L'appel à l'amélioration de l'authentification dans les environnements de Technologie Opérationnelle (OT) devient de plus en plus pressant. Les incidents de la dernière décennie—des compromissions de réseaux électriques aux attaques par ransomware dans les installations d'eau—soulignent les risques liés à une authentification faible ou absente. Dans le monde de l'informatique d'entreprise, l'authentification multifacteur (MFA) est à juste titre considérée comme essentielle. Cependant, mettre en œuvre la MFA dans des réseaux industriels construits avant que l'internet ne soit qu'une curiosité représente un défi conséquent.

Dans cet article, nous examinerons de manière structurée les réalités internes et les contraintes des environnements OT, le contexte technique et historique des protocoles hérités, et les stratégies architecturales pour ajouter la MFA sans causer d'arrêts imprévus ou de défaillance technologique. La sécurité est cruciale—mais il en va de même pour le maintien d'opérations continues et sûres.

La MFA cherche à vérifier l'identité des utilisateurs à travers deux ou plusieurs « facteurs » : quelque chose que vous savez (mot de passe), possédez (jeton ou carte à puce), ou êtes (biométrie). Dans le contexte informatique typique, les implémentations s'appuient sur des protocoles de couche applicative—SAML, RADIUS, LDAP, OAuth, ou des services cloud.

Dans l'OT, la majorité des systèmes hérités ne sont tout simplement pas conçus pour cela. Les IHM peuvent être accessibles via VNC, des clients propriétaires, ou même directement sur le panneau sans connexion de niveau OS. Les protocoles comme Modbus/TCP, Profinet, ou BACnet n'effectuent aucune authentification propre.

• MFA pour VPN : La plupart des VPN robustes (matériels ou logiciels) peuvent être intégrés à une authentification centralisée (RADIUS, SAML, etc.), permettant la MFA même pour les terminaux clients hérités.

• Accès Bureau à Distance/Serveurs Jump : Le NPS (RADIUS) de Microsoft ou des produits tiers peuvent imposer la MFA pour les sessions RDP.

• IHM et Applications basées sur le Web : Lorsque possible, utilisez des fournisseurs SSO/MFA modernes comme une couche supplémentaire pour les interfaces existantes.

Si des améliorations au niveau des appareils sont nécessaires, plaidez pour des mises à jour/remplacements dans le cadre de la planification à moyen ou long terme, et non comme un correctif urgent.

Concentrez-vous sur des contrôles pratiques et externes à l'appareil (serveurs jump, portails VPN, segmentation réseau), testez de manière exhaustive, et favorisez un véritable partenariat entre IT et OT. La route est lente, mais l'alternative—attendre un incident—sera toujours pire.