P.I.L.O.T.E

5 min de lecture

04.1_Zones_Conduits_SL

Le concept de zones et conduits, défini par l’IEC 62443‑3‑2, constitue la pierre angulaire de l’architecture de cybersécurité OT. Il s’agit de regrouper les actifs industriels en zones homogènes de sécurité (par criticité ou par fonction) et de contrôler les communications inter‑zones par des conduits sécurisés. Cette logique concrétise la défense en profondeur et limite la propagation d’incidents en cloisonnant les environnements critiques des environnements de support.

Exemple 1 : architecture avec DMZ industrielle et jump box

[ERP / IT] ── FW ── [DMZ industrielle] ── FW ── [SCADA / Historian] ── FW ── [PLC / OT-Floor]
                     │                           │
                  Remote VPN                 Maintenance via Jump Box

Dans ce premier modèle, une DMZ industrielle est instaurée comme zone tampon obligatoire entre l’IT et l’OT. Les accès distants passent par un VPN entrant dans la DMZ, puis transitent par un jump server (bastion). Les flux sont strictement filtrés par des pare‑feux configurés en inspection protocolaire. Cette architecture garantit la traçabilité et empêche tout accès direct IT → OT.

Exemple 2 : segmentation multi‑zones par criticité

[ERP / IT] ── FW ── [DMZ industrielle] ── FW ── [SCADA / Historian]
                                       │
                    ┌──────────────────┴──────────────────┐
                    │                                     │
               [Zone OT critique]                  [Zone OT support]
               (Batch production)                  (HVAC, utilités)
                       │                                  │
                     PLCs                               Contrôleurs

Ce second modèle illustre la séparation entre une zone OT critique (processus de production batch pharmaceutique) et une zone OT de support (HVAC, utilités). Cette distinction permet d’appliquer des niveaux de sécurité différents selon la criticité, et de protéger les processus vitaux d’une compromission issue de systèmes secondaires plus vulnérables.

Tip

La segmentation doit toujours être définie selon la criticité fonctionnelle. Les processus critiques (ex. production pharmaceutique, distribution d’énergie) doivent être isolés des fonctions de support (HVAC, éclairage, utilités), afin de réduire le risque de propagation d’un incident mineur vers une activité vitale.

Retours d’expérience et cas concrets

  • Industrie pharmaceutique : en 2019, un site de production a subi une attaque par ransomware se propageant du réseau bureautique vers le SCADA, faute de DMZ industrielle. La production a été interrompue plusieurs jours. Après l’incident, l’implémentation d’une DMZ et de jump servers a permis de restaurer une segmentation conforme à la 62443, réduisant drastiquement l’exposition aux menaces.
  • Secteur énergétique : un distributeur d’électricité a été victime d’une intrusion via un système HVAC connecté au SCADA. L’absence de séparation claire entre zone critique et zone de support a permis à l’attaquant de pivoter vers le système de contrôle industriel. Après réorganisation, les flux ont été cloisonnés par des conduits distincts et audités, réduisant les risques de compromission.
  • Automobile : un constructeur a vu ses stations d’ingénierie compromises, permettant aux attaquants d’accéder aux PLC. L’absence de jump servers facilitait cet accès direct. Depuis, l’entreprise impose une DMZ industrielle, un bastion pour toute maintenance et un registre des flux autorisés entre zones.

Preuves d’audit attendues

  • Schémas d’architecture OT documentés et à jour, incluant zones et conduits.
  • Règles de pare‑feu détaillées et revues périodiquement.
  • Procédures d’accès distant documentant l’usage obligatoire d’un bastion/jump server.
  • Rapports FAT/SAT confirmant la segmentation et le respect des flux autorisés.
  • Journaux d’accès VPN avec authentification forte et enregistrement des sessions.
  • Résultats de tests de pénétration ou de red teaming prouvant l’efficacité du cloisonnement.

Impacts organisationnels et gouvernance

La mise en place d’une architecture zones/conduits entraîne plusieurs impacts organisationnels :

  • Le COMEX doit approuver la classification des zones selon leur criticité et valider la stratégie de segmentation.
  • Le RSSI OT coordonne la conception et veille à la cohérence entre sécurité et continuité de production.
  • Les intégrateurs sont responsables de traduire le modèle zones/conduits en configurations techniques (pare‑feux, VLAN, jump servers, routage).
  • Les fournisseurs doivent livrer des équipements et logiciels compatibles avec une architecture cloisonnée, fournir des guides de durcissement et prouver l’interopérabilité.
  • Les opérateurs doivent être formés aux règles de cloisonnement, connaître les flux autorisés et être sensibilisés aux risques de contournement accidentel.

Comparaisons utiles

  • NIST 800‑82 : préconise la segmentation et la défense en profondeur, en parfaite cohérence avec la 62443.
  • ISO 27001 : évoque la segmentation mais sans fournir de méthodologie adaptée aux environnements OT.
  • NIS2 : impose aux opérateurs essentiels des mesures OT renforcées, la segmentation zones/conduits constituant une mesure phare de conformité.
  • TIBER‑EU : propose de tester la robustesse des architectures en simulant des attaques réalistes, ce qui complète la 62443 en validant la mise en œuvre.

Conséquences opérationnelles pour le RSSI

Un RSSI doit :

  • S’assurer que les schémas zones/conduits sont validés, documentés et approuvés par la direction.
  • Vérifier que tout flux IT/OT passe exclusivement par une DMZ industrielle.
  • Imposer l’usage d’un jump server avec MFA et enregistrement des sessions pour la télémaintenance.
  • Maintenir un registre des flux autorisés entre zones et le mettre à jour en cas de changement.
  • Organiser des audits réguliers (FAT/SAT, tests de pénétration) pour démontrer la robustesse de la segmentation.

Objectifs pédagogiques

À l’issue de ce chapitre, l’apprenant devra être capable de :

  • Décrire le principe de zones et conduits tel que défini par l’IEC 62443‑3‑2.
  • Illustrer ce principe par des architectures types incluant DMZ et jump servers.
  • Adapter la segmentation en fonction de la criticité fonctionnelle.
  • Identifier les preuves d’audit associées et les préparer.
  • Comprendre les impacts organisationnels et les responsabilités associées.

Checklist RSSI

  • Vérifier qu’une DMZ industrielle existe entre IT et OT.
  • S’assurer que la segmentation repose sur la criticité fonctionnelle.
  • Imposer l’usage de jump servers pour tout accès distant.
  • Maintenir un registre documenté des flux autorisés entre zones.
  • Préparer et conserver les preuves FAT/SAT, journaux VPN et résultats de tests de sécurité.

Vue Graphique