Le modèle « Zero Trust » pour les technologies opérationnelles : ce que le nouveau guide de la CISA exige de votre architecture de sécurité

Le modèle « Zero Trust » pour les technologies opérationnelles (OT) est une architecture de sécurité qui élimine toute confiance implicite dans les réseaux industriels. Elle exige que chaque utilisateur, chaque appareil et chaque transfert de données soient vérifiés en permanence en fonction de l'identité, du contexte et du risque avant que l'accès à un système opérationnel ou à un processus physique ne soit accordé. Contrairement à l'informatique (IT), le modèle « Zero Trust » pour les technologies opérationnelles (OT) doit fonctionner sans perturber les opérations continues, les systèmes de sécurité ou les équipements existants qui ne peuvent pas exécuter les agents de sécurité modernes.

Cinq agences gouvernementales américaines : la CISA (Agence pour la cybersécurité et la sécurité des infrastructures), le ministère de la Défense, le ministère de l'Énergie, le FBI et le département d'État, ont publié la déclaration la plus officielle à ce jour sur la cybersécurité industrielle : « Adapting Zero Trust Principles to Operational Technology » (Adapter les principes du « Zero Trust » aux technologies opérationnelles). Le message est sans équivoque. Le « Zero Trust » n'est plus un cadre réservé aux environnements informatiques. Il s'agit désormais de la posture de sécurité attendue pour toute organisation exploitant des systèmes de technologie opérationnelle (OT), qu'il s'agisse de réseaux électriques, d'installations de traitement des eaux ou d'installations gouvernementales.

Si vous êtes un responsable de la sécurité des technologies opérationnelles (OT) et que vous lisez ces lignes, la question n’est pas de savoir si le modèle Zero Trust est la bonne voie à suivre. Il s’agit plutôt de déterminer comment combler le fossé entre les exigences de conformité et d’audit imposées par les autorités et une installation équipée de matériel vieux de plusieurs décennies, une équipe débordée et un conseil d’administration qui vous demande ce que vous comptez faire pour y remédier. Cet article répond à cette question : ce qu’exige réellement le guide de la CISA pour chaque pilier, et en quoi la plateforme OPSWAT répond à chacun d’entre eux.

Le guide identifie trois piliers que tout programme OT Zero Trust doit prendre en compte : une visibilité complète sur les actifs, une gestion robuste des identités et des accès (IAM) et une gestion proactive des risques liés à la chaîne d'approvisionnement. Il met également en avant les acteurs malveillants qui rendent cette question urgente — notamment des groupes étatiques tels que Volt Typhoon, que la CISA a observés en train de s'implanter au préalable au sein de réseaux OT afin d'y maintenir une présence durable et d'attendre le moment propice pour passer à l'action.

Dans le domaine informatique, le modèle Zero Trust est mis en œuvre à l'aide de logiciels : des fournisseurs d'identité, des agents de terminaux et des politiques d'accès pouvant être mis à jour en quelques heures. Les environnements OT fonctionnent sous des contraintes qui rendent les approches informatiques directes inapplicables : des automates programmables (PLC) hérités, dont le cycle de vie est de 20 ans et qui ne peuvent pas exécuter d'agents d'authentification modernes, des exigences strictes en matière de disponibilité où un paquet de découverte peut provoquer un arrêt imprévu, et un lien direct entre la cybersécurité et la sécurité physique que le service informatique n'a tout simplement pas.

Le guide de la CISA aborde ces contraintes sans détours. La mise en œuvre du modèle « Zero Trust » dans des infrastructures industrielles vieillissantes nécessite des années de travail et des investissements considérables. Ce dilemme est bien réel.

Ce que le guide met clairement en évidence, c'est que les menaces n'attendent pas que ces plans aboutissent. À mesure que les systèmes OT s'interconnectent de plus en plus avec les réseaux informatiques et font l'objet d'une surveillance à distance, le principe traditionnel de l'« air gap » ne tient plus. Les pirates se sont déjà adaptés. Les mesures de sécurité que les organisations mettent en place aujourd'hui — même celles qui ne sont que progressives — déterminent l'étendue de la surface d'attaque exposée pendant que la transformation à plus long terme est en cours. La question n'est pas de savoir s'il faut commencer, mais par où.

Le guide de la CISA identifie trois priorités pour le modèle « Zero Trust » dans les infrastructures opérationnelles (OT) : une visibilité complète sur les actifs, une gestion rigoureuse des identités et des accès, ainsi qu’une gestion proactive des risques liés à la chaîne d’approvisionnement. Il met également en avant certains acteurs malveillants spécifiques — Volt Typhoon et des groupes liés à des États — qui exploitent déjà les failles que ces contrôles sont censés combler.

La plateforme OPSWAT a été conçue précisément dans ce but. Une découverte passive des actifs OT sans toucher à aucun appareil. Une isolation Hardware qui rend physiquement impossible toute une catégorie d'attaques à distance. La technologie Deep CDR™ appliquée à chaque point de transfert de fichiers — réseau, USB, transfert de données. Une gestion des identités et des accès au niveau de la session avant même qu'une connexion n'atteigne un système de contrôle.

Dans les environnements OT, la visibilité des actifs consiste à tenir à jour un inventaire complet et constamment actualisé de tous les appareils présents sur le réseau industriel — y compris les automates programmables (PLC) hérités, les unités terminales distantes (RTU) et les interfaces homme-machine (IHM) — ainsi que des versions de micrologiciels et des protocoles, en recourant à des méthodes de surveillance passives qui ne génèrent pas de trafic susceptible de perturber les systèmes de contrôle sensibles.

C'est là que la plupart des programmes de sécurité OT présentent leur plus grande lacune non comblée ; et les raisons sont d'ordre architectural, et non organisationnel. Industrial s'articulent autour d'un ensemble de dispositifs fondamentalement différent de celui des environnements informatiques. Un réseau OT typique comprend des automates programmables (PLC), des unités de télécommande (RTU), des contrôleurs DCS, des capteurs, des relais, des interfaces homme-machine (IHM), des postes de travail d'ingénierie et une couche croissante de dispositifs IIoT, chacun communiquant selon le protocole précis pour lequel il a été conçu : Modbus, EtherNet/IP, DNP3, PROFINET, OPC-UA et des dizaines de variantes propriétaires. Les outils de découverte informatiques standard ne peuvent pas analyser ces protocoles. Ils ne comprennent pas la sémantique d'un code de fonction Modbus, ne peuvent pas interpréter un objet de données DNP3 et ne disposent d'aucun modèle permettant de distinguer un comportement normal d'un comportement anormal dans un échange de messages implicites EtherNet/IP. Lorsque ces outils rencontrent des appareils OT, ils renvoient soit des données incomplètes, soit génèrent un trafic inattendu que l'appareil récepteur n'a jamais été conçu pour gérer.

Ce deuxième scénario n'est pas hypothétique. Le balayage actif dans les environnements OT a déjà provoqué des interruptions imprévues des processus et des blocages d'appareils dans des sites de production. C'est pourquoi le guide de la CISA recommande la surveillance passive comme méthode appropriée pour l'inventaire des actifs OT, et pourquoi cette recommandation est non négociable dans les environnements soumis à des exigences strictes en matière de disponibilité. La collecte passive, déployée via des TAP réseau ou des ports SPAN, écoute le trafic sans injecter de requêtes susceptibles de perturber les systèmes de contrôle sensibles. Elle observe ce qui communique, comment cela communique et ce à quoi ressemble un fonctionnement normal, sans toucher à un seul appareil du réseau surveillé.

Le problème de couverture que cette approche doit résoudre est aggravé par la nature des schémas de communication des systèmes OT. De nombreux appareils ne communiquent que lors d'événements opérationnels spécifiques : un API peut ne transmettre que pendant un cycle de production, un relais peut ne signaler qu'en cas de défaillance, et un capteur de terrain peut générer un trafic par rafales intermittentes, séparées par de longs intervalles de silence. Une fenêtre de surveillance qui ne tient pas compte de l'ensemble des modes de fonctionnement produira un inventaire incomplet — et les actifs manquants dans cet inventaire sont précisément ceux qui ne peuvent être protégés, segmentés ou surveillés. Selon les données du rapport SANS 2025 sur l'état de la cybersécurité des systèmes ICS/OT, la visibilité des actifs reste la priorité numéro un en matière d'investissement de sécurité pour les organisations industrielles, mais moins d'une sur huit déclare disposer d'une visibilité complète sur l'ensemble de son environnement, depuis l'accès initial au réseau jusqu'à l'impact potentiel sur les processus physiques. Ce fossé n'est pas un problème de financement. C'est un problème de méthodologie.

Volt Typhoon exploite précisément cette faille. L'approche documentée du groupe consiste à se fondre dans le fonctionnement normal du réseau — en utilisant des protocoles légitimes, des chemins d'accès autorisés et des outils d'administration standard — afin d'établir un accès persistant au sein des environnements OT. Sans une visibilité complète sur le contenu du réseau et sur ce à quoi ressemble un comportement normal, ces techniques sont pratiquement indétectables.

MetaDefender Security™, la plateforme de sécurité OT OPSWAT, répond à ce besoin grâce à la découverte passive des actifs et à l'analyse approfondie des protocoles OT. En écoutant le trafic réseau plutôt qu'en le générant, la plateforme établit un inventaire complet des actifs et un profil de référence comportemental sans intervenir sur les appareils surveillés, tout en assurant la gestion des vulnérabilités et des correctifs ainsi que le reporting de conformité, le tout via une interface native OT unique. Les sessions anormales, les communications inattendues entre appareils et les interactions de protocole non autorisées deviennent ainsi détectables, avant même qu'elles n'aient un impact sur les opérations.

Le principal défi en matière de gestion des identités et des accès (IAM) dans le domaine de la sécurité opérationnelle réside dans le fait que les attaquants ont de plus en plus recours à des voies d'accès légitimes — identifiants valides, sessions à distance autorisées et outils d'ingénierie standard — plutôt qu'à des failles logicielles. Les acteurs liés à l'Iran décrits dans un récent avis conjoint du FBI et de la CISA se sont connectés à des automates programmables (PLC) exposés à Internet via des ports de communication industriels standard et ont interagi avec les systèmes de contrôle comme s'ils étaient des opérateurs autorisés.

Le VPN, solution d'accès à distance la plus répandue dans les environnements OT, introduit une catégorie de risques de nature structurelle, et non configurative. Les VPN établissent une connectivité directe au niveau du réseau qui rompt l'isolation hiérarchique du modèle Purdue, permettant ainsi à des fournisseurs tiers d'accéder à des segments du réseau de contrôle sans contrôle granulaire des sessions ni mécanisme d'application du principe du privilège minimal. Tout appareil compromis ou sécurisé situé du côté du fournisseur de ce tunnel hérite d'un chemin réseau direct vers les systèmes de production. Pour les terminaux OT hérités dépourvus de capacité d'authentification native, l'exposition s'aggrave encore davantage. Ces appareils ne peuvent pas consigner les événements d'accès, ne peuvent pas appliquer de politiques de session et ne peuvent pas mettre fin aux connexions non autorisées. Toute mesure d'application doit se situer entièrement en amont de l'appareil, sinon elle n'existe pas du tout. MetaDefender Industrial , le pare-feu industriel OPSWAT pour les réseaux OT, résout directement le problème de segmentation — en appliquant une segmentation par zone et en contrôlant les mouvements latéraux même lorsqu'une session fournisseur est déjà présente au sein du réseau.

Le guide de la CISA met en évidence les conséquences concrètes d'une telle négligence. Des acteurs malveillants liés à des États ont réussi à accéder à des automates programmables (PLC) connectés à Internet et à les exploiter en utilisant des ports de communication industriels standard, non pas par le biais d'exploits logiciels, mais simplement en se connectant comme l'aurait fait un opérateur autorisé. Les identifiants semblaient valides. Les protocoles semblaient normaux. Rien n'a signalé cette session comme suspecte, car aucun dispositif n'était en place pour vérifier la légitimité de la session au niveau de la couche d'accès.

MetaDefender OT Access Zero Trust au niveau de la session, avant même qu’une connexion n’atteigne un équipement OT. Chaque session à distance, qu’il s’agisse d’un ingénieur interne, d’une fenêtre de maintenance planifiée par un équipementier ou d’un prestataire tiers se connectant pour la première fois, fait l’objet d’une authentification individuelle, est limitée au strict minimum d’accès requis, est temporellement limitée et est entièrement consignée. Les sessions sont enregistrées, surveillées en permanence et peuvent être interrompues en temps réel si le comportement s’écarte des paramètres attendus. Aucun accès réseau permanent, aucun tunnel persistant ni aucun chemin vers des actifs ne dépasse ce que cette session spécifique requiert explicitement. Et pour les appareils hérités qui ne peuvent pas participer à l'authentification moderne, MetaDefender OT Access l'application au niveau de la couche de gestion des connexions, de sorte que le contrôle existe indépendamment des capacités de l'appareil lui-même.

Dans le domaine de l'OT, les risques liés à la chaîne d'approvisionnement englobent à la fois les transferts numériques et physiques : mises à jour logicielles diffusées via les réseaux, ordinateurs portables de fournisseurs apportés sur site, micrologiciels chargés à partir de USB et fichiers d'ingénierie transférés du service informatique vers des réseaux de contrôle isolés. Chacun de ces éléments représente un risque d'introduction de contenu malveillant dans les systèmes qui, une fois compromis, peut avoir un impact direct sur les processus physiques.

Avant qu’un élément logiciel n’atteigne la frontière OT, son intégrité doit déjà être vérifiée. MetaDefender Software Chain™ répond à ce besoin du côté informatique de la chaîne de transfert : il valide les outils d’ingénierie, les paquets de micrologiciels et les mises à jour logicielles industrielles fournis par les fournisseurs par rapport aux données SBOM, s’assure que les éléments n’ont pas été altérés pendant le transfert et identifie les composants inconnus avant qu’ils ne soient autorisés à passer. Au moment où un fichier atteint le point Kiosk ou le workflow MFT , il a déjà passé le contrôle d'intégrité de la couche informatique. Les contrôles à la frontière viennent donc renforcer une décision déjà prise, et non compenser une décision qui n'a jamais été prise.

Il s'agit là de la surface d'attaque que les contrôles réseau ne peuvent pas entièrement couvrir — mais l'application des règles au niveau de la couche réseau joue tout de même un rôle essentiel une fois qu'un fournisseur a accédé au réseau.Firewall Industrial MetaDefender Firewall indispensable pour inspecter la charge utile réelle des protocoles industriels de chaque session fournisseur. Même lorsqu'une connexion tierce est autorisée, le pare-feu vérifie que les commandes restent dans les limites des codes de fonction et des plages de valeurs attendus pour cette session — bloquant ainsi en temps réel les commandes malveillantes provenant d'un outil fournisseur compromis ou d'une mise à jour altérée. Il impose également des chemins de communication stricts : un appareil connecté à un fournisseur ne peut accéder qu'aux systèmes spécifiques pour lesquels il a été autorisé, ce qui permet de contenir toute compromission de la chaîne d'approvisionnement avant qu'elle ne puisse se propager latéralement à travers les zones OT. Et pour les CVE connues dans les composants OT pour lesquelles le correctif du fournisseur n'a pas encore été livré — ce qui, en OT, prend souvent des mois —, leFirewall Industrial Firewall des correctifs virtuels au niveau du réseau, bloquant ainsi l'exploitation sans toucher à l'appareil.

MetaDefender , la solution de sécurité pour supports amovibles OPSWAT, intercepte et analyse chaque support amovible avant qu'il ne pénètre dans une zone sécurisée. Chaque fichier est analysé par Metascan™ Multiscanning plus de 30 moteurs anti-malware, évalué par l'IA Predictive Alin pour la détection pré-exécution des vulnérabilités zero-day, puis traité par la technologie Deep CDR™, qui reconstitue le fichier dans un état connu pour être sûr — supprimant ainsi les menaces intégrées tout en préservant le contenu légitime dont un technicien a besoin pour faire son travail. MetaDefender Media Firewall, la solution OPSWAT pour l'application de la politique de scan des supports amovibles, étend cette application aux USB au niveau des terminaux — en appliquant une validation matérielle qui garantit que seuls les supports amovibles déjà scannés et approuvés par MetaDefender Kiosk se connecter à un poste de travail protégé, quel que soit son emplacement dans l'établissement. MetaDefender , la solution avancée de protection des terminaux OPSWAT, est déployée sur les terminaux critiques afin de vérifier si les fichiers provenant de supports amovibles ont bien été préalablement analysés et traités par MetaDefender Kiosk. Cela garantit que seuls les fichiers validés peuvent être ouverts, copiés ou consultés par le terminal, et que les fichiers non autorisés ou non analysés sont empêchés d'atteindre les environnements critiques.

Pour les transferts qui traversent les zones réseau — de l'IT vers l'OT, ou depuis des systèmes connectés au cloud vers des environnements de contrôle isolés —, MetaDefender Diode™, la solution de diode de données OPSWAT, assure un flux de données unidirectionnel mis en œuvre par le matériel. Cela inclut les données opérationnelles telles que les valeurs d'historique, la télémétrie des capteurs et les données de processus qui circulent depuis le réseau OT vers les systèmes IT, les plateformes d'analyse ou l'infrastructure cloud à des fins de surveillance et de reporting. Aucune commande entrante, demande de connexion, mise à jour logicielle ou charge utile ne peut franchir la frontière dans le sens inverse. La garantie de sécurité ne dépend pas d’une configuration correcte, de logiciels régulièrement mis à jour ou de l’intégrité des identifiants d’accès, car aucun de ces facteurs liés à la couche logicielle ne peut contourner la contrainte matérielle. Pour les organisations exploitant des systèmes de contrôle hérités qui ne peuvent pas être mis à niveau, ne peuvent pas exécuter d'agents de terminaux et ne peuvent tolérer aucune interruption de service liée à la sécurité, il s'agit de l'architecture sur laquelle le guide de la CISA et la communauté de la sécurité industrielle au sens large se sont mis d'accord comme étant la réponse technique appropriée.

MetaDefender File Transfer™ (MFT) répond aux besoins de transfert structuré des organisations qui doivent échanger des fichiers opérationnels entre différentes zones, tout en bénéficiant d'une inspection complète, d'une journalisation d'audit et d'un contrôle des flux de travail. Il impose une vérification du contenu à chaque transfert, garantissant ainsi que le canal de transfert de fichiers lui-même ne devienne pas un point d'entrée non surveillé.

Toutes les frontières ne peuvent pas être protégées par des politiques. Certaines nécessitent des mesures physiques. Les solutions interdomaines (CDS) imposent des barrières matérielles entre les réseaux OT et IT, où aucune erreur de configuration logicielle, aucun vol d'identifiants ni aucune faille « zero-day » ne peut ouvrir une voie d'accès. MetaDefender Optical Diode MetaDefender Security Gateway™ sont tous deux certifiés Common Criteria EAL4+ et [prennent en charge la conformité aux normes NERC CIP, IEC 62443, NRC 5.71, NIST 800-82 et ISO 27001](opswat) — l’ensemble complet des référentiels régissant les infrastructures critiques dans les secteurs de l’énergie, du nucléaire, de la chimie et de la défense.

Le guide de la CISA s'aligne sur les fonctions du NIST CSF (Cybersecurity Framework) 2.0 : Gouverner, Identifier, Protéger, Détecter, Réagir, Restaurer. Le tableau ci-dessous met en correspondance chaque exigence avec la OPSWAT correspondante :

Le modèle « Zero Trust » dans les systèmes OT n'est pas un produit que l'on achète. Le guide de la CISA est clair sur ce point : les outils et les technologies sont nécessaires, mais insuffisants à eux seuls. Ce dont les organisations ont besoin, c'est d'une plateforme conçue pour des environnements où la disponibilité, la sécurité et la conformité sont non négociables. La plateforme MetaDefender™ OPSWAT offre cette architecture sur l'ensemble du champ d'application du mandat de la CISA — de la boîte de réception, où commence l'accès initial, jusqu'à la frontière matérielle où s'arrêtent les commandes vers les systèmes critiques.

Comme le montre le tableau ci-dessus, OPSWAT toutes les catégories de contrôles alignées sur les recommandations de la CISA, pour l’ensemble des six fonctions du NIST CSF 2.0, au sein d’une seule et même plateforme — une couverture qu’aucun autre fournisseur spécialisé exclusivement dans les technologies OT n’est en mesure d’égaler. Êtes-vous prêt à évaluer la conformité de votre environnement OT au cadre « Zero Trust » de la CISA ?

Discutez avec un expert →