Transmission des journaux, des alertes et des données de télémétrie via une diode de données

Découvrez comment
Nous utilisons l'intelligence artificielle pour les traductions de sites et, bien que nous nous efforcions d'être précis, il se peut que les traductions ne soient pas toujours exactes à 100 %. Nous vous remercions de votre compréhension.
Gouvernement - Histoires de clients

La force navale de l'OTAN met en place un système de sécurité des fichiers interdomaines certifié NCSC, capable de traiter plus d'un million de fichiers par jour

Dans un contexte de défense très strict, le client a combiné OPSWAT afin de combler une faille de sécurité critique dans le cadre d'exigences de conformité impératives.
By Oana Predoiu
Partager cet article

À propos de l'entreprise : Force navale de premier plan au sein de l'OTAN, comptant parmi celles qui affichent l'une des plus longues histoires opérationnelles ininterrompues au monde, le client dispose d'une capacité maritime couvrant l'ensemble du spectre, allant de la préparation nucléaire aux interventions humanitaires. Menant des opérations complexes reposant sur des informations classifiées et extrêmement sensibles, il évolue dans l'un des environnements de cybersécurité les plus exigeants du secteur des infrastructures critiques.

De quoi s'agit-il ? Le client avait besoin, d'un point de vue opérationnel, de transférer des données complexes et variées au-delà de frontières de sécurité critiques, mais ne disposait d'aucune méthode approuvée pour y parvenir, et était soumis à un cadre de conformité strict qui fixait des critères très exigeants quant à ce qui était considéré comme « approuvé ». Pour combler ces lacunes, il a mis en œuvre OPSWAT de manière modulaire, spécialement conçus pour répondre aux exigences du NCSC régissant les transferts de données au-delà des frontières de sécurité. Ensemble, nous avons développé la première solution d’import/export via une passerelle interdomaines certifiée par le gouvernement à grande échelle, comblant ainsi une lacune critique au sein de l’organisation.

En raison de la nature de l'activité, le nom de l'organisation présentée dans cet article est resté anonyme afin de protéger l'intégrité de son travail.

INDUSTRIE :

Défense / Gouvernement

LOCATION :

L'Europe

TAILLE :

+30 000 membres du personnel permanent

PRODUITS UTILISÉS :

MetaDefender
MetaDefender File Transfer™
MetaDefender Diode™

TECHNOLOGIES UTILISÉES :

Metascan™ Multiscanning,technologie Deep CDR™, Adaptive Sandbox

La cybersécurité n'a jamais été un défi facile à relever, mais dans les secteurs des infrastructures critiques, les responsables de la sécurité évoluent dans une catégorie à part.

Tout commence par les adversaires, qui ne sont pas des criminels opportunistes à la recherche d'un gain rapide.

Il s'agit de groupes soutenus par des États et opérant avec des ressources gouvernementales, ou de réseaux organisés de cybercriminalité dont les objectifs vont des attaques par ransomware à l'espionnage à long terme.

Dire que les enjeux sont importants serait un euphémisme ; le rapport 2024 du FBI sur la cybercriminalité a recensé plus de 4 800 plaintes émanant d’organisations gérant des infrastructures critiques. Ce chiffre peut sembler modeste, jusqu’à ce qu’on le replace dans le contexte d’une année ; d’un point de vue statistique, cela peut représenter 13 attaques par jour, soit une toutes les deux heures. Pour les organisations de défense en particulier, une attaque réussie peut porter directement atteinte à la souveraineté nationale.

Il n’est pas surprenant qu’un environnement de menaces aussi intense soit régi par des cadres de conformité stricts et non négociables, tels que ceux du NCSC (National Cyber Security Centre) au Royaume-Uni.

Parallèlement, les solutions de sécurité conformes au NCSC doivent pouvoir être déployées à l'échelle de l'ensemble du système. Les organisations de défense sont structurées en plusieurs niveaux ; leur protection doit donc être modulaire et applicable à l'ensemble de l'organisation, et pas seulement aux entités qui ont identifié le besoin en premier lieu.

C'est dans ce contexte qu'une force navale de premier plan de l'OTAN s'est associée à OPSWAT un mandat clair : mettre au point une solution interdomaines (CDS) certifiée et conforme aux normes du NCSC, capable de s'étendre au-delà d'une seule division et de servir de base à une adoption à grande échelle.

Conception d'une architecture CDS évolutive prenant en charge plusieurs types de fichiers et plusieurs branches, sans aucune marge de manœuvre réglementaire

Notre client était confronté à un défi qui semblait, au premier abord, impossible à résoudre.

Mise en place d'une solution CDS pour les flux de données IMPEX (importation/exportation) entre différents niveaux de classification, conforme aux exigences strictes du NCSC en matière de séparation des réseaux. La solution devait être évolutive et reproductible dans plusieurs branches du secteur de la défense, prendre en charge un large éventail de types de fichiers et garantir le plus haut niveau possible de résilience face aux cybermenaces.

Examinons chacune de ces couches tour à tour.

Il n'existait aucune passerelle interdomaines IMPEX approuvée

Les réseaux classifiés au sein des institutions gouvernementales et de défense nécessitent des règles officiellement approuvées régissant les flux de données IMPEX, dont l'application est assurée par une passerelle interdomaines IMPEX. Au départ, celle-ci n'existait pas dans les systèmes de notre client.

Concrètement, cela signifie qu’il n’existait absolument aucun processus numérique validé pour les opérations IMPEX. En l’absence d’un tel processus, le client ne pouvait pas transférer des données d’une catégorie de classification à une autre de manière traçable et prête à être soumise à un audit.

Capacités d'inspection nécessaires pour prendre en charge plusieurs types de fichiers

Plusieurs types de données transitaient par des réseaux classifiés à différents niveaux : fichiers utilisateur, correctifs de sécurité, mises à jour de micrologiciels matériels, applications conteneurisées et logiciels militaires sur mesure devaient tous franchir la même frontière. Ces données devaient faire l'objet d'une inspection minutieuse afin de s'assurer qu'aucun élément malveillant n'ait pu pénétrer dans des environnements hautement classifiés.

Cependant, plus les données sont volumineuses et complexes, plus il est difficile de s’assurer qu’elles sont « propres ». Certains types de fichiers ne pouvaient pas être traités comme des documents ordinaires. Les correctifs, les programmes d’installation, les micrologiciels, les scripts et les logiciels militaires sur mesure nécessitaient une inspection comportementale, car une analyse statique seule ne permettait pas de déterminer comment ils se comporteraient une fois introduits dans un environnement classifié. Parallèlement, toute lacune dans la couverture aurait pu compromettre la barrière de sécurité elle-même.

Des normes strictes exigeaient une séparation absolue des réseaux

Le cadre NCSC impose des règles strictes concernant la manière dont les données doivent circuler entre les différents niveaux de classification. Les SEF (Security Enforcing Functions, ou fonctions d'application de la sécurité) jouent un rôle central à cet égard : il s'agit de contrôles de sécurité couvrant tous les aspects, de la détection des logiciels malveillants à la validation des formats.

Dans le cadre du NCSC, le client a dû établir des règles strictes en matière de séparation des réseaux (classification SECRET/OPEN). Les environnements classifiés et non classifiés ne doivent en aucun cas communiquer entre eux, la passerelle CDS faisant office de barrière absolue.

Le non-respect des critères de scan des SEF pourrait entraîner soit l'intrusion d'un fichier malveillant dans un réseau classifié, soit l'extraction d'informations sensibles.

Mettre au point une solution susceptible d'être adoptée à plus grande échelle

L'objectif n'a jamais été de résoudre un seul problème.

Ce service gouvernemental couvre plusieurs branches, agences, sites et commandements, et la solution « Cross Domain » mise en œuvre par le client devait fonctionner dans l'ensemble de ces entités.

Une solution qui ne fonctionnerait que dans un seul contexte laisserait une autre partie du service confrontée à une lacune identique. Le client devait mettre en place un système susceptible de devenir une norme cohérente et d'être étendu à l'ensemble de l'organisation.

Quand il n'y a aucune marge d'erreur : une architecture interdomaines multicouche certifiée NCSC

Le défi posé par le client ne pouvait pas être relevé avec un seul produit.

Au lieu de cela, OPSWAT une architecture à plusieurs facettes, s'appuyant sur divers produits et technologies, dans laquelle chaque couche contribue à l'objectif global : veiller à ce qu'aucun élément ne franchisse les limites de classification sans avoir été contrôlé.

Séparation physique des réseaux grâce à la MetaDefender Optical DiodeDiode™

Le principe de base de cette architecture reposait sur des diodes de données matérielles, qui imposent un flux de données unidirectionnel au niveau du réseau. Contrairement aux contrôles logiciels, qui peuvent être mal configurés ou contournés, une diode matérielle rend physiquement impossible tout reflux de données.

Des contraintes physiques garantissent la séparation absolue entre les réseaux « SECRET » et « OPEN », comme l'exige le NCSC.

Optical Diode MetaDefender Optical Diode conçue pour permettre un transfert de données unidirectionnel sécurisé et contrôlé par le matériel entre les réseaux informatiques (IT) et les réseaux opérationnels (OT), rendant ainsi physiquement impossible le passage du trafic provenant de niveaux de classification inférieurs vers des environnements protégés.

Gestion des fichiers à plusieurs niveaux via la plateforme MetaDefender Core™

Chaque fichier qui franchit la frontière est intercepté et analysé par MetaDefender Core, le niveau d'analyse étant adapté à l'environnement de destination.

Les fichiers entrant dans le réseau SECRET passent par l'ensemble de la pile : une analyse multiple utilisant plusieurs moteurs afin d'élargir les taux de détection, ainsi que la technologie Deep CDR™ pour éliminer toute menace cachée. LeSandbox Adaptive Sandbox une analyse dynamique basée sur l'émulation aux fichiers suspects, forçant ainsi les logiciels malveillants évasifs à révéler des comportements qui pourraient passer inaperçus lors d'une inspection statique ou d'un bac à sable traditionnel basé sur une machine virtuelle.

Les fichiers transférés vers des environnements de niveau de sécurité inférieur sont systématiquement analysés à l'aide de plusieurs moteurs anti-malware, ce qui garantit une protection constante à chaque étape du flux.

MetaDefender Core la plateforme avancée de détection et de prévention des menaces OPSWAT; elle combine la technologie Deep CDR™, Multiscanning Metascan™ etSandbox Adaptive Sandbox sécuriser les flux de fichiers au sein des infrastructures critiques.

Transfert automatisé de fichiers grâce à la technologie MetaDefender Managed File TransferTransfer™

Managed File Transfer (MFT) MetaDefender automatise l'importation et l'exportation de tous les types de données traités par le client, créant ainsi un pipeline réglementé et auditable.

Rien ne se déplace manuellement, rien ne se déplace sans être suivi, et rien ne contourne les niveaux de contrôle.

Managed File Transfer MetaDefender Managed File Transfer des contrôles basés sur des politiques et une prévention intégrée des menaces afin de transférer en toute sécurité des fichiers sensibles entre des organisations, des systèmes ou des zones de sécurité.

Architecture certifiée par le NCSC

L'architecture reposant sur les produits OPSWATrespecte les modèles de sécurité définis par le NCSC pour les flux de données interdomaines. Elle est devenue la première solution IMPEX certifiée par l'État, ce qui signifie qu'elle peut être adoptée comme norme uniforme dans les autres branches de l'organisation sans qu'il soit nécessaire de la repenser entièrement.

Le développer une seule fois, le développer correctement, et le faire évoluer pour traiter plus d'un million de fichiers par jour

Au fond, le CDS consiste à assembler les éléments adéquats pour former un système capable de résister aux réglementations les plus strictes, quel que soit le type de fichier, et à l'échelle requise par les opérations de défense réelles.

Le contexte est impitoyable : des adversaires sophistiqués et extrêmement motivés, une tolérance zéro envers les manquements à la conformité et aucune marge d'erreur.

Pour notre client, la mise en œuvre à grande échelle du CDS n'est plus un problème. Ensemble, nous avons mis en place une architecture certifiée et modulaire, capable de traiter plus d'un million de fichiers par jour.

Si cela semble simple, c'est uniquement parce OPSWAT consacre à la sécurité des fichiers depuis plus de vingt ans, au sein des environnements les plus exigeants que l'on puisse trouver dans les infrastructures critiques.

Que votre entreprise soit confrontée à un défi similaire impliquant plusieurs domaines ou à un problème plus général de sécurité des fichiers au sein d'une infrastructure critique, OPSWAT l'expérience nécessaire pour vous aider ; n'hésitez pas à nous contacter.

Histoires similaires

Jun 25, 2026 | Nouvelles de l'entreprise

OPSWAT à l'un des trois principaux fabricants de semi-conducteurs OPSWAT des pertes liées aux temps d'arrêt s'élevant à 1 million de dollars par heure

Jun 24, 2026 | Nouvelles de l'entreprise

Visana renforce la sécurité du téléchargement de fichiers pour ses clients sans alourdir ses coûts d'exploitation

Jun 17, 2026 | Nouvelles de l'entreprise

Un leader mondial du secteur de l'énergie passe d'une protection contre les vulnérabilités héritées à Industrial moderne

Restez à jour avec OPSWAT!

Inscrivez-vous dès aujourd'hui pour recevoir les dernières mises à jour de l'entreprise, de l'entreprise, des histoires, des informations sur les événements, et plus encore.