La défense en profondeur en cybersécurité OT
Aucune barrière n'est parfaite. La défense en profondeur empile plusieurs couches de protection indépendantes, pour qu'une faille unique ne suffise jamais à atteindre le procédé.
Une seule barrière ne suffit jamais
En cybersécurité industrielle, aucune protection n’est infaillible : un pare-feu se contourne, un mot de passe fuite, un correctif tarde. La défense en profondeur répond à cette réalité : au lieu de tout miser sur une barrière, on en empile plusieurs, indépendantes. Pour atteindre le procédé, un attaquant devrait toutes les franchir — ce qui devient très difficile.
Les couches
De l’extérieur vers le procédé :
- Segmentation du réseau : découper en zones (modèle Purdue), avec une DMZ industrielle entre l’IT et l’OT. Rien ne traverse directement.
- Contrôle d’accès : qui peut se connecter, à quoi, comment. Comptes nominatifs, authentification forte, accès distant maîtrisé via un serveur de rebond.
- Durcissement : désactiver ce qui ne sert pas, fermer les ports inutiles, retirer les comptes par défaut.
- Gestion des correctifs : maintenir les systèmes à jour — un défi en OT, où l’on ne redémarre pas un procédé pour un patch.
- Détection : une sonde de détection d’intrusion (IDS) industrielle qui apprend le trafic normal et alerte sur l’anormal.
- Sauvegardes & plan de reprise : pouvoir restaurer un automate ou un poste après incident.
Le principe directeur
Le fil conducteur, c’est l’indépendance des couches. Si elles partagent toutes le même point faible (le même mot de passe, le même réseau plat), la profondeur est une illusion. Chaque couche doit pouvoir tenir même si la précédente est tombée. C’est le même esprit que la défense en profondeur en sûreté nucléaire ou en sécurité fonctionnelle : ne jamais dépendre d’une barrière unique.
Zones, conduits et niveaux de sécurité
La norme IEC 62443 formalise cette approche avec deux notions : les zones (groupes d’équipements de même criticité et confiance) et les conduits (les canaux de communication contrôlés entre zones). À chaque zone, on attribue un niveau de sécurité cible (SL-T) selon le profil d’attaquant à contrer, puis on vérifie le SL atteint (SL-A) :
| SL | Attaquant à contrer |
|---|---|
| SL 1 | erreur ou violation accidentelle |
| SL 2 | attaquant simple, moyens génériques, peu de ressources |
| SL 3 | attaquant sophistiqué, moyens spécifiques OT, ressources modérées |
| SL 4 | attaquant sophistiqué, ressources étendues (niveau étatique) |
On protège chaque conduit au niveau de la zone la plus exigeante qu’il relie. Cette architecture s’appuie directement sur le modèle Purdue et sur la distinction OT / IT.
En pratique
La défense en profondeur n’est pas un produit qu’on achète, c’est une architecture qu’on conçoit. Un exemple concret de mise en œuvre — segmentation, DMZ, proxy, détection — est détaillé dans l’article Échanger des données entre 2 automates OT.