Le r\u00e9seau industriel (OT – Operational Technology) est l’un des domaines les plus difficiles de la cybers\u00e9curit\u00e9. Les syst\u00e8mes SCADA, les automates programmables, les syst\u00e8mes DCS et les dispositifs IoT industriels ont \u00e9t\u00e9 con\u00e7us dans une optique de disponibilit\u00e9 et de d\u00e9terminisme, et non de s\u00e9curit\u00e9. Beaucoup fonctionnent sur des protocoles obsol\u00e8tes, ne prennent pas en charge le cryptage et ne peuvent pas \u00eatre mis \u00e0 jour sans risquer un arr\u00eat de la production. Certes Networks propose une approche de la protection de ces environnements qui ne n\u00e9cessite pas la modification ou le remplacement des appareils existants – la segmentation cryptographique. <\/p>\n
Les r\u00e9seaux OT diff\u00e8rent fondamentalement des r\u00e9seaux informatiques en termes de priorit\u00e9s de s\u00e9curit\u00e9. En informatique, la priorit\u00e9 est CIA (Confidentialit\u00e9, Int\u00e9grit\u00e9, Disponibilit\u00e9) – avec un accent sur la confidentialit\u00e9. En OT, la priorit\u00e9 est une CIA invers\u00e9e – la disponibilit\u00e9 est absolument prioritaire, puis l’int\u00e9grit\u00e9 et la confidentialit\u00e9 en dernier lieu. Les temps d’arr\u00eat des cha\u00eenes de production co\u00fbtent des centaines de milliers d’euros par heure, de sorte que toute mesure de s\u00e9curit\u00e9 susceptible de provoquer ou de risquer des temps d’arr\u00eat est rejet\u00e9e par les exploitants d’installations informatiques. <\/p>\n
Les appareils des r\u00e9seaux OT sont des syst\u00e8mes embarqu\u00e9s souvent dot\u00e9s de syst\u00e8mes d’exploitation vieux de plusieurs d\u00e9cennies, sans possibilit\u00e9 d’installer des logiciels de s\u00e9curit\u00e9, sans mises \u00e0 jour des micrologiciels des fabricants, avec des protocoles de communication (Modbus, DNP3, Profibus, OPC) qui n’ont pas \u00e9t\u00e9 con\u00e7us en tenant compte de la s\u00e9curit\u00e9. La convergence IT\/OT – l’int\u00e9gration des r\u00e9seaux de bureau avec les r\u00e9seaux de production \u00e0 des fins d’industrie 4.0 – augmente consid\u00e9rablement la surface d’attaque des environnements industriels. Les Certes Networks dans l’offre de Ramsdata<\/a> sont des solutions sp\u00e9cialis\u00e9es de chiffrement et de segmentation pour les environnements d’entreprise et industriels. <\/p>\n Un pare-feu entre le r\u00e9seau informatique et le r\u00e9seau OT (ce que l’on appelle la DMZ industrielle) est une bonne pratique, mais insuffisante : il ne prot\u00e8ge pas contre le trafic lat\u00e9ral au sein du r\u00e9seau OT, ne crypte pas les communications entre les appareils et ne r\u00e9sout pas le probl\u00e8me des protocoles non s\u00e9curis\u00e9s.<\/p>\n L’installation d’agents de s\u00e9curit\u00e9 sur les dispositifs OT n’est g\u00e9n\u00e9ralement pas possible – les contr\u00f4leurs PLC ou DCS ne prennent pas en charge les logiciels externes. La microsegmentation par VLAN est limit\u00e9e et ne permet pas le cryptage. Le remplacement des appareils OT par des appareils plus r\u00e9cents et s\u00e9curis\u00e9s est prohibitif et souvent impossible en raison de la continuit\u00e9 de la production. Certes Networks propose une approche qui contourne ces limitations – le cryptage et la segmentation sont appliqu\u00e9s de mani\u00e8re transparente, en ligne, sans modifier les appareils OT. <\/p>\n La segmentation cryptographique est une approche qui consiste \u00e0 isoler des segments de r\u00e9seau en chiffrant le trafic entre eux, plut\u00f4t que d’utiliser des m\u00e9canismes de r\u00e9seau traditionnels (VLAN, pare-feu). Au lieu de se demander \u00ab\u00a0qu’est-ce qui est autoris\u00e9 entre les segments ?\u00a0\u00bb, la segmentation cryptographique se demande \u00ab\u00a0qui peut lire ce trafic ?\u00a0\u00bb. Seuls les appareils appartenant au m\u00eame groupe cryptographique peuvent d\u00e9crypter et lire les messages – les autres appareils voient un trafic crypt\u00e9 et illisible. <\/p>\n Ce mod\u00e8le pr\u00e9sente des avantages essentiels pour les environnements OT. Le chiffrement est appliqu\u00e9 de mani\u00e8re transparente – les dispositifs OT ne savent pas que leurs communications sont chiffr\u00e9es. Aucune modification des appareils ou des logiciels n’est n\u00e9cessaire. Les politiques de segmentation sont d\u00e9finies de mani\u00e8re centralis\u00e9e et appliqu\u00e9es par une appliance Certes d\u00e9di\u00e9e, et non par les appareils OT eux-m\u00eames. M\u00eame si un pirate acc\u00e8de physiquement \u00e0 un segment du r\u00e9seau OT, il ne pourra pas lire les communications entre les appareils d’autres groupes cryptographiques. <\/p>\n Certes Networks met en \u0153uvre la segmentation cryptographique gr\u00e2ce \u00e0 des dispositifs CryptoFlow Net Protector (CNP) install\u00e9s en ligne dans le r\u00e9seau OT, sans modifier l’infrastructure existante. Les CNP sont transparents pour le trafic du r\u00e9seau : les dispositifs OT ne connaissent pas leur existence et communiquent normalement. Les CNP chiffrent le trafic sur la base de politiques d\u00e9finies de mani\u00e8re centralis\u00e9e dans le syst\u00e8me de gestion Certes (CipherTrust Manager ou Certes CipherPoint). <\/p>\n Les groupes cryptographiques sont des segments logiques entre lesquels le trafic est autoris\u00e9 et crypt\u00e9. Les appareils affect\u00e9s au m\u00eame groupe peuvent communiquer, les appareils appartenant \u00e0 des groupes diff\u00e9rents ne le peuvent pas, m\u00eame s’ils se trouvent physiquement sur le m\u00eame r\u00e9seau. La modification des politiques de segmentation s’effectue de mani\u00e8re centralis\u00e9e et est imm\u00e9diatement appliqu\u00e9e par tous les CNP du r\u00e9seau – pas de temps d’arr\u00eat, pas de reconfiguration des appareils OT. <\/p>\n La confiance z\u00e9ro dans le domaine des technologies de l’information ne consiste pas simplement \u00e0 transf\u00e9rer le mod\u00e8le informatique \u00e0 un environnement industriel – elle n\u00e9cessite une adaptation aux sp\u00e9cificit\u00e9s, o\u00f9 l’indisponibilit\u00e9 des appareils (pour les agents, les mises \u00e0 jour) est la norme. Certes Networks met en \u0153uvre les principes de la confiance z\u00e9ro par le biais d’une segmentation cryptographique sans agents sur les appareils prot\u00e9g\u00e9s. <\/p>\n Dans l’environnement Certes, la devise \u00a0\u00bb Ne jamais faire confiance, toujours v\u00e9rifier \u00a0\u00bb se traduit par le fait que chaque connexion entre segments n\u00e9cessite une autorisation cryptographique, que les appareils ne peuvent communiquer qu’au sein de groupes cryptographiques autoris\u00e9s, que toute connexion non autoris\u00e9e est automatiquement crypt\u00e9e et illisible, et que tous les flux de donn\u00e9es sont enregistr\u00e9s de mani\u00e8re centralis\u00e9e. C’est la confiance z\u00e9ro adapt\u00e9e \u00e0 la r\u00e9alit\u00e9 de l’OT – pas d’agents, pas de modifications des appareils, pas de risque de temps d’arr\u00eat. Pour en savoir plus sur les solutions de s\u00e9curit\u00e9 pour les r\u00e9seaux industriels, visitez le site de Ramsdata<\/a>. <\/p>\n L’un des plus grands d\u00e9fis dans les environnements OT est le manque de visibilit\u00e9 – on ne sait pas quels appareils existent sur le r\u00e9seau, quels protocoles ils utilisent et quels sont les sch\u00e9mas de communication normaux. Certes Networks offre une visibilit\u00e9 sans installer d’agents en analysant passivement le trafic r\u00e9seau. <\/p>\n Le syst\u00e8me de surveillance Certes identifie les appareils OT en fonction de leurs communications r\u00e9seau, cartographie les flux de donn\u00e9es entre les appareils et d\u00e9tecte les anomalies – connexions inattendues, protocoles inconnus, trafic non autoris\u00e9 entre les segments. Cette visibilit\u00e9 est la base d’une politique de segmentation cryptographique efficace – afin de d\u00e9finir les bons groupes, vous devez d’abord comprendre qui communique avec qui dans le r\u00e9seau OT. <\/p>\n Le secteur de l’\u00e9nergie et des services publics est un secteur o\u00f9 la s\u00e9curit\u00e9 des technologies de l’information est essentielle \u00e0 la s\u00e9curit\u00e9 publique. Les syst\u00e8mes SCADA qui contr\u00f4lent la distribution d’\u00e9nergie, les stations d’\u00e9puration ou les r\u00e9seaux de gaz doivent \u00eatre isol\u00e9s des r\u00e9seaux informatiques et des menaces ext\u00e9rieures. Certes Networks est d\u00e9ploy\u00e9 par les op\u00e9rateurs d’infrastructures critiques pour segmenter les sous-stations \u00e9lectriques, les postes et les centres de dispatching. <\/p>\n La production industrielle n\u00e9cessite une segmentation entre les lignes de production (afin qu’une attaque sur une ligne ne se propage pas aux autres), entre le r\u00e9seau OT et l’informatique, et entre les environnements de diff\u00e9rents fournisseurs (lorsque des prestataires de services externes ont acc\u00e8s au r\u00e9seau OT). La segmentation cryptographique Certes permet un contr\u00f4le granulaire de cet acc\u00e8s sans reconfigurer l’ensemble du r\u00e9seau. Les infrastructures de transport (rail, aviation, ports) sont un autre secteur o\u00f9 Certes Networks est d\u00e9ploy\u00e9 pour prot\u00e9ger les syst\u00e8mes de contr\u00f4le du trafic et les infrastructures critiques. <\/p>\n La segmentation cryptographique de Certes a-t-elle une incidence sur la latence du r\u00e9seau OT ?<\/strong> Oui, mais de mani\u00e8re minimale. Les circuits cryptographiques d\u00e9di\u00e9s des PCN r\u00e9duisent au minimum le temps de latence suppl\u00e9mentaire, qui est g\u00e9n\u00e9ralement inf\u00e9rieur \u00e0 1 ms, ce qui est acceptable pour la plupart des protocoles d’OT. <\/p>\n Comment Certes g\u00e8re-t-il les protocoles OT (Modbus, DNP3) ?<\/strong> Certes crypte le trafic de mani\u00e8re transparente au niveau du r\u00e9seau – il ne traite pas le contenu des protocoles OT. Les appareils communiquent normalement via Modbus, DNP3, etc., et Certes CNP crypte ces transmissions sans les modifier. <\/p>\n La mise en \u0153uvre de Certes n\u00e9cessite-t-elle une interruption du r\u00e9seau OT ?<\/strong> La mise en \u0153uvre de la CNP en ligne peut n\u00e9cessiter de courts intervalles de maintenance (quelques minutes) lors de l’installation physique. Les modifications ult\u00e9rieures des politiques cryptographiques sont appliqu\u00e9es sans interruption de service. <\/p>\n Comment g\u00e9rer les cl\u00e9s cryptographiques dans l’environnement Certes ?<\/strong> Certes CipherTrust Manager ou Certes CipherPoint g\u00e8rent les cl\u00e9s de mani\u00e8re centralis\u00e9e. La rotation des cl\u00e9s se fait automatiquement en fonction de la politique de s\u00e9curit\u00e9, sans interf\u00e9rer avec les appareils OT. <\/p>\n La segmentation cryptographique de Certes Networks est une approche de la s\u00e9curit\u00e9 OT qui respecte les r\u00e9alit\u00e9s des environnements industriels – le besoin de disponibilit\u00e9, la non-modifiabilit\u00e9 des appareils et le d\u00e9terminisme des communications. Le d\u00e9ploiement transparent en ligne sans temps d’arr\u00eat, la confiance z\u00e9ro sans agents et la visibilit\u00e9 totale du r\u00e9seau OT cr\u00e9ent une solution pratique pour les secteurs o\u00f9 d’autres approches \u00e9chouent. Contactez Ramsdata – un partenaire Certes Networks –<\/a> pour discuter de la mise en \u0153uvre de la segmentation cryptographique dans votre r\u00e9seau industriel. <\/p>\n","protected":false},"excerpt":{"rendered":" Le r\u00e9seau industriel (OT – Operational Technology) est l’un des domaines les plus difficiles de la cybers\u00e9curit\u00e9. Les syst\u00e8mes SCADA, les automates programmables, les syst\u00e8mes DCS et les dispositifs IoT industriels ont \u00e9t\u00e9 con\u00e7us dans une optique de disponibilit\u00e9 et de d\u00e9terminisme, et non de s\u00e9curit\u00e9. Beaucoup fonctionnent sur des protocoles obsol\u00e8tes, ne prennent pas […]<\/p>\n","protected":false},"author":1,"featured_media":40021,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[58],"tags":[],"class_list":["post-41387","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nouvelles-fr"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/ramsdata.com.pl\/fr\/wp-json\/wp\/v2\/posts\/41387","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ramsdata.com.pl\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ramsdata.com.pl\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ramsdata.com.pl\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ramsdata.com.pl\/fr\/wp-json\/wp\/v2\/comments?post=41387"}],"version-history":[{"count":0,"href":"https:\/\/ramsdata.com.pl\/fr\/wp-json\/wp\/v2\/posts\/41387\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ramsdata.com.pl\/fr\/wp-json\/wp\/v2\/media\/40021"}],"wp:attachment":[{"href":"https:\/\/ramsdata.com.pl\/fr\/wp-json\/wp\/v2\/media?parent=41387"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ramsdata.com.pl\/fr\/wp-json\/wp\/v2\/categories?post=41387"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ramsdata.com.pl\/fr\/wp-json\/wp\/v2\/tags?post=41387"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Pourquoi les approches traditionnelles en mati\u00e8re de s\u00e9curit\u00e9 ne fonctionnent-elles pas dans le domaine des technologies de l’information ?<\/h3>\n
Qu’est-ce que la segmentation cryptographique ?<\/h3>\n
Comment les r\u00e9seaux Certes mettent-ils en \u0153uvre la segmentation cryptographique ?<\/h3>\n
Confiance z\u00e9ro dans les environnements OT avec Certes<\/h3>\n
Visibilit\u00e9 et suivi du trafic OT<\/h3>\n
Cas d’utilisation – \u00e9nergie, fabrication, infrastructures critiques<\/h3>\n
Principales conclusions<\/h3>\n
\n
FAQ<\/h3>\n
R\u00e9sum\u00e9<\/h3>\n