Les diodes de données, qui constituaient autrefois une technologie de niche réservée aux domaines militaire et de la sécurité nucléaire, sont désormais un élément essentiel de la cybersécurité industrielle et d'entreprise. Les pertes liées aux cyberincidents ayant quadruplé depuis 2017 pour atteindre près de 2 milliards de dollars, les diodes de données sont de plus en plus adoptées comme norme de sécurité, qu'elles soient intégrées en tant qu'exigence ou recommandation dans les cadres réglementaires. Leur importance croissante tient au fait que les solutions de sécurité logicielles, telles que les pare-feu, ne peuvent plus garantir la sécurité.
Le besoin croissant en diodes de données
Comme les diodes de données imposent un trafic unidirectionnel au niveau matériel, souvent via la fibre optique, elles bloquent physiquement le chemin de communication inverse dont les ransomwares et les menaces persistantes avancées (APT) ont besoin pour fonctionner. Si les pare-feu restent la norme pour la plupart des applications d'entreprise, les réglementations mondiales applicables aux secteurs d'infrastructures critiques à haut risque, tels que le nucléaire, l'énergie et l'eau, recommandent désormais explicitement, voire imposent, l'utilisation de diodes de données afin de garantir l'isolation physique entre les réseaux OT (technologies opérationnelles) et IT (technologies de l'information).
Le profil de sécurité de Data Diode offre trois avantages clés en matière de sécurité qui vont au-delà des capacités des pare-feu :
Contrairement aux pare-feu, qui peuvent être contournés en raison d'une mauvaise configuration ou de vulnérabilités de type « zero-day », les menaces provenant du réseau ne peuvent pas contourner la sécurité unidirectionnelle assurée par le matériel d'une diode.
Pas de canaux de retour, ce qui empêche les pirates d'envoyer des commandes vers les systèmes compromis
Une entorse au protocole qui permet aux diodes de données de transférer des données à l'aide d'un protocole non routable
Principales différences entre les diodes de données et les pare-feu
| Fonctionnalité | Firewall | Passerelle unidirectionnelle (diode de données) |
|---|---|---|
| Mécanisme | Software(logique) | Hardware(physique) |
| Direction | Bidirectionnel (filtré) | Uniquement dans un sens |
| Vulnérabilité | Vulnérable aux erreurs de configuration et aux exploits « zero-day » | À l'abri des attaques à distance par logiciel |
| Cas d'utilisation | Sécurité informatique générale | Protection haute sécurité des systèmes OT/ICS |
Exigences réglementaires et lignes directrices internationales
En raison du profil de sécurité inviolable des diodes de données, les organismes de réglementation internationaux recommandent, voire imposent dans certains cas, leur utilisation pour segmenter les réseaux d'infrastructures critiques.
Plusieurs normes, telles que NRC, NERC CIP (énergie), CEI 62443 (industrie) et les directives TSA (chemins de fer/pipelines), imposent ou recommandent vivement la mise en place d'un flux unidirectionnel assuré par le matériel pour les infrastructures critiques. Il existe toutefois de nombreux exemples de déploiement de diodes dans des secteurs qui n'en imposent pas actuellement l'utilisation, tels que :
- Les établissements financiers, en particulier les banques, y ont désormais recours pour sécuriser les réseaux de transactions de grande valeur et pour répondre aux obligations réglementaires, afin de garantir que les données sensibles quittent la banque sans offrir de voie d'accès aux pirates informatiques. Ils sont également utilisés pour sécuriser les archives et les centres de reprise après sinistre.
- Les établissements médicaux et pharmaceutiques utilisent des diodes de données pour protéger la propriété intellectuelle et pour isoler les réseaux de technologies cliniques, tels que les moniteurs de surveillance des patients et les systèmes d'imagerie diagnostique, des réseaux informatiques de l'entreprise.
- Les organisations du secteur maritime utilisent des diodes de données pour isoler et surveiller les données provenant des salles des machines et des systèmes de commande de la direction, ainsi que pour sécuriser les transferts de données entre les navires et la terre.
Cadres réglementaires imposant ou recommandant l'utilisation de diodes de données
Vous trouverez ci-dessous un résumé des principales réglementations et directives internationales qui prescrivent ou recommandent vivement l'utilisation de passerelles unidirectionnelles.
Normes internationales
IEC 62443
La partie 3-3 (SR 5.2) porte sur la « disponibilité des ressources » et recommande l'utilisation de passerelles unidirectionnelles dans les zones à haute sécurité (niveaux 3 et 4) afin d'empêcher la propagation de logiciels malveillants et de garantir l'intégrité des données.
ISO 27019
Dans le secteur de l'énergie en particulier, ses recommandations soulignent la nécessité d'une segmentation sécurisée des réseaux, citant les diodes de données comme une « bonne pratique » pour isoler les systèmes de contrôle des processus des réseaux externes.
En Amérique du Nord
NERC CIP
Les réglementations de la NERC (North American Electric Reliability Corporation) relatives à la protection du réseau électrique comptent parmi les plus strictes. Alors que les normes CIP-002 à CIP-013 autorisent l'utilisation de pare-feu, le recours à une passerelle unidirectionnelle peut « exempter » un service public de plusieurs exigences de conformité (telles que 21 des 26 règles dans certains contextes NERC), car la passerelle empêche physiquement tout accès électronique entrant, réduisant ainsi efficacement le risque lié au « périmètre de sécurité électronique » (ESP).
NIST SP 800-82 (3e édition)
Le guide de l'Institut national des normes et des technologies (NIST) sur la sécurité des systèmes Industrial mentionne explicitement les passerelles unidirectionnelles comme une mesure de défense essentielle. Il recommande leur utilisation pour transmettre des données d'une zone OT hautement sécurisée vers une zone IT moins sécurisée, par exemple pour envoyer des données de capteurs vers une base de données dans le cloud, sans laisser aucune voie de retour à un attaquant.
NRC RG 5.71
Ce cadre établi par la NRC (Commission de réglementation nucléaire) impose un niveau élevé d'isolation pour les systèmes numériques dans les centrales nucléaires. Il désigne le flux de données unidirectionnel comme la méthode privilégiée pour la surveillance des systèmes de sûreté nucléaire à partir de réseaux externes.
En Europe
ANSSI (France) - PSSI-IV
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est l'un des principaux acteurs mondiaux dans la promotion de l'utilisation des diodes de données. Pour les opérateurs d'importance vitale (OIV), l'ANSSI impose souvent l'utilisation de diodes de données certifiées, notamment selon la norme CSPN, pour toute connexion entre les réseaux industriels les plus critiques de « classe 3 » et Internet, ou les réseaux moins sécurisés de « classe 1 ».
Directive NIS2 (à l'échelle de l'UE)
Si la directive NIS2 (sécurité des réseaux et de l'information) n'impose pas de matériel spécifique, elle exige toutefois des « entités » qu'elles mettent en œuvre des mesures de gestion des risques « à la pointe de la technologie ». Dans des secteurs tels que l'énergie et l'eau, les autorités de régulation nationales, comme le BSI en Allemagne et le CCN en Espagne, traduisent la directive NIS2 en exigences techniques qui privilégient la segmentation matérielle par rapport aux pare-feu logiciels.
En Asie et au Moyen-Orient
Arabie saoudite (NCA)
L'Autorité nationale de cybersécurité d'Arabie saoudite a publié des « normes relatives aux diodes de données » spécifiques aux secteurs critiques, précisant comment celles-ci doivent être utilisées pour protéger les infrastructures pétrolières, gazières et de services publics du Royaume.
Corée du Sud (KISA)
À l'instar de Singapour, les directives sud-coréennes relatives aux réseaux intelligents et à la sûreté nucléaire mettent fortement l'accent sur l'utilisation de passerelles unidirectionnelles pour l'exfiltration des données, afin d'empêcher toute propagation latérale depuis l'Internet public.
Des diodes de données de pointe etOT Security unifiées pour les environnementsOT Security
Les solutions MetaDefender permettent un transfert de données unidirectionnel, contrôlé par le matériel, entre les réseaux informatiques (IT) et les réseaux opérationnels (OT), garantissant ainsi une réplication sécurisée des données et une visibilité opérationnelle sans compromettre l'isolation du réseau.
Pour en savoir plus sur la manière dont OPSWAT peut vous aider àOPSWAT à respecter les cadres réglementaires régionaux et mondiaux, contactez un expert dès aujourd'hui.
