Nous suivre Industrie Techno

abonné

Dossiers

Cyberprotection des réseaux industriels : diviser pour mieux protéger

Sophie Eustache

Sujets relatifs :

, ,
Cyberprotection des réseaux industriels : diviser pour mieux protéger

© Industrie & Technologies

La segmentation du réseau permet de contenir les menaces en évitant qu’elles se propagent à d’autres zones. Plusieurs stratégies sont possibles, selon la criticité des installations.

L'époque de la défense périphérique des systèmes d’information, façon château fort, est révolue. Aujourd’hui, le concept de défense en profondeur (appliqué dans le nucléaire et la défense), associé à une segmentation du système d’information, s’est imposé aux industriels. « Au même titre que les infrastructures physiques, on met en place une succession de barrières logiques concentriques. Aucune de ces barrières n’est infranchissable durablement. Les technologies et les vulnérabilités évoluent au fil du temps. L’enjeu est donc d’installer des processus d’isolation et d’interception », précise Patrick Baldit, responsable des systèmes informatiques industriels au CEA. Le réseau est ainsi découpé en zones de sécurité, des groupes de biens logiques ou physiques qui partagent les mêmes contraintes de sécurité.

Séparation physique ou virtuelle

La menace émanant principalement de l’informatique d’entreprise (IT), la priorité est de séparer celle-ci du système d’information industriel (OT). C’est du moins ce que préconisent les normes de la Commission électrotechnique internationale (IEC) et de l’Institut national des standards et technologie (Nist) du département du Commerce américain. « Sur le plan opérationnel, si un client ne dispose pas d’une maturité cyber sufisante, nous procédons différemment, nuance Xavier Facelina, le PDG de Seclab, fabricant de systèmes de cybersécurité industrielle. Nous ne commençons pas par segmenter l’IT et l’OT, mais nous cherchons où sont les automates les plus dangereux, critiques ou chers, et quels sont leurs échanges avec l’extérieur. Généralement, il n’y en a pas trente-six. La première chose à faire, c’est de segmenter cette microzone. Ensuite, nous pouvons remonter dans l’architecture. » La segmentation débute toujours par l’analyse et la cartographie des risques.

Il existe deux méthodes de segmentation : physique et logique. La première consiste à séparer les réseaux par zone. « Prenons l’exemple d’un constructeur automobile. Il possède plusieurs ateliers (carrosserie, moteur, portes, peinture…). Chacun est physiquement séparé par un équipement de filtrage réseau pour contrôler les flux d’information entre ces différentes zones », explique Khobeib Benboubaker, manager chez Stormshield, éditeur spécialisé en sécurité informatique. La segmentation logique, elle, va séparer virtuellement des machines, indépendamment de leur localisation, en utilisant notamment des réseaux virtuels (VLAN). Configuré sur un commutateur, un VLAN regroupe plusieurs équipements selon les numéros de port, les protocoles de communication, l’adressage IP…, plutôt que leur appartenance à un même réseau physique.

Si la segmentation par VLAN est la plus courante, « elle nécessite un changement dans l’adressage IP des équipements, ce qui entraîne des modifications de configuration des pare-feu, des serveurs DNS… Il peut être plus avantageux de mettre en place des microsegmentations fondées[…]

Pour lire la totalité de cet article, ABONNEZ-VOUS

Déjà abonné ?

Mot de passe perdu

Pas encore abonné ?

vous lisez un article d'Industries & Technologies N°1024

Découvrir les articles de ce numéro Consultez les archives 2019 d'Industries & Technologies

Nous vous recommandons

Éolien offshore, gaz de synthèse, cyber-sécurité automobile… les meilleures innovations de la semaine

Éolien offshore, gaz de synthèse, cyber-sécurité automobile… les meilleures innovations de la semaine

Quelles sont les innovations qui vous ont le plus marqués au cours des sept derniers jours ? Cette semaine, vous avez apprécié[…]

Le LiFi haut débit s’installe dans un avion

Fil d'Intelligence Technologique

Le LiFi haut débit s’installe dans un avion

Pour bien commencer la semaine : l’« équipe » Blue Origin pour un retour sur la Lune en 2024

Pour bien commencer la semaine : l’« équipe » Blue Origin pour un retour sur la Lune en 2024

Hacking mode d'emploi : pirater un aspirateur connecté en trois étapes

Hacking mode d'emploi : pirater un aspirateur connecté en trois étapes

Plus d'articles