La segmentation reseau est l'une des mesures les plus efficaces pour limiter l'impact d'une cyberattaque en environnement industriel. Pourtant, de nombreux reseaux OT au Maroc fonctionnent encore en reseau plat, ou IT, OT et parfois meme internet cohabitent sur le meme segment. Explications et bonnes pratiques.

Principe fondamental : La segmentation consiste a diviser le reseau en zones ayant chacune un niveau de securite propre. Les communications entre zones transitent par des conduits controles (chemins de communication definis).

Le modele Purdue comme reference

Le modele Purdue (Purdue Enterprise Reference Architecture) est la reference pour structurer les reseaux industriels. Il definit des niveaux allant du processus physique au reseau d'entreprise :

N0

Processus physique
(capteurs, actionneurs)

N1

Controle
(API/PLC, RTU)

N2

Supervision
(IHM, SCADA)

N3

Operations
(MES, historiques)

DMZ

Frontiere IT/OT
(firewalls, proxies)

N4-5

IT Entreprise
(ERP, email, internet)

Zones et conduits selon l'IEC 62443

L'IEC 62443-3-2 definit les concepts de zones et conduits :

  • Zone : un regroupement logique d'actifs partageant le meme niveau de securite (Security Level). Par exemple : tous les automates de la ligne de production A forment une zone.
  • Conduit : un chemin de communication defini entre deux zones. Chaque conduit est controle par des firewalls, des ACL ou des diodes de donnees.

L'objectif est de limiter les degats a une seule zone en cas de compromission et de bloquer le mouvement lateral des attaquants.

Mise en oeuvre en 5 etapes

  1. Inventorier les actifs et les flux de donnees — on ne peut pas segmenter ce que l'on ne connait pas
  2. Definir les zones — regrouper les actifs par fonction, localisation et niveau de securite requis
  3. Determiner les Security Levels par zone — SL-1 (basique) a SL-4 (protection contre acteurs etatiques)
  4. Concevoir les conduits — definir les communications necessaires entre zones et bloquer tout le reste
  5. Implementer et surveiller — firewalls, VLAN, diodes de donnees et detection reseau

Erreurs frequentes

  • Se limiter a un firewall entre IT et OT — le reseau OT interne doit aussi etre segmente
  • VLAN sans ACL — un VLAN sans controle d'acces n'est pas une vraie segmentation
  • Acces VPN direct pour les fournisseurs — la maintenance a distance ne doit jamais acceder directement au reseau OT
  • Traiter la segmentation comme un projet ponctuel — les reseaux evoluent, la segmentation doit suivre

Attention : Dans les environnements OT existants, une analyse d'impact approfondie est indispensable avant toute modification. Des regles de firewall mal configurees peuvent arreter des processus de production.

Besoin d'aide pour la segmentation reseau ?

Resotech concoit et deploie des architectures de segmentation conformes a l'IEC 62443 pour les environnements industriels marocains. Sans interruption de production.

Nous contacter   Scan OT gratuit