Le rôle du routing L3 dans la segmentation OT

Introduction

Les environnements de technologie opérationnelle (OT) ont considérablement évolué, avec une numérisation accrue et la convergence des systèmes IT et OT. Une segmentation réseau efficace est reconnue comme un pilier fondamental pour atteindre la sécurité et la résilience dans des contextes industriels tels que les usines de fabrication, les services publics et les infrastructures de transport. Le routing de couche 3 (L3), une technologie bien établie dans les environnements IT traditionnels, voit désormais un regain d'intérêt comme un mécanisme pour une segmentation robuste des réseaux OT.

Ce billet explore l'histoire, les fondations techniques et les considérations de déploiement du routing L3 pour la segmentation OT, offrant des perspectives pratiques pour les CISOs, Directeurs IT, Ingénieurs Réseau et opérateurs d'infrastructure critique.

Contexte historique : Le parcours de la segmentation réseau

L'ère des réseaux plats et ses risques

Les premiers réseaux industriels étaient typiquement des domaines de diffusion de couche 2 (L2) plats, favorisant la simplicité et la facilité de déploiement. Les commutateurs et appareils non gérés proliféraient sur les sols des usines, souvent sans se soucier de la segmentation ou des contrôles d'accès. Cette architecture, bien que pratique sur le plan opérationnel, exposait l'ensemble de l'environnement OT aux mouvements latéraux et aux tempêtes de diffusion — des vulnérabilités pouvant être catastrophiques dans le contexte de logiciels malveillants ou de mauvais réglages involontaires.

Évolution vers le routing de couche 3

Le routing de couche 3, fondamental pour l'architecture de l'Internet moderne, a été introduit dans les réseaux industriels principalement pour améliorer l'évolutivité et le confinement des pannes. Les routeurs ont permis de partitionner les réseaux en sous-réseaux isolés, appliquant un filtrage de trafic basique à la couche IP et fractionnant les domaines de diffusion. Cette avancée, initialement motivée par des préoccupations de performance et de gestion, est désormais exploitée pour ses avantages en matière de sécurité et de résilience.

Fondements techniques : Segmentation de couche 3 dans l'OT

Couche 3 : Principes de base

Au cœur, le routing de couche 3 utilise l'adressage IP et les sous-réseaux, utilisant des routeurs ou des commutateurs de couche 3 pour transférer le trafic entre les segments de réseau en fonction des adresses IP de destination. Contrairement à la segmentation de couche 2 — généralement réalisée à travers des VLANs — dans les architectures L3, le trafic inter-segments est soumis à des politiques de contrôle d'accès et peut être inspecté ou limité en vitesse.

Principaux avantages :

• Isolation des pannes : Les limites de routage contiennent les tempêtes de diffusion, limitant l'étendue des perturbations accidentelles ou malveillantes.

• Contrôle d'accès : Les règles de routing inter-VLAN restreignent quels systèmes peuvent communiquer, soutenant le principe du moindre privilège.

• Intégration avec les outils de sécurité IT : Les frontières L3 sont des points naturels pour implémenter des pare-feu, des solutions de détection d'intrusion et de surveillance.

Protocoles et technologies

Les protocoles de routage les plus utilisés — OSPF, EIGRP et le routage statique — ont mûri pour un usage industriel, avec un comportement déterministe et une surcharge minimale. Les commutateurs industriels modernes supportent souvent le routage L3 nativement, permettant des topologies flexibles.

Note :
Alors que la sélection du protocole de routage est cruciale dans les environnements IT vastes et dynamiques, la plupart des déploiements OT préfèrent le routage statique ou des zones OSPF étroitement contrôlées pour garantir prévisibilité et auditabilité.

Approches de conception : Des VLANs aux segments routés

Segmentation basée sur les VLANs : Forces et faiblesses

Les VLANs ont longtemps servi comme première étape dans la segmentation OT. Cependant, les VLANs seuls ne préviennent pas la communication entre appareils de différents sous-réseaux si l'accès routé inter-VLAN est permis, et leurs garanties de sécurité se dégradent rapidement en cas d'attaques par saut de VLAN ou de mauvaises configurations. Plus critiquement, les domaines de diffusion L2 peuvent permettre la propagation d'attaques à grande échelle.

Routing L3 comme barrière de sécurité

Le routing à L3 ne permet pas seulement la séparation du trafic réseau mais aussi une définition stricte des flux admissibles via des listes de contrôle d'accès (ACL) ou des pare-feu. Cette approche s'aligne étroitement avec les meilleures pratiques recommandées dans des cadres tels que ISA/IEC 62443.

Topologie d'exemple :

• Zone 1 : Réseau de contrôle de processus (par ex., réseaux DCS/PLC)

• Zone 2 : Zone d'interface IT corporate

• Zone 3 : Zone démilitarisée (DMZ)/Hôtes de saut

Chaque zone se voit attribuer son propre sous-réseau IP. Les transitions entre ces zones sont appliquées via des interfaces routées — chacune pouvant avoir différentes postures de sécurité, surveillances, et politiques d'accès.

Collaboration IT/OT : Combler le savoir et la responsabilité

Alignement des normes et du langage

Historiquement, les équipes IT ont pris la tête du routage réseau, tandis que les ingénieurs OT se sont concentrés sur la continuité opérationnelle. Aujourd'hui, une segmentation réussie en L3 nécessite que les deux équipes s'accordent sur les plans d'adressage réseau, les protocoles interopérables, la gestion des changements et les stratégies de surveillance.

Recommandations :

• Utiliser l'inventaire des actifs et les listes d'autorisation de protocoles pour cartographier le trafic inter-segments nécessaire avant déploiement.

• Établir des processus de révision conjointe pour les modifications des politiques de routage ou des ACL, minimisant les temps d'arrêt non planifiés causés par une mauvaise configuration.

• Privilégier des topologies de routage déterministes et documentées, minimisant le routage asymétrique ou l'utilisation de NAT sauf si absolument nécessaire.

Meilleures pratiques et pièges dans le déploiement de la connectivité sécurisée

Segmentation progressive

Peu d'organisations peuvent réarchitecturer leur réseau industriel du jour au lendemain. Les approches progressives — isolant d'abord les sous-réseaux critiques, n'activant le routage inter-segments que pour les protocoles essentiels, et augmentant graduellement la segmentation — trouvent le juste équilibre entre réduction des risques et impact opérationnel.

Visibilité et surveillance

Chaque frontière L3 est un goulet d'étranglement pour la visibilité; tirez parti de cela en déployant des solutions de surveillance, de détection d'intrusion, et de journalisation aux interfaces routées. Envisagez les compromis entre la surveillance en ligne et hors bande pour l'efficacité de la sécurité et la stabilité du système OT.

Pièges courants

• Maintien des règles "any-any" dans les ACL pour la commodité — sapant la valeur de la segmentation.

• Dépendance à des routeurs hérités non gérés sans gestion des correctifs ou contrôle d'accès, introduisant de nouvelles vulnérabilités.

• Négligence des surfaces d'attaque de couche 2 de part et d'autre des frontières routées, entraînant une atténuation des risques incomplète.

Conclusion

Le routing de couche 3 est plus qu'un transfert de l'IT d'entreprise; dans les environnements industriels, c'est un facilitateur crucial pour la segmentation, la réduction des risques, et l'assurance opérationnelle. En adoptant le routing L3 avec précision, les organisations industrielles peuvent construire des réseaux défensibles et résilients qui maximisent le temps de fonctionnement et minimisent l'exposition aux mouvements latéraux et aux perturbations.

Comme pour toutes les interventions architecturales dans l'OT, le succès dépend de la planification minutieuse, de la collaboration étroite IT/OT, et de la gouvernance rigoureuse. Ainsi, les organisations peuvent transformer leurs réseaux de vulnérabilités plates en structures adaptatives et stratifiées bien adaptées à un paysage de risques en rapide évolution.

Références

• ISA/IEC 62443-3-2 : Évaluation des risques de sécurité et conception système

• NIST SP 800-82 Révision 3 : Guide de sécurité pour les systèmes de contrôle industriel (ICS)

• RFC 1812 : Exigences pour les routeurs IP Version 4