Sécuriser les transferts de fichiers dans des environnements opérationnels isolés
Le secteur des services publics reste confronté à des cybermenaces persistantes, notamment des logiciels malveillants ciblés, des ransomwares et des exploits de type "zero-day", en particulier lorsque les systèmes OT (technologie opérationnelle) doivent ingérer des données provenant de sources externes. Selon l 'indice X-Force Threat Intelligence Index d'IBM, les services publics d'énergie étaient la quatrième industrie la plus ciblée en 2024.
Avec la numérisation croissante des opérations des services publics, la nécessité de traiter des fichiers externes, tels que des rapports de diagnostic, des fichiers de correctifs et des mises à jour de systèmes, sans exposer les actifs internes, est devenue une exigence fondamentale. Ces transferts impliquent souvent des fournisseurs tiers et des supports portables, tels que des clés USB , qui présentent un risque élevé d'infiltration de logiciels malveillants et de violation de la conformité s'ils ne sont pas correctement contrôlés.
Pour atténuer ces risques, l'entreprise a adopté une architecture segmentée qui maintient les processus de transfert de fichiers entièrement confinés dans leurs zones de confiance respectives. MetaDefender Managed File TransferMFT) et MetaDefender Core ont été déployés dans des environnements à la fois peu sécurisés (orientés vers l'extérieur) et hautement sécurisés (orientés vers l'intérieur). Chaque environnement fonctionne de manière indépendante, sans connectivité directe entre les zones. Les fichiers sont désormais scannés et traités conformément aux politiques de sécurité spécifiques à chaque zone, ce qui garantit que les soumissions externes ne contournent pas les mesures de protection internes.
Mise en œuvre des téléchargements de fichiers de sources internes et externes basés sur des règles
Les processus opérationnels de l'entreprise nécessitent une réception sécurisée des fichiers provenant des équipes d'ingénieurs internes et des sous-traitants externes. Ces fichiers peuvent inclure des diagnostics de système, des paquets de correctifs ou des charges utiles de mise à jour qui doivent être introduits dans des environnements OT protégés sans compromettre les systèmes internes.
Avant l'adoption des solutions MetaDefender , ces transferts reposaient souvent sur des procédures manuelles et des outils ad hoc, notamment des disques partagés, des transferts de fichiers non sécurisés et des transferts de supports physiques. Les livraisons USB, en particulier, n'étaient pas soumises à des procédures d'analyse standardisées, ce qui créait un risque d'introduction de malwares et d'application incohérente des politiques.
Pour y remédier, l'organisation a déployé les moteurs d'analyse MetaDefender Managed File Transfer et MetaDefender Core dans des environnements de basse et haute sécurité. Les soumissions de fichiers - qu'elles proviennent de périphériques USB via MetaDefender Kiosk ou des interfaces web authentifiées de MetaDefender MFT (WebGUI) - sont traitées indépendamment dans chaque zone avec des règles de téléchargement pour les fichiers provenant de USB et du réseau.
MetaDefender Kiosk fournit une station de téléchargement pour analyser les supports amovibles avant qu'ils ne pénètrent dans le réseau, tandis que les téléchargements basés sur le Web sont limités aux utilisateurs authentifiés par le biais de comptes gérés localement. Tous les fichiers sont analysés selon des règles spécifiques à la zone, y compris le marquage du contenu et l'inspection approfondie des menaces à l'aide de MetaDefender Core. Cela garantit que les soumissions sont traitées en toute sécurité, sans exposition à l'infrastructure partagée entre les zones.
Cette structure permet à l'entreprise de maintenir une séparation opérationnelle complète entre les réseaux à faible et à haute sécurité, tout en autorisant le téléchargement de fichiers en cas de besoin. Elle garantit également l'enregistrement et la traçabilité de tous les téléchargements, de toutes les actions des utilisateurs et de toutes les décisions politiques, ce qui permet une application cohérente de la politique interne et contribue à répondre aux exigences en matière d'audit et de conformité.
La solution d'OPSWAT:Managed File Transfer MetaDefender dans des environnements segmentés
La société a choisi MetaDefender Managed File Transfer OPSWATaprès avoir identifié le besoin d'une technologie de transfert de fichiers capable de fonctionner en toute sécurité dans des environnements réseau segmentés. L'une des exigences de base était de permettre le téléchargement sécurisé de fichiers dans chaque environnement, qu'ils proviennent d'utilisateurs internes ou de fournisseurs externes, tout en maintenant une séparation stricte entre les zones à faible sécurité et les zones à haute sécurité.
La solution a été déployée dans deux environnements totalement indépendants. Une instance de MetaDefender Managed File Transfer et MetaDefender Core a été installée dans la zone de basse sécurité, et une autre dans la zone de haute sécurité. Chaque instance fonctionne de manière autonome, appliquant ses propres politiques de sécurité et ses propres processus d'analyse à tous les fichiers entrants.
Des kiosques MetaDefender ont été installés aux principaux points de téléchargement pour permettre le transfert sécurisé de supports USB . Ces kiosques agissent comme des stations de téléchargement contrôlées, permettant aux utilisateurs de scanner et de soumettre des fichiers sans accès direct aux réseaux internes. Les téléchargements basés sur le web sont également pris en charge, les utilisateurs étant authentifiés par des comptes gérés localement. Cela garantit une soumission sécurisée sans exposer les services d'annuaire internes.
En appliquant des flux de fichiers segmentés et contrôlés par des règles, ainsi qu'une détection des menaces par couches dans chaque environnement, l'entreprise a mis en place un processus sécurisé et contrôlable pour le traitement des fichiers externes et internes. Les fichiers ne sont jamais transférés d'une zone à l'autre et les limites de confiance ne sont donc jamais franchies, tout en permettant la livraison de fichiers opérationnels partout où cela est nécessaire.
3 Capacités clés fournies par OPSWAT Technologies
Numérisation de fichiers
Tous les fichiers soumis par l'intermédiaire de MetaDefender Kiosk ou de l'interface Web de MetaDefender Managed File Transfer sont soumis à plusieurs niveaux de détection des menaces. Les fichiers sont analysés dans l'environnement de réception à l'aide de MetaDefender Corequi applique une analyse basée sur les signatures et le comportement pour identifier et bloquer les menaces connues et inconnues. Les politiques d'analyse peuvent également identifier les types de fichiers sensibles, tels que les contenus d'intérêt national (SNI), afin de garantir un traitement approprié dans les cadres réglementaires.
Authentification par zone
Les utilisateurs externes soumettent des fichiers via le WebGUI de MetaDefender MFT en utilisant des comptes locaux gérés indépendamment dans chaque environnement. Cela permet un contrôle d'accès de confiance zéro par le biais d'une authentification locale des utilisateurs sans intégration d'Active Directory. Toutes les actions des utilisateurs sont enregistrées dans un journal d'audit avec une attribution complète à des identités spécifiques, ce qui permet d'assurer la responsabilité et la traçabilité.
Acheminement automatisé des dossiers
Les fichiers approuvés sont automatiquement acheminés vers des emplacements de stockage prédéfinis au sein de chaque zone (tels que des partages SMB désignés) conformément à la politique, ce qui réduit les risques de manipulation manuelle et garantit des chemins de livraison contrôlés. Cela réduit le travail manuel, élimine le risque d'erreur humaine et garantit que seuls les fichiers approuvés sont livrés dans les environnements opérationnels. Tous les transferts sont enregistrés et toute exception déclenche des réponses définies par la politique.
Ensemble, ces contrôles permettent à l'entreprise de maintenir une isolation stricte entre les zones de sécurité tout en permettant le téléchargement et le traitement de fichiers opérationnels dans le cadre d'une gouvernance cohérente.
Renforcer la résilience grâce à des téléchargements de fichiers segmentés et pilotés par des politiques
En adoptant une approche stratifiée et contrôlée des transferts de fichiers, l'entreprise a considérablement réduit son exposition aux menaces véhiculées par les fichiers, tout en maintenant des limites opérationnelles strictes entre les zones de confiance. MetaDefender Core applique une inspection approfondie du contenu, que les fichiers proviennent de périphériques USB scannés dans un Kiosk ou qu'ils soient soumis via l'interface Web de MetaDefender MFT
Chaque zone traite les fichiers de manière indépendante, ce qui garantit qu'aucun mouvement de fichier ne se produit à travers les frontières de sécurité. Cette stratégie de segmentation, associée à des flux de travail automatisés et à une journalisation d'audit détaillée, permet à l'organisation de répondre aux politiques de sécurité internes et aux attentes réglementaires sans compromettre la flexibilité opérationnelle.
Alors que le paysage des menaces évolue et que les environnements OT restent des cibles de grande valeur, cette architecture constitue une base pérenne pour le traitement sécurisé et traçable des fichiers, quelle que soit leur origine.
Pour découvrir comment MetaDefender Managed File Transfer peut aider votre organisation à mettre en œuvre des téléchargements et des transferts de fichiers sécurisés et vérifiables dans des environnements segmentés, contactez un expert dès aujourd'hui.
