Explication des réseaux superposés

Explication des réseaux superposés

Comment fonctionne la technologie overlay dans les réseaux industriels

L’une des premières questions que nous posent les professionnels IT lorsqu’on leur présente Access Gate est souvent :
« Mais concrètement, comment fonctionne votre réseau overlay ? »

Pouvoir migrer des équipements vers un réseau sécurisé sans recâbler ni reconfigurer l’infrastructure, c’est plutôt séduisant, non ?
Cela peut même sembler un peu magique… ou trop beau pour être vrai ?

La réalité est bien plus simple. Elle repose sur des mécanismes standards des réseaux IP, comme le routage et la traduction d’adresses bidirectionnelle (NAT).

Prenons un moment pour démystifier tout cela.
Et si vous souhaitez sécuriser votre site avec Access Gate, notre équipe est accessible ici.

Étape 1 : Le réseau industriel traditionnel

Dans l’OT, la disponibilité passe souvent avant la sécurité.
La majorité des réseaux industriels reposent encore sur des architectures plates (Layer 2) ou basées sur des VLANs, avec très peu de segmentation réelle.

Principales caractéristiques :

  • Réseaux plats : Les équipements de plusieurs zones partagent les mêmes sous-réseaux, ce qui facilite les mouvements latéraux en cas de compromission.

  • Frontières statiques : L’accès est défini par des VLANs ou des firewalls, des mécanismes sujets à erreur, rigides, et difficiles à faire évoluer.

  • Protocoles anciens : Le trafic OT (Modbus, DNP3, S7…) circule en clair, sans chiffrement ni authentification.

  • Aucune gestion d’identité : L’accès est accordé sur la base d’adresses IP ou MAC — sans traçabilité fine, ni contrôle par utilisateur.

Étape 2 : Déployer un Access Gate

Le déploiement d’un Access Gate crée automatiquement un réseau overlay sécurisé, sans modifier les adresses IP existantes, sans reconfigurer les VLANs, et sans aucun arrêt de production.

  • Création dynamique de l’overlay: Une couche réseau virtuelle est établie (ex : 100.64.0.0/16), indépendante des VLANs et de la topologie physique.
    Elle permet une segmentation massive et flexible, sans les limites traditionnelles des réseaux OT.

  • Passerelle intelligente et transparente: L’Access Gate agit comme un pont entre le réseau physique et l’overlay sécurisé, en assurant le routage des flux entre les deux mondes — sans perturber les communications existantes.

  • Intégration sans friction: Les équipements restent inchangés. La résolution DNS permet d’atteindre les adresses overlay automatiquement, sans aucune reconfiguration locale.

🔎 Note : Le réseau overlay utilise la plage d’adresses 100.64.0.0/16, appartenant à l’espace CGNAT (Carrier-Grade NAT).
Cela garantit l’absence de conflit avec le routage Internet ou les adresses IP publiques.

Étape 3 : Communications sécurisées via l’overlay

Toutes les communications transitent par l’Access Gate, qui agit comme un point de contrôle intelligent. Il assure la sécurité, la journalisation et la supervision sans modifier l’infrastructure physique existante.

  • Sécurité centralisée et en temps réel: Chaque flux passe par l’Access Gate, où sont appliqués : 1. authentification des utilisateurs ou systèmes, 2. contrôle d’accès basé sur des politiques, 3. journalisation complète des échanges

  • Modèle de confiance adaptable:

    • Mode proxy avancé (si le protocole le permet) :
      L’Access Gate établit une communication biface entre les actifs, permettant un contrôle fin et contextuel des protocoles OT.

    • Mode tunnel chiffré (fallback) :
      Si le proxy n’est pas possible, un tunnel chiffré jusqu’au middleware est utilisé, assurant une isolation forte et une confidentialité renforcée, bien au-delà des capacités du réseau sous-jacent.

  • Migration sans interruption: Les actifs peuvent migrer progressivement vers l’overlay, sans coupure, sans recâblage, sans modification des configurations existantes.

🔎 Astuce migration DNS :
L’usage d’un double schéma de nommage DNS facilite la transition :
Chaque machine reste accessible via son IP originale (ex. 10.0.1.8.fabcore.tr-sec.net) et via un nom lisible (ex. asset4.fabcore.tr-sec.net).
Cela garantit la compatibilité avec l’existant, tout en offrant une adressage structuré et clair dans l’overlay.

Étape 4 : Sécuriser totalement le réseau sous-jacent

Une fois l’overlay déployé, il devient possible de verrouiller complètement l’infrastructure physique.
Le réseau sous-jacent se transforme en substrat sécurisé, où seuls les flux authentifiés de l’overlay sont autorisés à circuler.

  • Isolation au niveau des switches: Activez les fonctions d’isolation de ports sur les switches pour créer des barrières physiques :

    • Plus aucun équipement ne peut communiquer directement avec un autre sur le réseau local.

  • Politiques de trafic via l’Access Gate uniquement: Déployez des règles de firewall à états (stateful) pour n’autoriser que les flux provenant de l’Access Gate.

    • Il devient l’unique point d’entrée et de contrôle du trafic réseau.

  • Architecture Zero Trust native: Chaque communication, sans exception, doit passer par l’overlay surveillé. Cela élimine toute possibilité d’accès non autorisé ou non tracé, et renforce l’alignement avec les modèles de sécurité modernes.