Air-gap et isolation réseau mythes et réalités en OT

Le mythe de l'air-gap persiste dans la communauté industrielle comme une solution miracle de cybersécurité : si le réseau OT est physiquement déconnecté de tout autre réseau, aucune cyberattaque ne peut l'atteindre. Cette conviction, rassurante dans sa simplicité, se heurte à trois réalités incontournables. Premièrement, les air-gaps véritables sont extrêmement rares dans les installations industrielles modernes, les besoins de remontée de données de production, de maintenance distante et de mise à jour créant des connexions permanentes ou temporaires qui brisent l'isolation. Deuxièmement, même un air-gap authentique peut être contourné par des vecteurs physiques comme les clés USB, les ordinateurs portables de maintenance et les supports de transfert de données utilisés quotidiennement par les techniciens. Troisièmement, l'attaque Stuxnet a démontré de manière spectaculaire qu'un air-gap ne protège pas contre un attaquant suffisamment déterminé et doté de ressources étatiques, le malware ayant traversé l'air-gap des installations nucléaires iraniennes via des clés USB infectées introduites par des techniciens manipulés ou inconscients. Repenser la stratégie de protection OT au-delà du mythe de l'air-gap constitue un impératif pour les architectes sécurité industrielle qui doivent combiner défense en profondeur, surveillance active et contrôle des vecteurs physiques dans une approche réaliste et durable de la sécurisation des systèmes de contrôle critiques.

Le faux sentiment de sécurité de l'air-gap

Les audits de sécurité industrielle révèlent régulièrement que les air-gaps supposés n'existent pas réellement. Un réseau OT déclaré « air-gappé » dans la documentation d'architecture présente fréquemment des connexions non documentées : un câble réseau reliant un poste d'ingénierie au réseau IT pour les mises à jour antivirus, un modem 4G installé sur un commutateur pour la maintenance distante, une connexion WiFi configurée par un technicien pour accéder à la documentation en ligne depuis le réseau OT.

La première action lors d'un audit OT consiste à vérifier empiriquement l'existence réelle de l'air-gap déclaré. Un scan réseau depuis le réseau IT révèle souvent des dispositifs OT accessibles. L'analyse du trafic réseau sur les commutateurs de la prétendue DMZ montre des flux bidirectionnels non filtrés. Les clés USB circulent quotidiennement entre les postes IT et les stations d'ingénierie OT, transférant non seulement des fichiers de projet mais potentiellement des malwares. La segmentation réseau et l'approche Zero Trust offrent une protection plus réaliste et vérifiable qu'un air-gap théorique non maintenu dans le temps.

Quels canaux de contournement de l'air-gap existent ?

Les canaux de contournement de l'air-gap se classent en deux catégories : les vecteurs physiques conventionnels et les canaux auxiliaires exotiques. Les vecteurs physiques représentent la menace la plus réaliste : clés USB et supports amovibles (vecteur de Stuxnet), ordinateurs portables de maintenance connectés alternativement aux réseaux IT et OT (bridge involontaire), équipements de constructeurs livrés avec des malwares pré-installés (supply chain attack), et modems cellulaires ajoutés par les techniciens pour faciliter la maintenance distante.

Les canaux auxiliaires exotiques, documentés dans la littérature académique, exploitent les émanations physiques des systèmes pour transmettre des données à travers l'air-gap : émissions électromagnétiques des câbles réseau (AirHopper), modulation de la luminosité des LED de status des commutateurs réseau (aIR-Jumper), émissions acoustiques des disques durs (DiskFiltration), et variation de la consommation électrique (PowerHammer). Ces techniques, bien que spectaculaires, présentent des débits très faibles et sont principalement pertinentes pour l'exfiltration de données sensibles plutôt que pour l'injection de commandes dans les systèmes OT. La menace réaliste reste les vecteurs physiques conventionnels, contre lesquels des contrôles stricts doivent être déployés.

Comment sécuriser les transferts physiques vers le réseau OT ?

Les kiosques de décontamination USB constituent la première ligne de défense contre les vecteurs physiques. Ces dispositifs, déployés à l'entrée de la zone OT, analysent le contenu de chaque support amovible avec plusieurs moteurs antimalware avant d'autoriser son utilisation sur le réseau industriel. Les solutions comme OPSWAT MetaDefender Kiosk ou Honeywell Secure Media Exchange appliquent une analyse multi-moteurs (typiquement 8 à 12 antivirus) et peuvent convertir les fichiers dans des formats sûrs (Content Disarm and Reconstruction, CDR) pour éliminer les charges malveillantes intégrées dans des documents.

Les postes de transfert sécurisés, positionnés dans une zone intermédiaire contrôlée physiquement, servent de sas entre le monde IT et le réseau OT. Ces postes, durcis et non connectés à aucun réseau, permettent de transférer des fichiers de projet, des mises à jour logicielles et des correctifs de sécurité via un processus en deux étapes : dépôt sur le poste de transfert depuis le côté IT, analyse et validation, puis récupération depuis le côté OT. L'intégration avec les processus de détection engineering garantit que chaque transfert est journalisé et analysable en cas d'incident.

Disposez-vous d'un processus formalisé de décontamination des supports USB avant leur utilisation sur votre réseau OT ?

Pourquoi les diodes de données supplantent l'air-gap ?

Les diodes de données offrent le meilleur compromis entre sécurité et connectivité pour les environnements OT critiques. Contrairement à l'air-gap qui bloque toute communication, la diode autorise un flux de données strictement unidirectionnel (OT vers IT) tout en garantissant physiquement l'impossibilité de tout flux inverse. Cette garantie repose sur un principe physique (fibre optique sans récepteur côté OT) et non sur une configuration logicielle potentiellement contournable.

Les cas d'usage des diodes de données en environnement OT incluent la réplication des données de l'historien de production vers les systèmes IT pour le reporting et l'analyse, l'export des logs et événements de sécurité vers le SIEM pour la surveillance, et la transmission de données de supervision vers des centres de contrôle distants. Les principales solutions du marché (Waterfall Security, Owl Cyber Defense, solutions qualifiées ANSSI) intègrent des agents applicatifs qui encapsulent les protocoles OT pour la transmission à travers la diode, supportant OPC UA, Modbus, historiens PI et OSIsoft, et syslog. Le déploiement d'une diode nécessite une adaptation de l'architecture applicative mais offre une garantie de sécurité supérieure à tout pare-feu, et la gestion des logs peut être assurée via ce canal unidirectionnel sécurisé.

Faut-il abandonner complètement le concept d'air-gap ?

Le concept d'air-gap conserve sa pertinence pour les systèmes les plus critiques où aucun besoin de connectivité n'est justifiable. Les systèmes instrumentés de sécurité (SIS), conçus pour protéger les vies humaines en cas de défaillance du système de contrôle, doivent idéalement être isolés physiquement du réseau de contrôle et a fortiori du réseau IT. L'attaque Triton a ciblé précisément le SIS, démontrant que même ces systèmes de dernière protection attirent l'attention des attaquants les plus sophistiqués.

Pour les systèmes de contrôle-commande nécessitant une remontée de données vers l'IT, l'approche recommandée remplace l'air-gap par une architecture de défense en profondeur combinant diodes de données pour les flux unidirectionnels, DMZ industrielle avec rupture protocolaire pour les flux nécessairement bidirectionnels, surveillance réseau passive sur chaque segment, et contrôle strict des vecteurs physiques. Cette architecture, conforme aux exigences de la norme IEC 62443 et vérifiable par audit, offre une protection supérieure à un air-gap théorique non maintenu dans la réalité opérationnelle. Le cadre de MITRE ATT&CK for ICS aide à valider que cette architecture couvre les techniques d'attaque documentées contre les systèmes de contrôle industriels.

Comment auditer l'efficacité réelle de l'isolation réseau OT ?

L'audit de l'isolation réseau OT combine des techniques actives et passives pour vérifier empiriquement l'absence de connexions non documentées. L'analyse du trafic réseau sur chaque interface des commutateurs OT révèle les flux réels, potentiellement différents des flux théoriques documentés dans l'architecture. Les outils de découverte réseau passive comme ceux de Nozomi Networks identifient chaque dispositif communiquant sur le réseau OT et cartographient les interconnexions, révélant les ponts réseau non documentés.

L'audit physique des infrastructures complète l'analyse réseau. L'inspection des armoires réseau OT vérifie l'absence de modems cellulaires non autorisés, de câbles réseau non documentés reliant des commutateurs OT à l'infrastructure IT, et de points d'accès WiFi bridgeant les deux réseaux. La détection de signaux radiofréquence dans les zones OT identifie les communications sans fil non autorisées (WiFi, Bluetooth, cellulaire) qui contournent l'isolation réseau. Les résultats de ces audits alimentent le processus d'amélioration continue de l'architecture de segmentation, en cohérence avec les principes de pentest infrastructure adaptés aux spécificités des environnements industriels critiques.

Sources et références : CISA ICS · ANSSI

Quelles politiques de gestion des supports amovibles en zone OT ?

La gestion stricte des supports amovibles constitue le contrôle le plus critique pour maintenir l'intégrité de l'isolation OT. La politique de sécurité doit définir clairement quels types de supports sont autorisés (clés USB chiffrées d'entreprise uniquement, pas de supports personnels), le processus obligatoire de décontamination avant utilisation en zone OT, la traçabilité de chaque utilisation (qui, quand, quels fichiers) et les sanctions en cas de non-respect des procédures.

Les stations de décontamination positionnées physiquement à l'entrée de chaque zone OT appliquent une analyse multi-moteurs antimalware et un processus de Content Disarm and Reconstruction (CDR) transformant les fichiers dans des versions sûres. Les fichiers exécutables sont systématiquement bloqués ; seuls les formats de données autorisés (fichiers de projet automate, configurations, documentation) transitent vers le réseau OT. Le registre de traçabilité des transferts, intégré dans la plateforme de log management, fournit une piste d'audit exploitable en cas d'investigation forensique pour reconstituer le vecteur d'introduction d'un éventuel malware dans l'environnement OT protégé par ces mesures de contrôle des supports amovibles.

Architectures alternatives à l'air-gap : diodes de données, DMZ industrielle et micro-segmentation OT

Face aux limites démontrées de l'air-gap comme seule mesure de sécurité en environnement OT, des architectures alternatives offrent une isolation plus robuste et véritablement vérifiable dans le temps. La diode de données constitue l'alternative la plus mature : ce dispositif matériel unidirectionnel, physiquement incapable de transmettre des données dans le sens retour, garantit une isolation absolue des flux entrants vers le réseau OT. Contrairement à un pare-feu logiciel qui peut être compromis par exploitation d'une vulnérabilité ou mal configuré par une erreur humaine, la diode de données offre une garantie physique que même un attaquant ayant accès à la configuration logicielle ne peut contourner. Des fabricants comme Waterfall Security, Owl Cyber Defense ou Advenica proposent des solutions certifiées pour les environnements industriels critiques, certaines qualifiées par l'ANSSI pour les opérateurs d'importance vitale français. Le choix entre une diode unidirectionnelle pure et une diode bidirectionnelle à filtrage strict dépend des besoins opérationnels de remontée de données et doit être analysé en tenant compte des flux de supervision nécessaires à la conduite et à la maintenance des installations.

Le modèle de zone démilitarisée industrielle, ou DMZ OT, représente une approche complémentaire efficace pour les environnements nécessitant des échanges bidirectionnels contrôlés entre les réseaux OT et IT. Dans ce modèle, les données des systèmes OT ne remontent jamais directement vers les réseaux IT : elles transitent par un réseau intermédiaire hébergeant des serveurs de collecte, des historiens de données et des passerelles d'échange soigneusement contrôlées. Les règles de pare-feu limitent strictement les flux autorisés dans chaque direction, et les services disponibles dans la DMZ sont réduits au minimum fonctionnel nécessaire pour les opérations. Cette architecture, décrite dans les normes IEC 62443 et les recommandations NIST SP 800-82, offre un compromis entre isolation et connectivité opérationnelle tout en restant défendable et auditable. Elle permet l'intégration des données de production dans les systèmes ERP et les outils d'analyse de performance sans exposer le réseau de contrôle industriel aux menaces provenant du réseau d'entreprise ou d'internet.

La micro-segmentation au sein même du réseau OT constitue une troisième dimension essentielle de l'isolation réseau industrielle. Plutôt que d'envisager le réseau OT comme un bloc homogène à isoler uniquement de l'extérieur, la micro-segmentation décompose ce réseau en zones fonctionnelles distinctes : séparation des automates de sécurité instrumentée des automates de contrôle de procédé, des systèmes d'ingénierie des systèmes de supervision, des réseaux de terrain des réseaux de supervision SCADA. Chaque zone applique ses propres règles de communication strictement définies, limitant considérablement la propagation latérale d'un attaquant ayant compromis un premier système. Cette approche est particulièrement pertinente pour les grandes installations industrielles avec des réseaux OT étendus couvrant plusieurs unités de production ou plusieurs sites géographiques connectés par des liens WAN industriels dédiés ou des liaisons opérateurs sécurisées.

Gouvernance et maintien en condition de sécurité de l'isolation réseau industrielle

L'isolation réseau OT n'est pas un état permanent acquis une fois pour toutes mais un état à maintenir activement face à l'évolution continue des besoins opérationnels et des menaces persistantes. Une gouvernance formelle est indispensable pour éviter que l'isolation se dégrade progressivement au fil des connexions temporaires jamais supprimées, des exceptions accordées sous pression opérationnelle et jamais réexaminées, ou des nouvelles installations mal intégrées au schéma d'isolation existant. Établissez un processus formel de gestion des dérogations réseau OT : toute connexion temporaire ou exception à la politique d'isolation doit être documentée avec sa justification technique et opérationnelle, approuvée par la fonction sécurité, limitée dans le temps avec une date d'expiration automatique dans les systèmes de gestion de la configuration, et tracée dans un registre auditable accessible lors des audits de conformité NIS 2 ou ISO 27001 et des vérifications de l'ANSSI pour les OIV.

Les tests d'intrusion réguliers et les audits de configuration des équipements de segmentation réseau OT permettent de détecter les dérives de configuration avant qu'elles ne soient exploitées par des attaquants disposant du temps et des ressources pour cartographier l'environnement industriel ciblé. La fréquence de ces vérifications doit être proportionnelle à la criticité des actifs protégés par l'isolation, avec une revue minimale annuelle pour tous les environnements OT et trimestrielle pour les installations classées. Désignez un responsable de la sécurité réseau OT chargé de maintenir à jour la cartographie des flux autorisés, de conduire les revues périodiques de configuration et d'assurer la conformité aux obligations réglementaires de l'ANSSI pour les opérateurs d'importance vitale. La capitalisation des connaissances relatives à l'architecture de segmentation et aux décisions de conception est essentielle pour maintenir la cohérence lors des évolutions industrielles, des extensions de capacité de production et des renouvellements d'équipements sur la longue durée de vie caractéristique des installations industrielles.

La stratégie de protection post-air-gap doit également intégrer la surveillance des accès physiques aux zones OT. Les systèmes de contrôle d'accès par badge, les caméras de surveillance et les registres de visiteurs tracent les entrées dans les zones contenant des systèmes de contrôle industriels. La corrélation entre les événements d'accès physique et les activités réseau OT permet de détecter des schémas suspects, comme un accès physique non planifié suivi d'une modification de configuration d'automate, renforçant la posture globale de détection au-delà de la seule surveillance réseau.

Conclusion

Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.

Sécurisez vos systèmes industriels

Audit OT/ICS, segmentation IT/OT, conformité IEC 62443 — par un expert terrain.

Audit OT — Devis gratuit [email protected]