Segmenter l'IT de l'OT sans refonte du réseau
Déployez une micro-segmentation granulaire avec bastions proxy. Sans restructuration VLAN, sans réécriture de pare-feu, sans temps d'arrêt.
Trusted by leading companies
| Principals | Code Repository | |
|---|---|---|
| tcp:3690 | tcp:443 | |
| Alice | Blocked | Blocked |
| Bob | Advanced | Blocked |
| Marc Hoover (microsoft) | Advanced | Blocked |
| Code Repository | ||
Pourquoi les réseaux OT plats échouent à la frontière IT/OT.
La plupart des usines exploitent encore un réseau plat ou faiblement segmenté : le historian, la station d'ingénierie, le serveur SCADA et les PLC se trouvent là où un seul hôte compromis peut atteindre directement la couche de contrôle. C'est ce que laissent derrière elles des années d'ajout de connectivité sur un réseau conçu pour la fiabilité, pas pour la sécurité.
Une DMZ industrielle est censée se situer entre l'IT d'entreprise et l'OT au niveau 3.5, arbitrant uniquement les rares flux qui le traversent légitimement : le flux du historian, la distribution de correctifs, l'accès distant. En pratique, elle accumule services et exceptions jusqu'à devenir une autre zone de confiance, et la frontière s'érode silencieusement.
C'est la surface de risque que les attaquants exploitent. La plupart des incidents OT ne commencent pas sur un PLC, mais sur une station de travail piégée par hameçonnage ou sur une connexion fournisseur trop permissive, puis descendent vers le réseau de contrôle. Combler cette faille relève moins d'un pare-feu supplémentaire que du contrôle des zones autorisées à communiquer entre elles, avec une identité derrière chaque session.
Les zones et conduits IEC 62443, appliqués à l'iDMZ.
IEC 62443 rend la DMZ applicable. Une zone est un groupe d'actifs partageant un même niveau de sécurité. Un conduit est le chemin contrôlé entre zones qui définit exactement quel trafic peut le traverser. Une DMZ industrielle est le conduit entre les zones d'entreprise et OT, et la norme est explicite : nommer les zones est la partie facile.
La partie difficile est de mettre en œuvre les conduits sur un réseau déjà en production. Traditionnellement, cela implique une refonte des VLAN : réadressage des équipements, reconfiguration des commutateurs et arrêt de la production pour la bascule. Pour la plupart des exploitants, cette interruption est le frein qui maintient un réseau plat, et l'iDMZ reste un schéma plutôt qu'une frontière appliquée.
Une DMZ industrielle sans réarchitecturer le réseau.
Déploiement adjacent, zéro perturbation.
L'Access Gate se déploie aux côtés du réseau existant à la frontière de niveau 3.5 et crée un overlay DMZ médiatisé par proxy à travers les zones. Aucun changement de VLAN, aucun agent sur les PLC ou les terminaux OT, aucun arrêt de production. Le trafic inter-zones est arbitré via des proxys authentifiés, et la visibilité ainsi que le contrôle d'accès basé sur l'identité sont opérationnels en quelques heures.
Consolidation vers un tissu Zero Trust.
L'overlay devient la couche d'application. Les systèmes migrent derrière la passerelle via son proxy, sans remplacement intégral des commutateurs, et l'Access Gate devient l'iDMZ : inspection en profondeur des paquets sur les protocoles industriels, politique par utilisateur, appareil et protocole, et journal de session infalsifiable. En quelques jours, pas en quelques mois comme l'exige un projet de consolidation traditionnel.
L'article 21 de NIS2 et IEC 62443, prouvés en continu.
La DMZ médiatisée par proxy se cartographie directement sur les mesures techniques de l'article 21 de NIS2 : segmentation réseau (zones et conduits sans recâblage), contrôle d'accès (basé sur l'identité, MFA imposé au niveau du proxy, moindre privilège par actif et par protocole) et journalisation (chaque session inter-zones enregistrée avec l'utilisateur, l'horodatage et le protocole dans une piste infalsifiable).
L'architecture de zones et conduits IEC 62443 est la mise en œuvre technique reconnue de ces obligations, et l'ANSSI ainsi que les recommandations nationales équivalentes la considèrent comme la voie pour démontrer la segmentation. L'Access Gate produit cette preuve en continu, dès la première session, au lieu de la reconstituer la semaine précédant un audit.
Où le modèle iDMZ s'applique.
Usine brownfield, sans fenêtre de maintenance
Un site qui repousse la segmentation depuis des années parce qu'elle impliquait une refonte des pare-feux et un arrêt de production. L'overlay met sous contrôle la frontière IT/OT en une après-midi, sans toucher au réseau physique, puis consolide derrière la passerelle au cours des jours suivants.
Learn moreParc OT multi-fournisseurs
Un groupe exploitant du Siemens dans une usine, du Rockwell dans la suivante et du Schneider dans une troisième ne peut se standardiser sur l'outillage d'aucun fournisseur. L'overlay DMZ est indépendant du fournisseur : il applique zones et conduits au niveau réseau, au-dessus des PLC et protocoles propres à chaque site, avec une politique centralisée pour l'ensemble.
Learn moreAccès fournisseur et distant vers l'OT
L'accès tiers est la façon la plus courante de franchir la frontière. L'iDMZ arbitre chaque session fournisseur via un proxy authentifié, limitée à un seul actif et protocole et entièrement enregistrée, de sorte que le travail à distance ne signifie jamais une voie d'accès vers le réseau plat.
Learn moreCréer des Frontières IT/OT Sécurisées et Agiles
L'Access Gate Trout rend le déploiement d'une DMZ industrielle pratique, sans reconception réseau, sans impact production, sans expertise spécialisée requise.
Overlay de Segmentation Logique
Établissez des contrôles DMZ sans reconcevoir le LAN.
Protection par Proxy
Tout le trafic inter-zones est acheminé via des proxies authentifiés. Le masquage des actifs cache les ressources aux utilisateurs non autorisés.
Inspection Approfondie des Paquets
Inspectez et gouvernez précisément les communications industrielles.
Compatible avec les Systèmes Anciens
Protège PLCs, HMIs, SCADA et DCS sans nécessiter de modifications sur les équipements.
Flux de Données Déterministes
Appliquez des chemins de communication explicites, directionnels et auditables.
Matrice de Permissions
Contrôle d'accès granulaire par utilisateur, appareil et protocole.
Télécharger la Fiche Produit Access Gate.
Obtenez la présentation complète du produit avec les capacités techniques, le modèle de déploiement, l'alignement conformité et les références clients.
Contenu
Architecture produit, modèle de déploiement, capacités clés (application proxy, micro-DMZ, accès basé sur l'identité), alignement conformité et déploiements clients réels.
Voir en Action
Demandez une démo en direct pour voir comment l'Access Gate se déploie sur votre réseau sans recâblage ni temps d'arrêt.
Questions et Réponses
Modifications réseau requises. L'Access Gate crée des limites de segmentation au niveau applicatif sans toucher les VLANs, pare-feux ou infrastructure physique.
Non. L'Access Gate crée une segmentation logique au niveau applicatif, superposée à votre réseau existant. Il n'y a pas de restructuration VLAN, pas de reconfiguration pare-feu et aucun impact production.
Les pare-feux traditionnels segmentent au niveau réseau et nécessitent des changements de topologie. L'Access Gate segmente au niveau applicatif sans modifier votre conception réseau.
Oui. L'Access Gate protège les appareils sans rien installer dessus. PLCs, HMIs, systèmes SCADA et contrôleurs DCS sont protégés via des bastions proxy.
Un bastion proxy est une passerelle authentifiée qui médiatise tout le trafic traversant une limite de zone.
Oui. L'Access Gate fonctionne entièrement sur site sans dépendance cloud. Il est conçu pour les environnements air-gapped, hybrides et classifiés.
La DMZ médiatisée par proxy assure la segmentation réseau, le contrôle d'accès et la journalisation exigés par l'article 21 de NIS2, et elle met en œuvre directement le modèle de zones et conduits de la norme IEC 62443. Chaque session inter-zones est arbitrée par l'identité et enregistrée dans un journal infalsifiable : les preuves d'audit sont ainsi générées en continu plutôt que reconstituées avant une inspection.