Modbus TCP reste l’un des protocoles de communication les plus couramment utilisés dans les systèmes de contrôle industriel (ICS). Sa simplicité et son large support par les fournisseurs l’ont rendu indispensable — mais aussi très exposé. Contrairement aux protocoles informatiques modernes, Modbus TCP n’offre pas de chiffrement, d’authentification ni de contrôle d’intégrité.
Un seul paquet non filtré peut lire ou écrire directement à un automate programmable (PLC), pouvant potentiellement modifier le comportement de systèmes critiques.

Pour les opérateurs industriels, la question n'est pas de savoir si Modbus TCP peut être remplacé — il s'agit de savoir comment le sécuriser efficacement dans des réseaux modernes et connectés.
Les meilleures pratiques suivantes décrivent une approche pratique et en couches qui s’adapte à la fois aux réalités opérationnelles et aux cadres de conformité tels que CMMC, IEC 62443 et NIS2.

Modbus TCP fonctionne sur le port TCP 502, transmettant des requêtes et des réponses entre un client (généralement un système HMI ou SCADA) et un ou plusieurs serveurs (PLC ou RTU).
Il n'y a pas de mécanismes intégrés pour :

• Authentification (n’importe quel hôte peut envoyer des commandes)

• Chiffrement (les données et les instructions de contrôle sont transmises en texte clair)

• Validation de session (pas de vérification d’origine ou de protection contre la réutilisation)

Dans les réseaux industriels plats, tout appareil pouvant atteindre le port 502 peut émettre des commandes de contrôle. Cette simplicité, bien que idéale pour la communication déterministe, présente des défis évidents en matière de cybersécurité et de sécurité.

Une des manières les plus efficaces de protéger le trafic Modbus est de limiter la portée du réseau. Dans de nombreux environnements industriels, les réseaux OT ont grandi de manière organique, conduisant à de grands domaines de diffusion de couche 2 incluant des centaines d'appareils. Chaque nœud supplémentaire augmente le potentiel d’accès non autorisé et la complexité du suivi.

Ajuster la taille des réseaux implique :

• De diviser l’usine en zones logiques basées sur la fonction du processus (par exemple, ligne de production, utilitaires, emballage).

• De minimiser les domaines de diffusion en divisant les grands segments de couche 2 en sous-réseaux routés plus petits.

• De s'assurer que les appareils ne communiquent qu’avec les systèmes nécessaires à leur fonctionnement.

Réduire la taille d'un réseau Modbus rend à la fois la segmentation et la surveillance plus pratiques, tout en améliorant la résilience contre les mauvaises configurations ou les activités malveillantes.

La segmentation sépare les actifs critiques des non-critiques et limite la manière dont les paquets Modbus traversent le réseau.

Les réseaux locaux virtuels (VLANs) sont la méthode la plus courante pour isoler le trafic.
Cependant, les VLANs s’appuient sur la configuration des commutateurs et peuvent toujours permettre la communication croisée si le routage ou le trunking est mal configuré.
Les VLANs doivent être considérés comme des frontières organisationnelles, pas de sécurité.
Ils fournissent un regroupement logique mais pas une isolation réelle.

Les approches modernes utilisent la segmentation définie par logiciel ou les réseaux superposés pour créer des enceintes virtuelles autour des actifs Modbus. Chaque enceinte applique des règles d'accès — définissant quels clients peuvent initier des sessions Modbus, quels codes de fonction sont autorisés et quels blocs de données peuvent être accessibles. Contrairement aux VLANs, ces enceintes ne sont pas liées à la topologie physique, ce qui les rend plus faciles à déployer sur des sites distribués.

Ce modèle est aligné avec le concept de "zones et conduits" de l’IEC 62443, transformant chaque interaction réseau en un événement contrôlé et surveillé.

Un proxy (ou passerelle) peut agir comme un point de terminaison contrôlée pour le trafic Modbus. Au lieu de connecter directement les HMI ou historiens aux PLCs, toutes les requêtes Modbus passent par le proxy, qui peut :

• Valider l'identité de la source et les codes de fonctions

• Appliquer la limitation de débit et la liste blanche de commandes

• Consigner toutes les requêtes pour l'audit et la conformité

• Traduire ou filtrer les commandes pour les appareils non conformes

Application centralisée des politiques : Simplifie la gestion des règles d'accès à travers plusieurs PLCs. Surveillance et détection d'anomalies : Permet l'inspection des charges Modbus pour détecter des schémas inhabituels.

Conversion de protocoles : Peut fournir le chiffrement ou l'authentification moderne en amont tout en maintenant la communication Modbus héritée en aval.

Dans les architectures Zero Trust, ces proxies forment des micro-DMZs autour de chaque zone de contrôle, empêchant les mouvements latéraux non autorisés et créant des limites d'audit naturelles.

• Les pare-feu restent essentiels mais doivent être configurés avec précision.

• Des règles de base comme "autoriser le port 502 de X à Y" offrent une protection minimale.

• Les configurations de pare-feu modernes pour les réseaux Modbus devraient inclure :

• Liste blanche des IP source et destination

• Inspection d’état des sessions TCP

• Limitation du débit pour les rafales de trafic Modbus

• Inspection en profondeur des paquets (DPI) lorsque prise en charge

Là où c’est possible, les pare-feu devraient imposer des règles spécifiques à Modbus, bloquant les codes de fonction inutilisés ou les tailles de charges inattendues. Combiner des pare-feu contextuels avec la segmentation offre à la fois une couverture de performance et de sécurité.

L'accès à distance est l'une des sources les plus courantes de compromission dans les environnements ICS. Les techniciens ou les fournisseurs se connectant via des VPNs obtiennent souvent un accès réseau étendu. Une conception plus sécurisée limite les sessions à distance à des enceintes définies et applique :

• Authentification multi-facteurs

• Fenêtres d'accès limitées dans le temps

• Enregistrement des sessions pour l’audit

• Chiffrement de tout le trafic Modbus à distance

L’utilisation de VPNs basés sur l’identité moderne ou de connexions superposées assure que les utilisateurs à distance n'atteignent que les systèmes qu'ils sont autorisés à gérer — et non l'ensemble du réseau OT.

La visibilité est fondamentale pour maintenir la confiance dans les réseaux Modbus.
Les cadres de conformité comme CMMC et IEC 62443 exigent une surveillance démontrable à la fois de l'activité réseau et de l'application des contrôles d'accès.

• Détecter les sessions Modbus non autorisées ou de nouveaux maîtres sur le réseau.

• Alerter sur l'utilisation inhabituelle des codes de fonction, comme les commandes d'écriture pendant les heures normales de production.

• Suivre les changements de bande passante ou l'activité de scan.

• Maintenir une découverte continue des actifs pour détecter les contrôleurs ou les stations de travail d'ingénierie nouvellement ajoutés.

Pour répondre aux exigences de preuve de conformité :

• Consigner toutes les sessions Modbus avec des horodatages et le contexte de l’utilisateur.

• Stocker les événements de pare-feu et de proxy dans un système central (SIEM ou serveur de log).

• Corréler les données réseau avec les journaux d'accès utilisateur provenant des fournisseurs d'identité.

• Examiner les rapports régulièrement pour valider les politiques d'accès au privilège le plus faible.

Les plateformes modernes de surveillance ICS peuvent intégrer le contexte spécifique à l’OT, permettant aux équipes d’identifier rapidement un comportement dangereux et de générer des rapports alignés sur les normes réglementaires.

Sécuriser Modbus TCP nécessite plusieurs couches travaillant ensemble :

• La segmentation du réseau isole les systèmes.

• Les proxies et passerelles appliquent un contrôle granulaire.

• Les pare-feu et VPNs restreignent les points d’entrée.

• La surveillance et la journalisation fournissent visibilité et preuve de conformité.

Chaque couche compense le manque de sécurité intégrée du protocole.
Lorsqu’elles sont correctement combinées, elles forment un modèle de défense en profondeur transparent pour les opérations mais résilient face aux attaques.

Trout’s Access Gate fournit une DMZ définie par logiciel devant chaque actif Modbus. Il authentifie les sessions, inspecte les commandes et applique des politiques du moindre privilège — sans nécessiter de modifications aux PLCs ou commutateurs.
Le trafic entre les enceintes est chiffré et journalisé, permettant à la fois la visibilité opérationnelle et la création de rapports de conformité.

Cette architecture permet aux organisations de passer de réseaux plats, protégés par un périmètre à un modèle de surcouche Zero Trust — qui peut être déployé progressivement dans les usines et les sites distants.

La simplicité de Modbus TCP l’a maintenu pertinent pendant des décennies, mais il doit désormais fonctionner dans des environnements beaucoup plus connectés et réglementés. Les règles de pare-feu basiques ne suffisent plus. En combinant la segmentation, le contrôle basé sur proxy, l’isolation VPN, et la surveillance continue, les organisations industrielles peuvent protéger les protocoles hérités sans sacrifier le temps de fonctionnement ou l’interopérabilité.

C’est le fondement d’une cybersécurité industrielle résiliente.