Managed File Transfer les réseaux informatiques, opérationnels et de la zone démilitarisée (DMZ)

Le transfert de fichiers IT/OT via une zone démilitarisée (DMZ) industrielle pose un problème tant sur le plan de la sécurité que de l'exploitation, car l'échange de fichiers opérationnels doit franchir les limites de segmentation mises en place pour réduire les risques cybernétiques. Industrial nécessitent toujours que les correctifs, les recettes, les journaux, les livrables des fournisseurs, les sauvegardes et les rapports circulent entre les zones selon des calendriers prévisibles.

Les canaux ponctuels tels que les e-mails, les disques partagés, les serveurs relais et les supports amovibles augmentent l'exposition aux logiciels malveillants véhiculés par les fichiers et réduisent la traçabilité. Les processus Industrial (IDMZ) nécessitent également des preuves d'audit, une harmonisation du contrôle des modifications et une application cohérente sur l'ensemble des sites afin d'éviter les exceptions ponctuelles.

Parmi les cas d'utilisation courants du transfert de fichiers entre les environnements informatiques (IT) et opérationnels (OT), on peut citer les dossiers d'ingénierie, les mises à jour des automates programmables (PLC) et des interfaces homme-machine (IHM), les extraits d'historiques, les mises à jour des signatures antivirus, les sauvegardes et les paquets de micrologiciels fournis par les fournisseurs. Les documents d'ingénierie et les mises à jour de micrologiciels nécessitent généralement des preuves de traçabilité plus rigoureuses que les rapports de routine ou les exportations périodiques de journaux.

Les flux périodiques comprennent généralement les sauvegardes programmées, les mises à jour antivirus et la transmission de rapports standard. Les flux urgents comprennent généralement les correctifs d'urgence pour les micrologiciels, l'extraction de données dans le cadre de la gestion des incidents ou les modifications de recettes soumises à des contraintes de temps. Les exigences en matière de chaîne de traçabilité sont d'autant plus strictes que les fichiers sont susceptibles de modifier des comportements critiques pour la sécurité ou d'avoir une incidence significative sur la qualité de la production.

Le modèle traditionnel de zone démilitarisée (DMZ) d'entreprise ne s'applique pas directement à l'OT, car une DMZ exposée à Internet sert principalement à réguler les accès externes, tandis qu'une DMZ industrielle vise avant tout à garantir des opérations déterministes, un contrôle rigoureux des modifications et la protection des processus critiques pour la sécurité. L'objectif de la segmentation de niveau 3.5 de Purdue est de limiter les voies d'accès à l'OT et de réduire la confiance implicite entre les zones. 

Les risques liés aux fichiers sont amplifiés dans les environnements OT, car les systèmes hérités, les fenêtres de mise à jour limitées et les contraintes de disponibilité réduisent la marge de manœuvre pour les mesures correctives réactives. Industrial exigent également des chemins de transfert prévisibles et des processus d'approbation reproductibles pouvant faire l'objet d'un audit sans créer de sessions directes entre les réseaux IT et OT. 

Le fait que toutes les connexions se terminent dans la zone DMZ implique que les transferts de fichiers entre les environnements informatiques et opérationnels (IT/OT) doivent éviter les sessions directes de bout en bout entre les terminaux de l'entreprise et les terminaux OT au-delà de la frontière de confiance. Cela signifie également que les architectures doivent éviter les serveurs à double connexion reliant les zones et les règles de pare-feu autorisant les connexions client inter-zones.

Ce principe se traduit par des contraintes justifiées : les systèmes informatiques communiquent uniquement avec les services de la zone démilitarisée (DMZ), les systèmes opérationnels (OT) communiquent uniquement avec les services de la DMZ, et les transferts de fichiers s'effectuent via des workflows de stockage et de retransmission gérés par un intermédiaire. Les points de terminaison dans la DMZ industrielle deviennent des points de contrôle pour l'inspection, la mise en quarantaine, les autorisations et la journalisation des audits.

Pour empêcher les sessions directes entre les environnements IT et OT sans perturber l'automatisation, il faut mettre en place des modèles de transfert intermédiés dans lesquels l'expéditeur se connecte uniquement à des services de transfert situés dans la zone DMZ et le destinataire OT se connecte uniquement à des services de récupération situés dans la zone DMZ. Le transfert de fichiers intermédié utilise généralement une étape de transfert vers la zone DMZ suivie d'une étape de récupération vers l'environnement OT, de sorte qu'aucune session inter-zones n'existe.

L'exposition des ports reste minimale grâce à l'utilisation de ports verrouillés, de listes d'autorisation strictes et d'identités de service limitées à chaque flux de travail. Les comptes de service spécifiques à chaque flux de travail réduisent le risque de déplacement latéral et facilitent la recertification des règles d'accès lors des revues périodiques.

Le double routage et le stockage partagé créent des ponts inter-zones involontaires, car un hôte équipé de deux cartes réseau peut servir de point de pivot pour le routage ou les identifiants au-delà des limites de segmentation. Les partages de fichiers SMB et les identifiants répliqués peuvent également compromettre l'objectif de la segmentation en permettant des chemins d'accès implicites entre zones, difficiles à recenser et à revalider.

Parmi les pratiques à éviter, on peut citer les serveurs de fichiers à double connexion qui relient simultanément les réseaux informatiques (IT) et opérationnels (OT), les dossiers SMB partagés utilisés comme points de « transfert » entre zones, ainsi que le transfert de fichiers via des hôtes intermédiaires qui contournent les points de contrôle. Le respect des limites repose sur la terminaison, l'inspection et l'autorisation explicite, plutôt que sur des voies de raccourci.

Une architecture de zone démilitarisée (DMZ) industrielle de niveau 3.5 selon le modèle Purdue pour le transfert de fichiers place la DMZ industrielle comme frontière de contrôle et d'application des politiques entre les réseaux informatiques (IT) et opérationnels (OT) de l'entreprise. Une telle architecture garantit également que les terminaux IT et OT s'intègrent aux services de la DMZ plutôt que de s'interconnecter entre eux.

Les services de base de la zone démilitarisée (DMZ) comprennent généralement une passerelle de transfert de fichiers ou un serveur de transfert de fichiers géré, un espace de stockage de quarantaine, des niveaux d'inspection et une journalisation centralisée. Le mécanisme de stockage et de retransmission par intermédiaire permet d'assurer des opérations déterministes tout en préservant l'objectif de segmentation.

Les services qui doivent être hébergés dans la zone démilitarisée (DMZ) industrielle pour assurer la sécurité des échanges de fichiers comprennent une passerelle de transfert de fichiers ou un serveur de transfert de fichiers géré, des modules d'analyse des logiciels malveillants et de sandboxing, des modules de neutralisation et de reconstruction du contenu (CDR), un espace de stockage en quarantaine et une collecte centralisée des journaux. Les services Industrial comprennent également des composants de gestion des flux de travail et d'application des politiques qui contrôlent les processus d'approbation et de validation.

Les terminaux informatiques doivent envoyer leurs fichiers vers les zones de dépôt de la zone démilitarisée (DMZ), tandis que les terminaux opérationnels doivent récupérer les paquets approuvés à partir des emplacements de transit de la DMZ. La frontière de la DMZ devient ainsi le point de contrôle unique pour l'analyse des logiciels malveillants, la désinfection, l'évaluation des politiques et l'enregistrement de la chaîne de traçabilité.

Dans une architecture intermédiaire, le modèle de pare-feu et de routage repose généralement sur une architecture IDMZ à double pare-feu, dans laquelle le trafic entre l'entreprise et la DMZ ainsi que le trafic entre les systèmes opérationnels et la DMZ sont contrôlés séparément. Les listes d'autorisation s'appliquent à l'identité de la source, de la destination, du protocole et du service, de sorte que chaque flux de travail dispose d'un chemin explicite et vérifiable.

Un nombre réduit de flux clairement définis simplifie la gestion du pare-feu par rapport à de nombreux chemins personnalisés. Les architectures de type « brokered » prennent également en charge les ports fixes et des points de terminaison de service cohérents, ce qui facilite la recertification des règles et réduit le risque que des règles trop générales ne s'étendent au fil du temps.

Le workflow consistant à « pousser » vers la DMZ puis à « tirer » vers l'OT se traduit concrètement par une séquence reproductible : ingestion, mise en quarantaine, inspection, nettoyage, validation, mise en production et livraison. Ce workflow préserve également la segmentation, car les deux côtés ne se connectent qu'aux services de la DMZ.

La méthode « push » est généralement indiquée lorsque les systèmes informatiques génèrent des paquets, tandis que la méthode « pull » est généralement indiquée lorsque les systèmes opérationnels récupèrent du contenu approuvé selon des calendriers contrôlés. Un flux de travail standard peut être appliqué dans plusieurs usines lorsque les conventions de nommage, la saisie des métadonnées et les décisions stratégiques sont cohérentes pour chaque flux.

Les modèles de transfert de données du réseau informatique vers la zone démilitarisée (DMZ) permettent de maintenir la frontière du réseau opérationnel (OT) fermée en limitant la connectivité des expéditeurs informatiques aux services d'ingestion et aux zones de dépôt de la DMZ. Parmi les modèles courants, on trouve les téléchargements planifiés, les téléchargements déclenchés par des événements et les soumissions API qui joignent les métadonnées nécessaires à la prise de décision en matière de politiques et à la conservation des preuves d'audit.

Les directives opérationnelles prévoient des conventions de nommage cohérentes, des champs de métadonnées obligatoires pour le système source et la zone de destination prévue, ainsi que le chiffrement en transit via TLS. Les soumissions effectuées par le service informatique doivent également inclure une association d'identité afin que la zone DMZ puisse enregistrer quel utilisateur ou service a initié le transfert.

Les schémas de transfert de la zone démilitarisée (DMZ) vers l'environnement opérationnel (OT) réduisent les risques et simplifient la gestion des pare-feu en faisant en sorte que les agents de récupération OT ou les tâches planifiées établissent des connexions sortantes de l'OT vers la DMZ uniquement pour récupérer les paquets approuvés. La récupération OT doit être limitée à des files d'attente ou à des répertoires spécifiques à la destination, afin que les terminaux OT ne puissent pas accéder au contenu en quarantaine non approuvé.

Pull réduit l'exposition en empêchant les connexions entrantes vers l'OT et en limitant les ports et les services accessibles depuis l'OT. La récupération OT prend également en charge les fenêtres de modification, car les systèmes OT ne peuvent effectuer de récupération que lorsque les plannings opérationnels autorisent l'installation ou la mise en place.

Les mesures de contrôle indispensables pour les transferts de fichiers dans la zone démilitarisée (DMZ) industrielle comprennent l'inspection, la désinfection, la mise en quarantaine, les autorisations, l'accès selon le principe du moindre privilège, le chiffrement et la journalisation des audits permettant de garantir la traçabilité. Ces mesures de contrôle indispensables doivent être appliquées en priorité dans la DMZ, car celle-ci constitue le point d'arrivée et la limite de la politique pour les transferts de fichiers entre zones.

Endpoint et à la destination restent pertinents, mais la zone démilitarisée (DMZ) doit constituer un point de contrôle systématique permettant d'empêcher tout contournement. Chaque contrôle doit correspondre à une étape du flux de travail afin que les équipes opérationnelles puissent anticiper les résultats et que les équipes de sécurité puissent vérifier les preuves.

L'analyse des logiciels malveillants dans la zone DMZ sans s'appuyer sur un seul moteur nécessite une analyse multi-moteurs et une détection multicouche afin d'assurer une meilleure couverture de détection des menaces connues et émergentes. Les résultats issus de l'analyse multi-moteurs doivent aboutir à des classifications claires, telles que « conforme », « non conforme » et « inconnu », afin que les flux de travail restent déterministes.

Les résultats ayant échoué doivent rester en quarantaine et faire l'objet d'une procédure d'escalade. Les résultats inconnus doivent rester en quarantaine dans l'attente d'analyses supplémentaires, telles que des tests dans un environnement de test ou des politiques d'inspection approfondie. La politique relative à la zone démilitarisée (DMZ) doit définir des délais d'expiration, les étapes de vérification par les analystes et les règles de déblocage afin que la quarantaine ne se transforme pas en un arriéré incontrôlé.

La désarmement et la reconstruction de contenu (CDR) s'avèrent plus efficaces que les approches axées uniquement sur la détection lorsqu'un nettoyage axé sur la prévention est nécessaire pour supprimer le contenu actif, même lorsque la détection des logiciels malveillants indique que les fichiers sont sains. La CDR réduit les risques en reconstruisant les fichiers afin de préserver leur utilité opérationnelle tout en supprimant les composants actifs, tels que les macros ou les objets intégrés, conformément à la politique en vigueur.

Les types de fichiers qui tirent souvent profit de la désinfection comprennent les documents bureautiques, les PDF et les fichiers d'archives susceptibles de contenir des scripts ou des charges utiles intégrées. Les politiques privilégiant la désinfection réduisent également la dépendance à l'égard de la couverture des signatures et limitent l'exposition opérationnelle aux documents « sains mais armés » qui pénètrent dans l'environnement OT.

Sandbox pour les transferts à haut risque ou à fort impact intègre une analyse dynamique afin de détecter les comportements que l'analyse statique peut ne pas repérer. Sandbox doivent être basés sur le type de fichier, le niveau de confiance de la source, le niveau de criticité de la destination et les schémas de menaces observés historiquement dans l'environnement.

Sandbox doivent servir de base aux décisions stratégiques, avec des délais clairement définis, afin que les équipes opérationnelles puissent anticiper les retards. La politique relative à la zone démilitarisée (DMZ) doit préciser comment les conclusions du bac à sable se traduisent concrètement en termes de durée de mise en quarantaine, d'exigences d'examen par les analystes et de procédures d'escalade pour les cas de maintenance urgente.

La prévention des pertes de données (DLP) pour les transferts de fichiers entre zones doit mettre en œuvre des contrôles proactifs, tels que la recherche de mots-clés et de motifs, la gestion de la classification et les restrictions de destination. L'application des mesures DLP doit s'aligner sur les politiques par flux afin d'empêcher que des données sensibles ne soient transférées vers des zones ou des destinations non autorisées.

Le risque de blocage excessif doit être géré au moyen d'une mise en œuvre progressive et de listes d'autorisation spécifiques aux flux, qui tiennent compte des besoins opérationnels. Les champs de données doivent consigner les règles DLP appliquées, les résultats des comparaisons et les mesures prises, afin que les rapports de conformité puissent attester d'un traitement cohérent.

Le principe du privilège minimal et les autorisations pour les transferts de fichiers entre zones nécessitent un contrôle d'accès basé sur les rôles, une séparation des tâches et un accès limité dans le temps, aligné sur les fenêtres de maintenance et les contraintes liées aux interruptions de service. Les politiques de privilège minimal doivent empêcher l'utilisation de comptes partagés et définir les autorisations en fonction du flux de travail, de la destination et du type de fichier.

Les modèles de validation doivent pouvoir être déployés à l'échelle de l'ensemble des sites grâce à des rôles harmonisés, à une collecte cohérente des données justificatives et à l'automatisation des processus à faible risque. La gouvernance doit également définir des procédures d'urgence, assorties d'exigences explicites en matière de journalisation et d'analyse a posteriori.

Le contrôle d'accès basé sur les rôles (RBAC) pour les intermédiaires de fichiers IT-OT-DMZ répartit les responsabilités entre différents rôles, tels que le soumissionnaire, le réviseur, le validateur et le récupérateur OT. Le RBAC doit garantir qu'un soumissionnaire ne puisse pas publier unilatéralement du contenu dans l'OT et qu'un récupérateur OT ne puisse pas accéder au contenu mis en quarantaine.

L'intégration des identités avec les fournisseurs d'identité existants peut réduire la charge administrative, mais les risques liés aux identités dans le domaine des technologies opérationnelles (OT) doivent rester maîtrisés grâce à la délimitation du périmètre, à la segmentation et au principe du privilège minimal. Les comptes de service doivent être uniques pour chaque flux de travail afin de faciliter l'audit et d'empêcher la réutilisation des privilèges entre des transferts sans rapport les uns avec les autres.

L'accès limité dans le temps pour les fournisseurs et les situations d'urgence doit s'appuyer sur des identifiants à durée de validité limitée, des autorisations temporaires et des droits d'accès strictement délimités pour chaque workflow. L'accès limité dans le temps réduit l'exposition continue et aligne les créneaux d'accès sur les calendriers de maintenance et les délais d'approbation des modifications.

Les exigences en matière de journalisation doivent préciser qui a demandé l'accès, qui l'a approuvé, quelle portée a été accordée et quels fichiers ont été transférés dans le cadre de la politique d'urgence. Les mesures d'urgence doivent donner lieu à la constitution d'un dossier de preuves explicite destiné à être examiné, afin de garantir la responsabilité en cas d'urgence.

La journalisation d'audit pour les transferts de fichiers entre les environnements IT, OT et DMZ, conçue pour répondre aux exigences de conformité, doit fournir une preuve de la chaîne de responsabilité de bout en bout à travers ces environnements, sans recourir à la création manuelle de tickets. Elle doit faciliter les enquêtes, le reporting de conformité et le dépannage opérationnel grâce à des identifiants cohérents à toutes les étapes du flux de travail.

Les preuves de la chaîne de contrôle doivent indiquer qui a soumis un fichier, quelles opérations d'inspection et de désinfection ont été effectuées, qui a approuvé la diffusion et si la livraison a été confirmée. La journalisation centrée sur la zone démilitarisée (DMZ) réduit la dépendance à l'égard de la visibilité des terminaux OT et préserve la segmentation.

Les champs de journalisation minimaux permettant de déterminer qui a envoyé quel fichier et où celui-ci a été acheminé comprennent l'identité de l'utilisateur et celle du service, la zone source et la zone de destination, les noms de fichiers, les hachages de fichiers (tels que SHA-256), les horodatages pour chaque étape du flux de travail, la politique appliquée, les résultats de l'inspection et de la désinfection, les enregistrements d'approbation et la confirmation de livraison. Les identifiants de corrélation doivent relier les événements d'ingestion, de mise en quarantaine, d'inspection, de libération et de livraison.

La cohérence des champs de journalisation permet d'assurer la traçabilité dans les déploiements multi-sites. Le hachage garantit la non-répudiation et facilite la gestion des incidents en prouvant l'intégrité des fichiers tout au long du chemin de transfert.

La surveillance opérationnelle et les alertes doivent être générées à partir des journaux d'audit en utilisant des critères d'alerte tels que les échecs répétés, les violations de politique, les types de fichiers inhabituels, les volumes de transfert anormaux et les classements inconnus répétés signalés par les moteurs d'inspection. Les tableaux de bord opérationnels doivent suivre le débit, le volume de fichiers en attente de quarantaine et les taux de confirmation de livraison afin de garantir la fiabilité du système.

L'intégration SIEM facilite la corrélation des données de sécurité, tandis que les tableaux de bord opérationnels permettent de surveiller l'état des services et d'assurer la prévisibilité des flux de travail. Les seuils d'alerte doivent être ajustés en fonction de chaque flux, afin que les destinations critiques déclenchent une escalade plus rapide que les envois de rapports de faible importance.

La principale différence entre le transfert de fichiers géré et un serveur SFTP autonome dans une zone démilitarisée (DMZ) des technologies opérationnelles (OT) réside davantage dans la gouvernance, l'intégration des contrôles et la traçabilité que dans la prise en charge des protocoles. Le transfert de fichiers géré offre un plan de contrôle pour les réseaux segmentés en orchestrant les politiques au cas par cas, en appliquant la mise en quarantaine et les autorisations, et en centralisant la collecte des preuves.

Un serveur SFTP autonome sert souvent de point de terminaison de transport qui s'appuie sur des processus externes pour l'analyse, les validations et la génération de rapports. Les déploiements Industrial nécessitent généralement des points de contrôle cohérents qui restent fiables à l'échelle d'un réseau multisite.

Les solutions SFTP autonomes déployées dans la zone démilitarisée (DMZ) présentent généralement des défaillances opérationnelles en raison des validations manuelles, de l'incohérence des analyses antivirus, de l'utilisation de comptes partagés, de la collecte limitée des métadonnées et de la fragmentation des journaux entre plusieurs systèmes. Les étapes manuelles augmentent également le risque de contournement des mesures de sécurité, en particulier lors des fenêtres de maintenance urgentes.

La gestion multi-sites accentue les lacunes, car chaque site a tendance à mettre en œuvre des contrôles de scan, de conservation et d'accès légèrement différents. La fragmentation des preuves ralentit également les enquêtes, car la vérification de la chaîne de conservation nécessite une mise en correspondance manuelle entre des journaux et des systèmes de tickets disparates.

Un système de transfert de fichiers géré tenant compte des périmètres de sécurité doit offrir une orchestration des politiques au niveau de chaque flux, des contrôles de mise en quarantaine et de déblocage, une sécurité intégrée des fichiers à plusieurs niveaux, ainsi qu'une visibilité centralisée sur l'ensemble des zones. Il doit également prendre en charge plusieurs niveaux d'inspection, notamment l'analyse multiplisée, l'enregistrement des données de connexion (CDR), l'analyse en bac à sable et l'application des politiques de prévention des fuites de données (DLP) tout au long du parcours de transfert.

OPSWAT MetaDefender File Transfer™ (MFT) illustre parfaitement une plateforme de transfert de fichiers géré axée sur la sécurité, qui intègre les technologies Metascan™ Multiscanning, Deep CDR™, Proactive DLP™ et l'analyse en sandbox au sein d'un flux de travail unifié. La gouvernance centralisée garantit une application cohérente des politiques dans les environnements informatiques, IDMZ et OT.

La mise au propre des fichiers CDR, par opposition à l'analyse antivirus des fichiers entrant dans l'environnement OT, marque la différence entre une approche axée sur la prévention (reconstruction) et une approche axée sur la détection (identification) des contenus malveillants. Les contrôles multicouches réduisent les risques liés aux menaces inconnues et générées par l'IA en combinant une analyse multi-moteurs, la mise au propre des formats à haut risque et une analyse en bac à sable facultative pour les cas suspects.

Les critères de sélection doivent mettre en correspondance le type de fichier et le niveau de criticité de la destination afin de déterminer le niveau de contrôle. Les politiques doivent préciser quels types de fichiers doivent être nettoyés par défaut et quels types de fichiers peuvent se contenter d'une analyse, avec des déclencheurs d'escalade.

Une analyse antivirus peut démontrer qu'un moteur d'analyse n'a pas détecté de contenu malveillant connu sur la base des signatures et des règles heuristiques disponibles au moment de l'analyse, mais elle ne permet pas de garantir qu'un fichier est sans danger pour une utilisation dans un environnement OT. Les faux négatifs et les nouvelles menaces continuent de présenter un risque opérationnel important dans les environnements critiques.

Les cas jugés « sains » mais suspects doivent rester en quarantaine dans l'attente d'une analyse approfondie, comprenant notamment plusieurs analyses, des tests de déclenchement en bac à sable ou des politiques d'assainissement. La conception du flux de travail doit garantir que les résultats « sains » permettent tout de même de conserver des preuves et de faciliter une enquête ultérieure en cas d'anomalies opérationnelles.

La désinfection de type Deep CDR™ Technology constitue le mode par défaut le plus sûr lorsqu'il est nécessaire de réduire les risques liés au contenu actif, même lorsque les résultats de détection sont négatifs. La désinfection réduit les risques en supprimant ou en neutralisant les éléments actifs, tout en conservant le contenu utilisable pour les besoins opérationnels.

Parmi les exemples de politiques, on peut citer la « désinfection par défaut » des documents Office et des fichiers PDF entrant dans des zones de transit OT à haut niveau de criticité, une gestion plus stricte des archives imbriquées, ainsi qu'une gestion contrôlée des artefacts d'ingénierie en fonction du niveau de criticité de leur destination. Les politiques de désinfection doivent consigner les transformations effectuées afin de préserver la traçabilité.

Le choix entre une diode de données et une zone démilitarisée (DMZ) à double pare-feu pour le transfert de fichiers OT est un choix de conception entre une application unidirectionnelle et des flux de travail bidirectionnels contrôlés qui aboutissent toujours dans la DMZ. Les architectures à diode de données garantissent la directionnalité de par leur conception, tandis que les architectures IDMZ à double pare-feu assurent la directionnalité par le biais de politiques et de listes d'autorisation.

Une transmission unidirectionnelle modifie les attentes en matière de flux de travail, car les accusés de réception et le dépannage interactif s'en trouvent limités. Un transfert bidirectionnel contrôlé peut rester justifiable lorsque les cas d'utilisation exigent la bidirectionnalité et que les contrôles compensatoires restent explicites et vérifiables.

Une diode de données est nécessaire pour les transferts entre les réseaux OT et IT lorsque la tolérance au risque, la réglementation ou les environnements à haut risque imposent une télémétrie strictement unidirectionnelle et une réduction de la surface d'attaque. Les cas d'utilisation des diodes de données comprennent généralement la surveillance unidirectionnelle, la réplication vers l'extérieur des données d'historique, ou les environnements réglementés qui restreignent tout flux entrant vers les réseaux OT.

Parmi les compromis opérationnels, on peut citer une capacité réduite à confirmer la réception par le biais d'accusés de réception interactifs et une capacité réduite à résoudre les problèmes en temps réel. La conception du flux de travail doit inclure des méthodes de preuve alternatives, telles que la confirmation de livraison côté DMZ et les journaux immuables.

La mise en place de deux pare-feu dans une zone démilitarisée (DMZ) industrielle permet de répondre aux besoins bidirectionnels de manière contrôlée, en garantissant que chaque flux, dans les deux sens, aboutisse toujours dans la DMZ, où il est soumis à des points de contrôle, à des mesures de quarantaine et à une application stricte des politiques. Les flux bidirectionnels doivent rester limités à des cas d'utilisation justifiés, tels que la livraison de mises à jour par les fournisseurs, l'exportation contrôlée de données ou les éléments nécessaires au rapprochement des données.

Les contrôles compensatoires doivent être documentés, notamment les listes d'autorisation strictes, les ports verrouillés, les identités de service par flux et les exigences en matière d'approbation. La documentation doit également inclure une recertification périodique des règles de pare-feu afin d'éviter la prolifération des règles.

La transmission de fichiers par les fournisseurs vers les réseaux opérationnels (OT) via une zone démilitarisée (DMZ) doit s'appuyer sur un processus adapté aux fournisseurs, qui mette fin à leur accès dans la DMZ et garantisse l'inspection, la mise en quarantaine, un accès limité dans le temps et la journalisation des audits. Ces processus doivent empêcher tout accès direct des fournisseurs aux ressources OT, tout en garantissant des délais de livraison prévisibles pour la planification opérationnelle.

L'authentification et l'autorisation doivent être limitées aux zones de dépôt et aux types de fichiers propres à chaque fournisseur. La publication dans la zone DMZ doit faire l'objet d'une approbation formelle et donner lieu à une confirmation de livraison vers l'environnement de préproduction OT.

L'authentification des prestataires, sans comptes partagés ni accès permanents, doit s'appuyer sur des identités individuelles, recourir à l'authentification multifactorielle lorsque cela est possible, et prévoir des accès à durée limitée alignés sur les fenêtres de maintenance. Les identités des prestataires doivent être limitées à des zones de dépôt spécifiques et soumises à des politiques restrictives concernant les types de fichiers, afin de réduire les risques d'exposition.

L'accès doit se limiter à la soumission et à la consultation du statut, et non à la récupération directe des OT. L'accès des fournisseurs doit également inclure l'application de règles concernant les destinations autorisées, afin que les colis des fournisseurs ne puissent pas être acheminés au-delà des zones de transit OT approuvées.

Les fichiers des fournisseurs passent de la quarantaine à la validation en entrant dans le stockage de quarantaine de la zone DMZ, où ils sont soumis à une analyse antivirus, à une désinfection si nécessaire et à une analyse en bac à sable lorsque les conditions de la politique sont remplies. Leur récupération par les équipes opérationnelles ne doit être autorisée qu'après validation et une fois que la politique a marqué le paquet comme approuvé.

La validation doit être effectuée par des rôles désignés, avec une séparation des tâches, tels que les vérificateurs et les responsables de la mise en production. Les preuves doivent inclure les résultats des contrôles, les mesures de nettoyage, les horodatages et l'identité du validateur.

Les erreurs de configuration des transferts de fichiers dans la zone démilitarisée (DMZ) de l'infrastructure OT (Operational Technology) créent des risques en rétablissant une connectivité entre les zones, en affaiblissant les barrières de contrôle ou en compromettant la traçabilité des autorisations et des accès. Pour prévenir ces erreurs de configuration, il est nécessaire de définir des règles explicites interdisant certaines pratiques, de procéder à des revues régulières et de mettre en place des mécanismes de surveillance permettant de détecter rapidement tout contournement des mesures de sécurité.

Parmi les schémas présentant des risques, on peut citer les identités partagées, la multiplication des partages SMB, la prolifération des règles de pare-feu et les opérations de copie manuelles qui contournent la quarantaine. Les normes doivent traduire ces modes de défaillance en exigences architecturales et opérationnelles applicables.

Les comptes partagés et les étapes de copie manuelles nuisent à la traçabilité, car le partage des identifiants supprime la non-répudiation et empêche une attribution fiable lors des enquêtes. Les étapes de copie manuelles augmentent également le risque que certaines étapes de vérification soient ignorées en raison de la pression du temps.

La séparation des rôles et l'identification individuelle devraient être obligatoires pour les opérations de soumission, d'examen, de publication et de récupération. Les flux de travail automatisés avec validations réduisent le recours à des pratiques informelles et fournissent des preuves cohérentes utiles pour les audits et la gestion des incidents.

La prolifération des partages SMB et des règles de pare-feu crée des voies d'accès invisibles, car les schémas d'accès SMB ont tendance à s'étendre au fil du temps et les règles de pare-feu générales deviennent difficiles à contrôler. Ces voies d'accès invisibles compromettent l'objectif de la segmentation en permettant des mouvements latéraux non suivis.

La fixation des services et les listes d'autorisation strictes limitent les extensions accidentelles. Une vérification périodique des règles de pare-feu doit permettre de s'assurer que chaque règle correspond à un flux de travail approuvé et que les règles restent limitées aux points de terminaison de la zone démilitarisée (DMZ), sans permettre d'accès de bout en bout.

Une liste de contrôle pour le renforcement de la sécurité des transferts de fichiers dans une zone démilitarisée (DMZ) industrielle permet de normaliser les examens d'architecture, l'intégration des sites et la gestion des changements en transformant les contrôles de la DMZ en éléments de vérification reproductibles. Une telle liste de contrôle doit être alignée sur la terminaison de la DMZ, les points de contrôle, les workflows de gouvernance et les exigences en matière de preuves d'audit.

La normalisation fondée sur des listes de contrôle réduit les divergences entre les sites et améliore la coordination entre les parties prenantes en matière de sécurité. Les éléments de ces listes doivent être formulés sous forme d'énoncés vérifiables, pouvant être testés lors de la mise en œuvre et recertifiés lors des revues périodiques.

Les contrôles de renforcement Firewall des services pour les transferts acheminés vers la zone DMZ doivent vérifier la présence de ports fixes, l'application de listes d'autorisation strictes, l'absence de sessions directes entre les réseaux informatiques (IT) et opérationnels (OT), ainsi que l'absence de systèmes de pontage à double connexion. Les modèles d'accès administratif doivent également être restreints afin que l'accès de gestion ne crée pas de voies détournées vers les réseaux OT.

La stratégie de correction des systèmes de la zone démilitarisée (DMZ) doit s'aligner sur les fenêtres de maintenance et donner la priorité à la réduction au minimum des interruptions de service. La recertification des règles doit permettre de vérifier que chaque règle correspond à un flux de travail documenté et que la terminaison reste dans la DMZ.

Les contrôles de renforcement de la sécurité et de la désinfection pour les types de fichiers à haut risque doivent vérifier la couverture des analyses multiples, la couverture des politiques CDR, les déclencheurs de la sandbox, les limites de gestion des archives, ainsi que le comportement en quarantaine en cas d'échec ou de résultats inconnus. La gestion des archives doit inclure des limites d'extraction des archives imbriquées et des contrôles de détection précise des types de fichiers.

La gestion des exceptions doit faire l'objet d'une justification consignée, d'une autorisation explicite et de la conservation des pièces justificatives. Les exceptions doivent également donner lieu à un examen périodique afin d'éviter que des dérogations temporaires ne se transforment en contournements permanents.

Les spécifications de l'appel d'offres pour le transfert de fichiers géré sur les réseaux informatiques, opérationnels et de la zone démilitarisée (DMZ) doivent accorder la priorité à l'application des limites, à la sécurité multicouche des fichiers, à la gouvernance centralisée et à la traçabilité pour les environnements segmentés. Le libellé de l'appel d'offres doit rester axé sur les flux de travail, de sorte que les spécifications reflètent la terminaison dans la DMZ, les points de contrôle, les validations et la collecte de preuves, plutôt que les seules fonctionnalités de transport.

Les exigences de l'appel d'offres doivent également porter sur la haute disponibilité, les opérations hors ligne ou en cas de réseau limité, ainsi que sur la mise en œuvre cohérente des politiques sur l'ensemble des sites. Elles doivent préciser comment la plateforme met en œuvre les flux de travail de type « push vers la DMZ puis pull vers l'OT » sans créer de sessions inter-zones.

Les exigences en matière de protocoles et de connecteurs doivent inclure les protocoles courants nécessaires dans les environnements d'entreprise et industriels, sans se focaliser excessivement sur le transport. Les attentes en matière d'intégration doivent inclure la prise en charge du comportement de stockage et de retransmission, ainsi que celle des réseaux à bande passante limitée ou déconnectés.

Les spécifications de l'appel d'offres doivent prévoir un comportement prévisible en matière de tentatives de reconnexion, des transferts reprenables pour les fichiers volumineux, ainsi que des contrôles de bande passante respectant les opérations de l'installation. Les spécifications relatives aux connecteurs doivent également porter sur la gestion de l'identité des services et, dans la mesure du possible, sur l'intégration avec les systèmes d'identité.

Les exigences en matière d'orchestration des politiques doivent préciser la définition des politiques par flux, les workflows de mise en quarantaine et de libération, le routage automatisé et la séparation des tâches. L'orchestration des politiques doit inclure des points d'intégration explicites pour l'analyse multiple, les enregistrements CDR, le sandboxing et l'application des règles DLP tout au long du chemin de transfert.

Les exigences relatives au processus de validation doivent prévoir des niveaux de validation hiérarchisés ainsi qu'une automatisation des flux à faible risque, avec une gestion documentée des exceptions. Elles doivent également préciser les champs de données à enregistrer à chaque étape à des fins d'audit et d'enquête.

Les exigences en matière de visibilité et de piste d'audit doivent préciser les exigences relatives aux rapports et aux champs des journaux, les contrôles de conservation, ainsi que l'exportation vers des plateformes SIEM ou des plateformes de journaux centralisées. Les exigences relatives à la journalisation immuable doivent préciser les contrôles de protection contre la falsification et les contrôles d'accès pour la récupération des preuves.

Les exigences relatives à la confirmation de livraison doivent préciser qu'il faut apporter la preuve que les colis approuvés ont bien atteint la zone de transit OT et ont été récupérés par des personnes autorisées. Les exigences relatives aux preuves de colis doivent préciser les hachages, les horodatages, les résultats d'inspection, les validations et les identifiants de corrélation.

Grâce aux technologies Metascan Multiscanning, Deep CDR™, Proactive DLP et au sandboxing, MetaDefender Managed File Transfer MFT) est la solution de transfert de fichiers géré (MFT) OPSWATqui réduit les risques liés aux fichiers grâce à un contrôle centralisé des transferts de fichiers IT/OT gérés via une zone démilitarisée (DMZ) industrielle.