Ramsdata

+48 22 671 24 89

kontakt@ramsdata.com.pl

logo.png
CONTACT

Certes Networks et la segmentation cryptographique dans les réseaux industriels

Le réseau industriel (OT – Operational Technology) est l’un des domaines les plus difficiles de la cybersécurité. Les systèmes SCADA, les automates programmables, les systèmes DCS et les dispositifs IoT industriels ont été conçus dans une optique de disponibilité et de déterminisme, et non de sécurité. Beaucoup fonctionnent sur des protocoles obsolètes, ne prennent pas en charge le cryptage et ne peuvent pas être mis à jour sans risquer un arrêt de la production. Certes Networks propose une approche de la protection de ces environnements qui ne nécessite pas la modification ou le remplacement des appareils existants – la segmentation cryptographique.

Table des matières

  1. Spécificités de la sécurité des réseaux industriels (OT)
  2. Pourquoi les approches traditionnelles en matière de sécurité ne fonctionnent-elles pas dans le domaine des technologies de l’information ?
  3. Qu’est-ce que la segmentation cryptographique ?
  4. Comment les réseaux Certes mettent-ils en œuvre la segmentation cryptographique ?
  5. Confiance zéro dans les environnements OT avec Certes
  6. Visibilité et suivi du trafic OT
  7. Cas d’utilisation – énergie, fabrication, infrastructures critiques
  8. Principales conclusions
  9. FAQ
  10. Résumé

Spécificités de la sécurité des réseaux industriels (OT)

Les réseaux OT diffèrent fondamentalement des réseaux informatiques en termes de priorités de sécurité. En informatique, la priorité est CIA (Confidentialité, Intégrité, Disponibilité) – avec un accent sur la confidentialité. En OT, la priorité est une CIA inversée – la disponibilité est absolument prioritaire, puis l’intégrité et la confidentialité en dernier lieu. Les temps d’arrêt des chaînes de production coûtent des centaines de milliers d’euros par heure, de sorte que toute mesure de sécurité susceptible de provoquer ou de risquer des temps d’arrêt est rejetée par les exploitants d’installations informatiques.

Les appareils des réseaux OT sont des systèmes embarqués souvent dotés de systèmes d’exploitation vieux de plusieurs décennies, sans possibilité d’installer des logiciels de sécurité, sans mises à jour des micrologiciels des fabricants, avec des protocoles de communication (Modbus, DNP3, Profibus, OPC) qui n’ont pas été conçus en tenant compte de la sécurité. La convergence IT/OT – l’intégration des réseaux de bureau avec les réseaux de production à des fins d’industrie 4.0 – augmente considérablement la surface d’attaque des environnements industriels. Les Certes Networks dans l’offre de Ramsdata sont des solutions spécialisées de chiffrement et de segmentation pour les environnements d’entreprise et industriels.

Pourquoi les approches traditionnelles en matière de sécurité ne fonctionnent-elles pas dans le domaine des technologies de l’information ?

Un pare-feu entre le réseau informatique et le réseau OT (ce que l’on appelle la DMZ industrielle) est une bonne pratique, mais insuffisante : il ne protège pas contre le trafic latéral au sein du réseau OT, ne crypte pas les communications entre les appareils et ne résout pas le problème des protocoles non sécurisés.

L’installation d’agents de sécurité sur les dispositifs OT n’est généralement pas possible – les contrôleurs PLC ou DCS ne prennent pas en charge les logiciels externes. La microsegmentation par VLAN est limitée et ne permet pas le cryptage. Le remplacement des appareils OT par des appareils plus récents et sécurisés est prohibitif et souvent impossible en raison de la continuité de la production. Certes Networks propose une approche qui contourne ces limitations – le cryptage et la segmentation sont appliqués de manière transparente, en ligne, sans modifier les appareils OT.

Qu’est-ce que la segmentation cryptographique ?

La segmentation cryptographique est une approche qui consiste à isoler des segments de réseau en chiffrant le trafic entre eux, plutôt que d’utiliser des mécanismes de réseau traditionnels (VLAN, pare-feu). Au lieu de se demander « qu’est-ce qui est autorisé entre les segments ? », la segmentation cryptographique se demande « qui peut lire ce trafic ? ». Seuls les appareils appartenant au même groupe cryptographique peuvent décrypter et lire les messages – les autres appareils voient un trafic crypté et illisible.

Ce modèle présente des avantages essentiels pour les environnements OT. Le chiffrement est appliqué de manière transparente – les dispositifs OT ne savent pas que leurs communications sont chiffrées. Aucune modification des appareils ou des logiciels n’est nécessaire. Les politiques de segmentation sont définies de manière centralisée et appliquées par une appliance Certes dédiée, et non par les appareils OT eux-mêmes. Même si un pirate accède physiquement à un segment du réseau OT, il ne pourra pas lire les communications entre les appareils d’autres groupes cryptographiques.

Comment les réseaux Certes mettent-ils en œuvre la segmentation cryptographique ?

Certes Networks met en œuvre la segmentation cryptographique grâce à des dispositifs CryptoFlow Net Protector (CNP) installés en ligne dans le réseau OT, sans modifier l’infrastructure existante. Les CNP sont transparents pour le trafic du réseau : les dispositifs OT ne connaissent pas leur existence et communiquent normalement. Les CNP chiffrent le trafic sur la base de politiques définies de manière centralisée dans le système de gestion Certes (CipherTrust Manager ou Certes CipherPoint).

Les groupes cryptographiques sont des segments logiques entre lesquels le trafic est autorisé et crypté. Les appareils affectés au même groupe peuvent communiquer, les appareils appartenant à des groupes différents ne le peuvent pas, même s’ils se trouvent physiquement sur le même réseau. La modification des politiques de segmentation s’effectue de manière centralisée et est immédiatement appliquée par tous les CNP du réseau – pas de temps d’arrêt, pas de reconfiguration des appareils OT.

Confiance zéro dans les environnements OT avec Certes

La confiance zéro dans le domaine des technologies de l’information ne consiste pas simplement à transférer le modèle informatique à un environnement industriel – elle nécessite une adaptation aux spécificités, où l’indisponibilité des appareils (pour les agents, les mises à jour) est la norme. Certes Networks met en œuvre les principes de la confiance zéro par le biais d’une segmentation cryptographique sans agents sur les appareils protégés.

Dans l’environnement Certes, la devise  » Ne jamais faire confiance, toujours vérifier  » se traduit par le fait que chaque connexion entre segments nécessite une autorisation cryptographique, que les appareils ne peuvent communiquer qu’au sein de groupes cryptographiques autorisés, que toute connexion non autorisée est automatiquement cryptée et illisible, et que tous les flux de données sont enregistrés de manière centralisée. C’est la confiance zéro adaptée à la réalité de l’OT – pas d’agents, pas de modifications des appareils, pas de risque de temps d’arrêt. Pour en savoir plus sur les solutions de sécurité pour les réseaux industriels, visitez le site de Ramsdata.

Visibilité et suivi du trafic OT

L’un des plus grands défis dans les environnements OT est le manque de visibilité – on ne sait pas quels appareils existent sur le réseau, quels protocoles ils utilisent et quels sont les schémas de communication normaux. Certes Networks offre une visibilité sans installer d’agents en analysant passivement le trafic réseau.

Le système de surveillance Certes identifie les appareils OT en fonction de leurs communications réseau, cartographie les flux de données entre les appareils et détecte les anomalies – connexions inattendues, protocoles inconnus, trafic non autorisé entre les segments. Cette visibilité est la base d’une politique de segmentation cryptographique efficace – afin de définir les bons groupes, vous devez d’abord comprendre qui communique avec qui dans le réseau OT.

Cas d’utilisation – énergie, fabrication, infrastructures critiques

Le secteur de l’énergie et des services publics est un secteur où la sécurité des technologies de l’information est essentielle à la sécurité publique. Les systèmes SCADA qui contrôlent la distribution d’énergie, les stations d’épuration ou les réseaux de gaz doivent être isolés des réseaux informatiques et des menaces extérieures. Certes Networks est déployé par les opérateurs d’infrastructures critiques pour segmenter les sous-stations électriques, les postes et les centres de dispatching.

La production industrielle nécessite une segmentation entre les lignes de production (afin qu’une attaque sur une ligne ne se propage pas aux autres), entre le réseau OT et l’informatique, et entre les environnements de différents fournisseurs (lorsque des prestataires de services externes ont accès au réseau OT). La segmentation cryptographique Certes permet un contrôle granulaire de cet accès sans reconfigurer l’ensemble du réseau. Les infrastructures de transport (rail, aviation, ports) sont un autre secteur où Certes Networks est déployé pour protéger les systèmes de contrôle du trafic et les infrastructures critiques.

Principales conclusions

  • Les réseaux OT ont inversé les priorités en matière de sécurité par rapport à l’informatique : la disponibilité passe avant tout.
  • Les outils de sécurité traditionnels (agents, pare-feu) ne fonctionnent pas pour les dispositifs OT qui ne peuvent pas être modifiés.
  • La segmentation cryptographique Certes isole les segments en chiffrant le trafic, et non par des mécanismes de réseau.
  • La mise en œuvre est transparente pour les dispositifs OT – aucune modification ou temps d’arrêt n’est nécessaire.
  • Les groupes cryptographiques définissent qui peut communiquer avec qui et échanger des données lisibles.
  • Certes offre une visibilité du réseau OT sans agents et une confiance zéro sans modification des appareils.

FAQ

La segmentation cryptographique de Certes a-t-elle une incidence sur la latence du réseau OT ? Oui, mais de manière minimale. Les circuits cryptographiques dédiés des PCN réduisent au minimum le temps de latence supplémentaire, qui est généralement inférieur à 1 ms, ce qui est acceptable pour la plupart des protocoles d’OT.

Comment Certes gère-t-il les protocoles OT (Modbus, DNP3) ? Certes crypte le trafic de manière transparente au niveau du réseau – il ne traite pas le contenu des protocoles OT. Les appareils communiquent normalement via Modbus, DNP3, etc., et Certes CNP crypte ces transmissions sans les modifier.

La mise en œuvre de Certes nécessite-t-elle une interruption du réseau OT ? La mise en œuvre de la CNP en ligne peut nécessiter de courts intervalles de maintenance (quelques minutes) lors de l’installation physique. Les modifications ultérieures des politiques cryptographiques sont appliquées sans interruption de service.

Comment gérer les clés cryptographiques dans l’environnement Certes ? Certes CipherTrust Manager ou Certes CipherPoint gèrent les clés de manière centralisée. La rotation des clés se fait automatiquement en fonction de la politique de sécurité, sans interférer avec les appareils OT.

Résumé

La segmentation cryptographique de Certes Networks est une approche de la sécurité OT qui respecte les réalités des environnements industriels – le besoin de disponibilité, la non-modifiabilité des appareils et le déterminisme des communications. Le déploiement transparent en ligne sans temps d’arrêt, la confiance zéro sans agents et la visibilité totale du réseau OT créent une solution pratique pour les secteurs où d’autres approches échouent. Contactez Ramsdata – un partenaire Certes Networks – pour discuter de la mise en œuvre de la segmentation cryptographique dans votre réseau industriel.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

error: Content is protected !!