Le rôle de la segmentation du réseau dans la cyberdéfense OT

Pour les CISOs, directeurs informatiques, ingénieurs réseaux et professionnels des opérations dans les environnements industriels et d'infrastructure critique, la segmentation du réseau n'est pas simplement une case à cocher - c'est un contrôle fondamental pour une réduction significative des risques. Pourtant, bien que l'informatique ait largement adopté des stratégies de segmentation robustes depuis le début des années 2000, les réseaux de technologie opérationnelle (OT) ont pris du retard, souvent en raison de contraintes héritées, de pressions commerciales pour un temps de fonctionnement maximal, et de l'isolement historique (“air-gap”) de ces systèmes. Cet article propose un examen technique approfondi de la segmentation dans la cyberdéfense OT, en se concentrant sur l'évolution des stratégies de mise en œuvre, les véritables pièges, et ce qui fonctionne aujourd'hui.

Objectif et origines de la segmentation du réseau

La segmentation du réseau se réfère à la subdivision d'un réseau plus large en segments ou enclaves discrets, chacun protégé par des politiques et/ou des limites physiques. Les principales motivations incluent :

• Limiter les mouvements latéraux après un compromis

• Réduire les domaines de diffusion pour améliorer les performances

• Améliorer la surveillance, l'application des politiques et la journalisation

• Limiter le rayon d'impact des attaques et des mauvaises configurations accidentelles

Origines : Le concept remonte à l'époque de l'informatique sur mainframe et a été popularisé avec l'évolution des LAN virtuels (VLANs, IEEE 802.1Q, vers 1998), permettant la séparation logique au sein de commutateurs uniques. Dans le domaine informatique, la segmentation s'est perfectionnée avec les pare-feu, DMZs, et plus tard, des concepts comme la microsegmentation guidée par les principes de Zero Trust.

Les environnements OT, souvent construits sur des réseaux isolés et conçus pour un usage précis, étaient autrefois supposés sécurisés en raison de leur isolement physique. Cependant, à mesure que la demande commerciale pour l'intégration de données augmentait, la connectivité entre l'IT et l'OT aussi, exposant ainsi ces jardins clos à de nouvelles catégories de menaces.

Architecture du réseau OT : faiblesses et hypothèses

Réseaux plats : un risque par conception

La plupart des systèmes de contrôle industriel (SCI) et des réseaux OT ont historiquement adopté des conceptions plates de couche 2/LAN pour la simplicité et la fiabilité, minimisant la complexité pour les techniciens de terrain. Les appareils—PLC, RTU, IHM—étaient largement adressables sur un seul domaine de diffusion, avec peu de barrières entre les dispositifs de l'usine et les stations de travail d'ingénierie ou d'historisation.

Implications :

• Toute compromission (par exemple, une clé USB malveillante, un hameçonnage de la station de travail ingénierie) pourrait rapidement traverser le réseau.

• Pas de confinement naturel pour les logiciels malveillants, rançongiciels, ou comportement incorrect accidentel.

• Les tempêtes de diffusion et les mauvaises configurations se propagent rapidement.

Modèle de Référence Entreprise Purdue (PERA)

Le Modèle Purdue (vers 1990) reste un point de départ canonique pour la segmentation OT. Il organise les actifs et les frontières du réseau en « niveaux » stratifiés :

• Niveau 0/1 : Processus physique, capteurs, actionneurs

• Niveau 2 : Systèmes de contrôle (PLC, DCS, etc.)

• Niveau 3 : Opérations du site (IHM, stations de travail d'ingénierie, historiens)

• Niveau 3.5 : DMZ—point d'interaction avec l'IT

• Niveau 4/5 : IT d'usine/entreprise

De nombreux praticiens considèrent le Modèle Purdue comme sacro-saint, mais y adhérer strictement occulte des décennies d'évolution du réseau et des menaces. Sa valeur sous-jacente est sa tentative de segmenter logiquement les actifs critiques du processus des points finaux orientés vers l'entreprise.

Stratégies de segmentation : mises en œuvre techniques

Approches classiques

• Ségrégation physique : Commutateurs et câblage dédiés. Infranchissable en théorie, mais coûteux et difficile à échelonner.

• Segmentation VLAN : Fournit la séparation du trafic à la frontière de couche 2/3 au sein d'une infrastructure partagée. Facilement mal configurée (sauts VLAN, abus de VLAN natifs), et la sécurité dépend de l'hygiène des ports des commutateurs.

• Zones pare-feu : Utilisation de pare-feu basés sur IP (souvent de qualité industrielle) pour restreindre les flux entre les zones réseau logiques, généralement entre les niveaux Purdue. Nécessite une gestion précise des règles, et l'erreur la plus critique est l'acceptation excessive via des règles « any-any » pour des raisons de commodité opérationnelle.

Tendances modernes : Microsegmentation et limites définies par logiciel

• Microsegmentation : Inspirée par Zero Trust, cette approche applique les politiques au niveau de l'application ou de l'hôte (en utilisant des agents, des pare-feu de nouvelle génération, ou des réseaux de superposition comme VXLAN). Bien qu'elle soit facile à défendre dans les nuages IT ou les microservices, dans les OT — où les appareils sont souvent des ‘boîtes noires’ — la faisabilité technique est souvent limitée.

• Réseaux définis par logiciel (SDN) & technologies de superposition : Des technologies comme VXLAN et des segments basés sur OpenFlow promettent une application dynamique des politiques, une abstraction de la topologie physique, et une inspection du trafic. Cependant, la simplicité opérationnelle, le comportement déterministe, et le support des fournisseurs restent des préoccupations légitimes pour les environnements critiques.

Annotation : Segmentation ≠ Contrôle de sécurité

Créer simplement des segments n'est pas une sécurité en soi. Des politiques de pare-feu sensées, un renforcement robuste des appareils, et une surveillance continue sont non négociables. L'excès de confiance dans la seule segmentation a condamné plus d'un effort de réponse à incident.

Collaboration IT/OT : casse les barrières

Une évaluation honnête : la plupart des échecs d'intégration IT/OT (et vulnérabilités) découlent de problèmes organisationnels, non techniques. Les professionnels de l'informatique peuvent sous-estimer les conséquences opérationnelles des temps d'arrêt (voir : arrêts de production, dépassements de sécurité), tandis que les équipes OT peuvent minimiser l'exploitabilité des systèmes hérités (« Personne ne sait même quel protocole utilise cet onduleur »).

Combler le fossé :

• Établir des comités interfonctionnels pour la conception de projets de segmentation, avec des rôles clairs pour la sécurité IT et l'ingénierie OT.

• Documenter et cartographier toutes les communications critiques : appareil → application → point final. Ne présumez pas que la documentation du protocole est correcte — validez les flux réels.

• Prototyper les changements dans des environnements de laboratoire isolés, surtout lorsqu'on traite des actifs hérités ou mal compris.

• Investir dans des ingénieurs « polyvalents » : ceux avec une connaissance pratique à la fois du réseau IT et des opérations des appareils de terrain.

Connectivité sécurisée : considérations pour le déploiement réel

Même une segmentation « parfaite » est perturbée par les réalités commerciales : soutien à distance, accès fréquent des fournisseurs, protocoles de dispositifs hérités (ICCP, MODBUS, DNP3), et “ajouts rapides” peu sécurisés comme les boîtes de saut. La dette technique est un fait.

Principes clés

• Moindre privilège & listing blanc de protocole : Définir, mettre en liste blanche et surveiller uniquement les communications essentielles du protocole - bloquer tout le reste par défaut.

• Utilisation de DMZs pour les interactions : Ne permettre jamais la communication directe (Niveau 3 ↔ Niveau 5). Exiger que tous les flux traversent une DMZ surveillée, avec des passerelles unidirectionnelles (« diodes de données ») là où c'est pratiquement réalisable pour un vrai air-gapping.

• Authentification forte pour accès distant/fournisseur : Les VPNs doivent se terminer dans la DMZ, appuyés par une authentification multi-facteurs et un enregistrement des sessions. Envisagez la gestion des accès privilégiés (PAM) pour toutes les sessions de tiers.

• Atténuation des appareils hérités : Là où les appareils ne peuvent pas être corrigés ou ne possèdent aucune protection de point final, la segmentation est la seule défense pratique. Envisagez des VLANs isolés, des proxies de rupture de protocole, et des “hôtes de saut” surveillés.

• Surveillance continue & détection des anomalies : Même avec une bonne segmentation, la visibilité est obligatoire. La surveillance passive du réseau (SPANS, écoutes) peut détecter les violations de la politique et les comportements d'attaque nouveaux - même sur des réseaux supposés isolés.

Étude de cas : segmentation ratée

• Attaque Triton/Trisis de 2017 : Les attaquants ont exploité une segmentation faible entre les réseaux IT et systèmes de sécurité de l'usine, utilisant des identifiants par défaut et des outils de bureau à distance pour se déplacer latéralement. L'absence de segmentation stricte et l'absence de surveillance ont facilité le temps de séjour et le ciblage des contrôleurs logiques SIS par les attaquants.

Ce n'était pas uniquement une défaillance technique, mais une erreur de politiques et de supervision : mauvaise segmentation nord-sud, absence de contrôles est-ouest au sein de l'OT, et dérogations opérationnelles au nom de « temps de fonctionnement ».

Recommandations pour les projets de segmentation OT

• Adopter le principe du « refus par défaut » pour les flux inter-segments. Réviser toutes les règles existantes de « permit any ».

• Déployer des pare-feu basés sur des zones et traiter la politique réseau comme du code - soumis à un contrôle des changements et à des examens réguliers.

• Cartographier, étiqueter, et protéger tous les actifs : les appareils inconnus sont souvent ceux qui finissent par être des points de pivot.

• Utiliser le contrôle d'accès réseau (NAC) là où cela est possible, pour empêcher les connexions d'appareils malveillants aux VLANs de confiance.

• S'assurer que la segmentation est couplée avec le flux de travail de réponse aux incidents : pouvez-vous isoler rapidement un segment ou un appareil si nécessaire ?

Conclusion : l'avenir de la segmentation dans les environnements critiques

Il n'y a pas de solution miracle : une segmentation efficace est un parcours itératif, souvent douloureux lorsqu'on gère des réseaux industriels et des contraintes héritées qui ne disparaîtront pas du jour au lendemain. Cependant, une segmentation correctement architecturée - ancrée dans une grande visibilité, le moindre privilège, et une collaboration honnête entre équipes - reste l'un des rares contrôles capables de contenir une défaillance catastrophique, achetée au prix d'une surveillance continue.

Si vous êtes un CISO ou un ingénieur réseau lisant ceci, votre prochaine tâche ne doit pas être de mettre en œuvre la dernière plateforme de micro-segmentation d'un fournisseur, mais de cartographier ce que vous avez réellement - au niveau du fil - et de définir ce qui doit vraiment communiquer avec quoi, et pourquoi. Après cela, la segmentation du réseau devient non seulement possible, mais durable.

Lectures supplémentaires & normes

• Série ISA/IEC 62443 : Sécurité pour les systèmes d'automatisation et de contrôle industriel

• NIST SP800-82 : Guide pour la sécurité des systèmes de contrôle industriels (SCI)

• « Architecture de Référence Entreprise Purdue pour les Systèmes de Contrôle »

• Ressources de Sécurité SANS ICS

Un engagement envers la segmentation est un engagement envers la résilience - pas envers la conformité.