Architecture Zero Trust définition et mise en œuvre on-premise.
Ces dernières années, le terme Zero Trust a parfois été utilisé comme un buzzword marketing. Dans cette ressource, nous revenons sur les principes du Zero Trust et sur la façon de les déployer on-premise, pour l'industrie et l'OT.
Qu'est-ce qu'une architecture Zero Trust ?
Une architecture Zero Trust repose sur un postulat : la position d'un utilisateur, d'un équipement ou d'un flux dans le réseau ne vaut pas autorisation. La confiance implicite accordée à ce qui se trouve « à l'intérieur » disparaît. Chaque demande d'accès est authentifiée, autorisée, puis vérifiée en continu, indépendamment de son origine.
C'est une rupture avec le modèle périmétrique, qui tient pour fiable tout ce qui a franchi le pare-feu. Sur un réseau industriel à plat, ce raccourci a un coût : un poste compromis atteint un automate ou un serveur SCADA sans rencontrer d'obstacle. Le Zero Trust supprime ce chemin.
Trois éléments structurent le modèle : l'identité (qui, ou quoi, demande l'accès), la politique (ce qui est autorisé, selon le principe du moindre privilège) et la vérification continue (le contrôle ne s'arrête pas à l'ouverture de session).
Les principes du Zero Trust
Authentifier & Vérifier
Chaque accès est authentifié et autorisé à partir de l'ensemble des signaux disponibles, identité, équipement et contexte, et non de la seule position sur le réseau.
Moindre privilège
Chaque utilisateur ou système ne reçoit que les accès nécessaires à sa tâche, pour une durée déterminée. Sur un réseau OT, seuls les flux légitimes entre un poste de supervision et l'équipement qu'il pilote sont ouverts.
Supposer la compromission
L'architecture est conçue en partant du principe qu'une partie du réseau est déjà compromise. Segmentation fine, journalisation et cloisonnement des déplacements latéraux confinent l'incident plutôt que de le laisser se propager.
Zero Trust et les référentiels : ANSSI, cadre européen et NIS2
En France, l'ANSSI fait référence pour les opérateurs critiques. Ses recommandations sur le cloisonnement, le contrôle des accès et la journalisation recoupent les principes du Zero Trust, sans toujours en reprendre le vocabulaire. L'agence reste réservée sur les offres « Zero Trust » packagées et recommande une mise en œuvre progressive, adossée à l'existant.
À l'échelle européenne, la directive NIS2 impose des mesures de gestion des risques, segmentation, contrôle des accès et traçabilité, qui relèvent de la même logique. Pour l'OT, la norme IEC 62443 en donne la traduction technique avec ses zones et ses conduits ; l'ENISA en complète les bonnes pratiques.
Le modèle d'architecture le plus cité demeure la publication NIST SP 800-207. Elle nomme les composants d'un système Zero Trust : un point de décision (PDP), qui tranche chaque demande, et un point d'application (PEP), qui exécute la décision au plus près de la ressource. Ce vocabulaire PEP/PDP s'est imposé comme langage commun ; il complète les référentiels français et européens, il ne les remplace pas.
| Référentiel | Rôle vis-à-vis du Zero Trust |
|---|---|
ANSSI France · opérateurs critiques | Cloisonnement, contrôle des accès, journalisation ; mise en œuvre progressive |
NIS2 Union européenne · directive 2022/2555 | Article 21 : segmentation, contrôle des accès, traçabilité |
IEC 62443 Norme technique OT/ICS | Zones et conduits : la traduction technique du cloisonnement |
ENISA Agence européenne de cybersécurité | Bonnes pratiques de sécurité des systèmes industriels |
NIST SP 800-207 États-Unis · modèle de référence | Composants PEP/PDP, micro-segmentation, vérification continue |
Zero Trust on-premise : pourquoi l'industrie et l'OT ne peuvent pas dépendre du cloud
La plupart des offres Zero Trust du marché font transiter le contrôle des accès par un service cloud. En environnement industriel, l'hypothèse tient rarement : les réseaux OT sont cloisonnés, parfois isolés (air-gapped), et la production ne peut pas dépendre d'un service tiers.
Trois contraintes imposent une mise en œuvre on-premise :
- Souveraineté : les flux et les journaux d'un système critique n'ont pas à quitter le site, ni le territoire.
- Latence : les boucles de contrôle ne tolèrent pas le détour par un point de présence distant.
- Continuité : un site doit rester opérationnel même privé de lien internet.
Le Zero Trust on-premise applique les mêmes principes, mais le point de décision et le point d'application restent sur site, sous le contrôle de l'exploitant. C'est ce qui rend le modèle applicable à un environnement industriel sans transiger sur la disponibilité ni la souveraineté.
Zero Trust, défense en profondeur et modèle Purdue pour l'OT
Le Zero Trust ne se substitue pas à la défense en profondeur : il la prolonge. Celle-ci superpose des couches de protection, pare-feux, DMZ, durcissement, en supposant qu'aucune n'est infaillible. Le Zero Trust y ajoute une vérification à chaque couche, y compris à l'intérieur du périmètre, là où la défense en profondeur s'arrête le plus souvent.
Le modèle Purdue ordonne les réseaux industriels en niveaux, du procédé physique (niveau 0) à l'informatique de gestion (niveaux 4 et 5), la frontière IT/OT se situant au niveau 3. Il a rendu de réels services, mais ses fondamentaux sont mis à l'épreuve, notamment du fait de la convergence IP et de flux temps réel qui traversent tous les niveaux.
Beaucoup de réseaux paraissent segmentés sur le schéma et restent plats à l'usage. Trois causes l'expliquent :
- Confiance par localisation : un équipement est réputé sûr parce qu'il est sur le bon sous-réseau, si bien qu'un attaquant entré dans une couche hérite de tout ce qu'elle autorise.
- Absence d'identité des équipements : automates, RTU et capteurs dialoguent souvent en clair, sans pouvoir prouver qui ils sont.
- Absence de visibilité sous le périmètre : ni inventaire unifié, ni piste d'audit au niveau des sessions.
Porter le Zero Trust dans l'OT revient à traiter les niveaux Purdue comme des zones de confiance reliées par des conduits contrôlés (IEC 62443), à bloquer les déplacements latéraux par micro-segmentation (PVLAN) au niveau du commutateur, et à appliquer la politique sur le réseau, sans agent sur les équipements. L'adressage IP et le matériel en place sont conservés ; les équipements anciens, incapables d'héberger un agent, sont protégés au même titre que les plus récents.
Comment Access Gate met en œuvre le Zero Trust on-premise
Access Gate se déploie à côté du réseau existant, sans agent sur les équipements OT et sans arrêt de production. Il applique les quatre piliers du Zero Trust au plus près des ressources, entièrement on-premise.
Authentification
Établir l'identité de chaque utilisateur et de chaque système avant tout accès : MFA, écrans d'accès, intégration à l'annuaire.
Contrôle
Appliquer le moindre privilège par des règles explicites, entre zones, par utilisateur et par protocole. Tout flux non prévu est refusé par défaut.
Proxy
Relayer les sessions par un proxy qui applique la politique au plus près de la ressource, sans rien installer sur l'équipement.
Audit
Journaliser et enregistrer chaque session pour une traçabilité à intégrité prouvée, directement exploitable en audit.
Architecture Zero Trust : l'essentiel.
Vérification explicite, moindre privilège, supposer la compromission, on-premise
Une architecture Zero Trust n'accorde aucune confiance à un utilisateur, un équipement ou un flux au seul motif de sa position dans le réseau. Chaque accès y est authentifié, restreint au moindre privilège et vérifié en continu. Elle s'appuie sur trois piliers : l'identité, une politique d'accès au plus juste et la vérification continue.
Oui. Les principes du Zero Trust, vérification explicite, moindre privilège et hypothèse de compromission, ne dépendent pas du cloud. En environnement industriel, le point de décision et le point d'application restent sur site, sous le contrôle de l'exploitant. C'est une condition pour les réseaux cloisonnés ou isolés, pour la souveraineté des données et pour la continuité de production sans lien internet.
La défense en profondeur superpose des couches de protection en supposant qu'aucune n'est parfaite. Le Zero Trust ne la remplace pas : il la prolonge en exigeant une vérification à chaque couche, jusqu'à l'intérieur du périmètre. Les deux approches sont complémentaires : le Zero Trust comble la confiance implicite qui subsiste une fois le périmètre franchi.
En traitant les niveaux Purdue comme des zones de confiance reliées par des conduits contrôlés (IEC 62443) : chaque franchissement de zone devient un point de vérification. Comme beaucoup d'équipements OT ne peuvent pas exécuter d'agent, le contrôle s'exerce sur le réseau, sans rien installer sur les automates, IHM ou capteurs.
Les mesures de l'Article 21 de NIS2, segmentation, contrôle des accès et journalisation, correspondent à ce qu'une architecture Zero Trust met en place. Concevoir son réseau OT selon ces principes constitue une voie directe vers la mise en conformité NIS2.