Zero Trust pour les systèmes on-premise et legacy
Une couche de sécurité logicielle sur votre réseau existant. Sans dépendance cloud, sans recâblage, sans temps d'arrêt.
Trusted by leading companies
You are about to access ACME CUI Server:
- Proceed according to our internal security policy.
- You can contact IT at it@acme.com
Les réseaux plats reposent sur une confiance implicite.
Dans la plupart des usines et des sites, le réseau est plat : une fois qu'un utilisateur, un sous-traitant ou un appareil y est connecté, il peut presque tout atteindre. La confiance est implicite, accordée par la localisation réseau plutôt que par l'identité. Un seul ordinateur portable hameçonné, un fournisseur sur-privilégié ou un hôte de rebond compromis hérite de cette confiance et se déplace latéralement vers les systèmes qui comptent.
Les correctifs traditionnels ne conviennent pas à l'OT. Les agents ne peuvent pas être installés sur les PLCs, HMIs ou RTUs. Les proxys routés via le cloud rompent la disponibilité et les règles de résidence des données. Les VPNs étendent le réseau plat aux utilisateurs distants au lieu de les contraindre. La couche de contrôle continue de fonctionner en supposant que toute personne à l'intérieur est digne de confiance.
Le Zero Trust remplace la confiance basée sur la localisation par une identité vérifiée à chaque session. La difficulté en OT consiste à l'appliquer sans toucher aux terminaux ni recâbler le réseau, ce qui est précisément là où un overlay au niveau réseau prend tout son sens.
Le Zero Trust, appliqué là où les agents ne peuvent aller.
Le Zero Trust, tel que défini dans le NIST 800-207, repose sur quelques principes : ne jamais faire confiance par défaut, vérifier chaque requête par l'identité, accorder le moindre privilège et supposer une compromission afin qu'un seul compte compromis ne puisse atteindre l'ensemble du parc. Le modèle est bien compris. La difficulté réside dans sa mise en œuvre sur des équipements qui ne peuvent pas exécuter d'agent.
L'Access Gate applique ces principes au niveau réseau. Chaque session est authentifiée auprès de votre fournisseur d'identité existant, autorisée par actif et protocole, et journalisée en continu. Les ressources auxquelles un utilisateur n'a pas droit sont masquées, invisibles au niveau réseau, de sorte que la surface d'attaque se réduit exactement à ce que chaque identité est autorisée à voir.
Le Zero Trust sans recâblage ni agents.
Overlay, opérationnel en quelques heures.
L'Access Gate se déploie comme un overlay défini par logiciel sur le réseau existant. Sans agents sur les terminaux, sans changement de VLAN, sans temps d'arrêt. Le contrôle d'accès basé sur l'identité, le chiffrement et la journalisation par session sont immédiats, et chaque ressource est masquée des identités qui n'y sont pas autorisées.
Appliquer le moindre privilège à tout le parc.
Les sessions migrent derrière la gate, qui devient le point d'application : politique par utilisateur, appareil et protocole, MFA depuis votre IdP existant, et vérification continue qui ré-authentifie lorsque le risque évolue. Les nouveaux actifs, usines ou sites sont ajoutés par un changement de configuration, pas par une reconception réseau.
NIST 800-171, NIS2 et IEC 62443, attestés en continu.
L'accès lié à l'identité correspond directement aux familles de contrôle d'accès recherchées par les auditeurs : les contrôles AC et IA du NIST 800-171, la gestion d'accès et la journalisation de l'Article 21 de NIS2, et les exigences IEC 62443 d'identification, d'authentification et de contrôle d'usage. Le MFA est appliqué au niveau du proxy, le moindre privilège est la valeur par défaut, et chaque décision est enregistrée.
Parce que l'application et la journalisation se font au niveau de la gate, les preuves d'audit sont générées en continu, avec utilisateur, actif, protocole et horodatage sur chaque session, au lieu d'être reconstituées à partir de journaux d'appareils dispersés la semaine précédant une évaluation.
Où l'accès Zero Trust s'applique.
Accès des tiers et des fournisseurs
Les intégrateurs et les OEM ont besoin d'accéder à des machines spécifiques, pas à l'ensemble de votre réseau. Chaque session fournisseur est authentifiée, limitée à un seul actif et protocole, restreinte dans le temps et enregistrée, afin que la maintenance à distance ne devienne jamais une voie d'accès au réseau plat.
Learn moreOpérations OT privilégiées
Les ingénieurs accédant aux PLCs, HMIs et historiens s'authentifient avec leur identité existante et le MFA. L'accès est au moindre privilège par actif, et chaque action est journalisée, remplaçant les identifiants partagés et l'accès permanent par des sessions vérifiées et auditables.
Learn moreParcs multi-sites et air-gapped
L'overlay fonctionne entièrement sur site sans dépendance cloud, de sorte que la même politique Zero Trust s'applique dans une usine connectée, une sous-station isolée ou une enclave classifiée, gérée de manière centralisée sans étendre la surface d'attaque.
Learn moreZero-Trust Adapté aux Réseaux Industriels
L'Access Gate Trout apporte les principes zero-trust aux environnements où les solutions d'identité traditionnelles ne peuvent pas atteindre.
Accès Identité en Premier
Chaque utilisateur et appareil est authentifié avant d'accéder à toute ressource. Sans exception, sans confiance implicite.
Moindre Privilège
Les utilisateurs voient uniquement ce dont ils ont besoin. Tout le reste est masqué et invisible au niveau réseau.
Vérification Continue
Les sessions sont surveillées en temps réel. Les changements de risque déclenchent automatiquement une ré-authentification.
Cartographie de Conformité
Alignement direct sur les contrôles NIST 800-171 AC, la gestion d'accès NIS2 et les exigences IEC 62443.
Piste d'Audit Complète
Chaque tentative d'accès, décision de politique et session journalisée et consultable pour les preuves de conformité.
Architecture Overlay
Se déploie sur votre réseau existant. Sans recâblage, sans dépendance cloud, sans temps d'arrêt.
Télécharger la Fiche Produit Access Gate.
Obtenez la présentation complète du produit avec les capacités techniques, le modèle de déploiement, l'alignement conformité et les références clients.
Contenu
Architecture produit, modèle de déploiement, capacités clés (application proxy, micro-DMZ, accès basé sur l'identité), alignement conformité et déploiements clients réels.
Voir en Action
Demandez une démo en direct pour voir comment l'Access Gate se déploie sur votre réseau sans recâblage ni temps d'arrêt.
Questions et Réponses
Agents requis. L'Access Gate applique le zero-trust au niveau réseau sans installer de logiciel sur les terminaux, PLCs ou équipements anciens.
Un VPN étend votre réseau plat aux utilisateurs distants, une fois connectés, ils peuvent tout atteindre. L'Access Gate applique des politiques par utilisateur, appareil et ressource. Les utilisateurs voient uniquement ce à quoi ils sont autorisés.
Oui. L'Access Gate applique le contrôle d'accès au niveau réseau, pas sur le terminal. PLCs, HMIs et systèmes SCADA anciens sont protégés sans installer d'agents.
L'Access Gate s'intègre avec Active Directory, Entra ID, Okta et tout fournisseur SAML ou OIDC. Les utilisateurs s'authentifient avec leurs identifiants existants et MFA.
Oui. L'Access Gate fonctionne entièrement sur site sans dépendance cloud. Conçu pour les environnements classifiés, air-gapped et réglementés.
Vous pouvez ajouter de nouveaux actifs, usines ou sites sans réarchitecturer. L'overlay est défini par logiciel, ajouter une nouvelle enclave est un changement de configuration, pas une reconception réseau.
L'Access Gate met en œuvre les piliers du NIST 800-207 au niveau réseau : chaque session est vérifiée par l'identité, dotée du moindre privilège par actif et protocole, et évaluée en continu, les ressources non autorisées étant masquées. Cela se fait sans agents sur les terminaux, couvrant ainsi les systèmes OT et legacy que les outils Zero Trust basés sur des agents ne peuvent atteindre.