IndustryHub
APPRENDRE / CYBERSÉCURITÉ

Le modèle Purdue : l'architecture en couches d'un système industriel

← Cybersécurité
Découverte Leçon 2/2 6 min

Le modèle Purdue : l'architecture en couches d'un système industriel

Du capteur à l'ERP, le modèle Purdue organise les systèmes industriels en niveaux hiérarchiques. C'est la carte de référence pour segmenter et sécuriser un réseau OT.

En une phrase

Le modèle Purdue est la carte hiérarchique d’un système industriel : il range chaque équipement à un niveau, du plus proche de la matière au plus proche de la gestion. Cette carte est la base de la segmentation des réseaux et de la cybersécurité OT.

D’où il vient

Le modèle est issu de la Purdue Enterprise Reference Architecture (années 1990), reprise par la norme ISA-95 sur l’intégration entreprise-production. Il décrit comment l’information circule, du capteur jusqu’à l’ERP, en passant par chaque couche de contrôle.

Les niveaux

4–5Entreprise — ERP, cloud 3.5DMZ industrielle 3Exploitation — MES, historian 2Supervision — SCADA, DCS, HMI 1Contrôle — PLC, sécurité 0Procédé — capteurs, actionneurs IT OT
NiveauNomCe qu’on y trouve
0ProcédéCapteurs, actionneurs, vannes, moteurs — le monde physique
1ContrôleAutomates (PLC), régulateurs, systèmes de sécurité
2SupervisionSCADA, DCS, interfaces opérateur (HMI)
3Exploitation du siteMES, historian, gestion de production
3.5DMZ industrielleZone tampon entre OT et IT
4-5EntrepriseERP, bureautique, cloud, Internet

Les niveaux 0 à 3 forment le monde OT ; les niveaux 4-5 le monde IT (voir OT et IT). Plus on descend, plus on est proche du danger physique et du temps réel.

La zone démilitarisée (DMZ)

L’élément central pour la sécurité est le niveau 3.5 : la DMZ industrielle. C’est une zone tampon qui s’intercale entre l’atelier (OT) et le bureau (IT). Aucun flux ne traverse directement de l’IT vers l’OT : tout passe par la DMZ, où l’on inspecte et filtre. Ainsi, une compromission côté bureautique ne se propage pas jusqu’aux automates.

C’est ce principe qui a manqué dans des attaques célèbres, où un poste bureautique infecté a fini par atteindre le réseau de production.

À quoi il sert concrètement

Le modèle Purdue n’est pas qu’un schéma théorique. Il guide trois décisions :

  1. Segmenter : chaque niveau est un réseau séparé, avec des règles de passage strictes entre eux.
  2. Hiérarchiser les flux : les données remontent (niveau 0 vers 4), les ordres descendent, jamais en court-circuit.
  3. Prioriser la défense : plus un niveau est bas, plus il est critique et protégé.

C’est la grammaire de base de la cybersécurité industrielle, formalisée par la norme IEC 62443.

Ses limites

Le modèle a été conçu avant le cloud et l’IIoT. Aujourd’hui, des capteurs connectés remontent parfois directement vers le cloud, court-circuitant les niveaux. Le modèle reste la référence pédagogique et architecturale, mais les architectures modernes l’assouplissent — sans jamais abandonner son principe fondateur : ne pas exposer le procédé physique directement à Internet.

Pour aller plus loin

OT et IT : les deux mondes de l'informatique industrielle OT IT ICS SCADA DMZ PLC IEC 62443 ISA 95