate pour agir.

Pour un cas urgent, mettez l'actif en quarantaine directement :

  • Ouvrez l'actif et définissez son statut sur In Maintenance ou Disabled. Cela suspend toutes les communications vers et depuis cet actif.
Statut de l'actif
Statut de l'actif

Pour les cas non urgents, mettez en quarantaine au niveau du flux.

Passez par l'enclave de l'actif plutôt que de l'arrêter complètement :

  • Ouvrez l'enclave et examinez les communications entrantes et sortantes de l'actif.
  • Identifiez le comportement à risque.
  • Désactivez l'accès spécifique qui le véhicule, en plaçant ce flux en quarantaine pendant que le reste de l'actif continue de fonctionner.
  • Maintenez un chemin ouvert pour le dépannage, par exemple une session RDP, afin qu'un ingénieur puisse toujours accéder à l'équipement. Consultez Configurer les flux RDP pour la mise en place.

Phase 3 : Reprise

Après le dépannage de l'équipement, remettez-le en service étape par étape :

  • Réactivez chaque connexion l'une après l'autre.
  • Vérifiez que le trafic semble normal au fur et à mesure.
  • Remettez l'actif en production.

L'application des règles étant portée par l'overlay, vous réactivez les flux au niveau d'Access Gate, sans reconfigurer la machine elle-même. L'actif physique n'a jamais été modifié.

Autorisation du flux Kuka vers le serveur
Autorisation du flux Kuka vers le serveur

Ce que nous avons accompli

Au cours des trois phases, nous avons :

  • Détecté l'incident à partir de règles actives en ligne, et transmis l'alerte au SIEM.
  • Mis en quarantaine le risque, soit en désactivant l'actif directement, soit en coupant uniquement le flux à risque à l'intérieur de l'enclave tout en maintenant l'installation en fonctionnement.
  • Repris en réactivant les flux sur l'overlay, une étape à la fois, sans jamais toucher à l'actif physique.

C'est ainsi que la réponse aux incidents OT et la reprise respectent la disponibilité : le confinement et la reprise s'effectuent sur le plan de contrôle, tandis que le plan physique continue de fonctionner.