TroutTrout
All docs

Protéger un actif avec des Enclaves

Comment tracer une frontière de sécurité autour des systèmes qui comptent le plus.

4 min read · Last updated 2026-04-22

Lors de votre première utilisation d'Access Gate, vous vous demandez peut-être comment créer un périmètre de sécurité autour de vos actifs industriels.

Dans ce tutoriel, nous allons ajouter des actifs dans l'inventaire, créer des enclaves pour gérer les accès, et documenter notre approche à des fins de conformité.

Prérequis

Access Gate doit être configuré pour fournir une couche superposée à votre infrastructure existante (cette opération est généralement effectuée lors de l'installation sur site avec votre équipe IT).

Nous supposons que votre infrastructure existante utilise des adresses dans la plage 10.0.0.0/16 (par exemple 10.0.0.1 et 10.254.23.45 sont valides), et que la couche superposée correspond à la plage 100.64.0.0/16. Vous pouvez le vérifier dans la page « Paramètres », sous l'onglet « Réseau ».

Prérequis
Prérequis

Sous-réseaux dans les préférences d'Access Gate

Si votre schéma d'adressage est différent, pas d'inquiétude — les étapes sont pratiquement identiques, à condition que la configuration affichée dans cet écran corresponde à votre infrastructure réelle.

Enregistrer un nouvel actif industriel

Une fois Access Gate installé et configuré, l'ajout d'un nouvel actif dans l'inventaire est assez simple :

  1. Sélectionnez la page « Assets » dans la barre de gauche.
  2. Cliquez sur le bouton « Create Asset » en haut à droite.
  3. Saisissez les informations de base sur votre actif, par exemple : serveur CUI, PLC32, HMI, processeur de données, capteur…
  4. Ajoutez l'adresse IP de votre actif.
  5. Si votre actif doit agir en tant que serveur et recevoir des connexions, ajoutez les services qui s'exécutent sur cet actif.

Cliquez sur « Save » pour ajouter l'actif à la liste ; votre nouvel actif devrait alors s'afficher.

Vous pouvez ensuite accéder à l'actif que vous venez de créer pour y ajouter des informations complémentaires.

Vue détaillée d'un actif
Vue détaillée d'un actif

En sélectionnant Edit overview, vous pouvez ajouter des informations sur l'actif, telles que l'emplacement, la date d'installation, la description, le niveau de risque…

En sélectionnant Edit network, vous pouvez renseigner le nom DNS, d'autres adresses IP ou services, ainsi que les schémas d'accès distant.

Configuration de l'onglet Réseau pour un actif
Configuration de l'onglet Réseau pour un actif

À ce stade, vous avez enregistré vos actifs dans l'inventaire : ils seront désormais disponibles dans la prochaine étape, consacrée à la configuration des enclaves.

Enclaves

Par défaut, toute connexion avec Access Gate est refusée. Nous allons autoriser deux communications pour assurer le fonctionnement du robot :

  1. Le serveur CAM est autorisé à soumettre des tâches au robot.
  2. Le robot envoie des données de progression à l'historien.

Accédez à la page « Enclaves » et créez une nouvelle enclave, nommée « Robot Picking Workshop », avec le niveau de sécurité « Important » et une description.

Création de l'enclave Robot Picking Workshop
Création de l'enclave Robot Picking Workshop

Enregistrez pour ajouter la nouvelle enclave, puis cliquez sur l'entrée qui vient d'être créée. Dans l'écran de l'enclave, cliquez sur Edit principals pour ajouter des actifs et des utilisateurs à votre enclave.

Sélectionnez le serveur CAM, le service modbus/tcp du robot et le service mqtt de l'historien pour les ajouter à l'enclave.

Ajout du serveur CAM à notre enclave
Ajout du serveur CAM à notre enclave

Utilisez la matrice pour autoriser les deux flux décrits dans cette section : du serveur CAM vers le robot, et du robot vers l'historien.

Autorisation du flux Kuka vers le serveur
Autorisation du flux Kuka vers le serveur

Le serveur CAM devrait maintenant pouvoir envoyer des tâches au robot à l'adresse kuka.fabcore.tr-sec.net ! (En espérant que vous puissiez le tester en conditions réelles.)

Documenter la politique d'accès

Pour votre propre compréhension et pour démontrer la conformité, laissez une explication justifiant l'autorisation de ces flux.

Cliquez sur Edit Overview et renseignez la section « Description » pour ajouter une note, par exemple :

Robot de picking sur le quai de chargement. Les règles autorisent : 1. La soumission de tâches depuis le serveur CAM 2. La journalisation des données vers l'historien

Vous disposez maintenant d'une enclave entièrement configurée et documentée, qui délimite un périmètre strict autour de vos actifs industriels.

Récapitulatif

Félicitations pour la création de votre première enclave ! Le processus comportait plusieurs étapes ; voici les points clés à retenir :

  1. Les actifs ont été enregistrés dans l'inventaire, Access Gate les surveille désormais.
  2. Une enclave a été créée autour de ces actifs pour leur permettre de communiquer.

Les enclaves sont très légères, il est donc judicieux d'en créer plusieurs selon vos besoins métier : par exemple, vous pourriez créer une autre enclave pour gérer le flux de données du robot vers l'historien — essayez !

Access Gate surveille automatiquement les communications réseau entre ces équipements : vous verrez rapidement comment vos utilisateurs accèdent aux nouvelles ressources.

Next
Configurer le chiffrement TLS