Les réseaux de technologie opérationnelle (OT) dans les systèmes de défense — les plans de contrôle derrière radars, centrales propulsives, bancs de test d'armement, manutention de soutes, antennes de stations sol — échouent différemment de l'IT d'entreprise. Un incident de ransomware sur un partage de fichiers d'entreprise est récupérable ; un automate programmable confus sur une centrale propulsive durant un transit contesté ne l'est pas. La première question d'ingénierie n'est donc pas « comment patcher plus vite » mais « comment le réseau est-il découpé, et qu'est-ce qui traverse chaque frontière ». C'est la question de la segmentation, et depuis cinquante ans la réponse canonique est la Purdue Enterprise Reference Architecture, superposée sur le vocabulaire zones-et-conduits d'IEC 62443. Cet article parcourt le modèle de bout en bout, puis superpose des préoccupations spécifiques à la défense : classification, transfert cross-domain, surveillance d'une pile prétendument air-gappée, et la paperasse d'accréditation que l'architecture doit finalement satisfaire.
1. Pourquoi Purdue compte toujours
Purdue a été originalement rédigé pour le contrôle de procédés chimiques et manufacturiers, mais son intuition centrale — qu'un réseau peut être décomposé en couches avec des relations de confiance strictement définies entre elles — a survécu à chaque génération de matériel auquel il a été appliqué. Un réseau « OT plat » où stations d'ingénierie, historiques, IHM et contrôleurs de terrain partagent un domaine de diffusion Layer-2 non filtré ne peut pas être défendu. Il n'y a pas de frontière observable à laquelle un analyste peut dire « le trafic traversant ce point devrait être du Modbus, rien d'autre » ; chaque hôte fait implicitement confiance à chaque autre hôte ; un seul portable compromis atteint chaque automate par ARP.
IEC 62443 capture la même intuition dans un vocabulaire différent : une zone est un regroupement d'actifs partageant des exigences de sécurité communes, et un conduit est le chemin contrôlé entre zones. Les conduits, pas les hôtes, sont là où les contrôles de sécurité sont appliqués. Les niveaux Purdue sont, en effet, un modèle de zonage par défaut — un point de départ que les programmes défense adaptent plutôt que réinventent. Pour le reste de cet article nous utilisons les numéros de niveau Purdue et les termes zone/conduit IEC 62443 de manière interchangeable ; dans la pratique cybersécurité défense ils décrivent le même artefact.
2. Les six niveaux Purdue
Niveau 5 — Entreprise. IT d'entreprise : email, ERP, intranet, accès contractuel. Sur un site défense, c'est le LAN business non classifié sur lequel vivent auditeurs, paie et chefs de programme. Il ne doit jamais toucher directement l'équipement de procédé.
Niveau 4 — Planification site et logistique. Gestion de maintenance, inventaire de pièces, systèmes d'ordres de travail. Pour un système de combat naval c'est la queue logistique côté terre ; pour une batterie de défense aérienne, le système de soutien au niveau du dépôt. Toujours IT-like, toujours patché à cadence IT.
Niveau 3.5 — DMZ industrielle. La zone la plus importante du modèle. Chaque flux entre IT d'entreprise et opérations passe ici, terminé et ré-originé par services intermédiaires : répliques d'historique, hôtes de saut, staging de correctifs, miroirs de mises à jour anti-malware. Aucun protocole natif ne traverse la DMZ ; rien sur le Niveau 3 n'établit de session avec quoi que ce soit sur le Niveau 4 ou au-dessus sauf via un proxy DMZ.
Niveau 3 — Opérations site. Systèmes à l'échelle de la production : l'historique opérationnel, serveurs de gestion par lots, applications d'ingénierie à l'échelle du site, contrôleurs de domaine OT, serveurs de correctifs OT. Sur un banc de test d'armement c'est la salle de contrôle du champ de tir — l'endroit où les conducteurs de test orchestrent les essais à travers plusieurs cellules.
Niveau 2 — Contrôle supervisé. IHM, postes d'ingénierie locaux, serveurs d'alarmes, SCADA en ligne de vue. Pour une centrale propulsive c'est la console de contrôle machinerie ; pour un radar, le serveur d'affichage tactique de l'opérateur. Les humains pilotent le procédé depuis le Niveau 2.
Niveau 1 — Contrôle de base. Automates, RTU, systèmes instrumentés de sécurité, contrôleurs dédiés. La logique qui maintient la pression vapeur, oriente une antenne, séquence un lanceur ou déclenche un réacteur. Temps réel, déterministe, souvent incapable de tolérer même une milliseconde de gigue introduite par un pare-feu mal configuré.
Niveau 0 — Procédé. Capteurs et actionneurs, vannes, moteurs, transducteurs, la physique du système. De plus en plus numériques (HART, IO-Link, Profibus-PA, FOUNDATION Fieldbus) et donc de plus en plus partie du périmètre cybersécurité.
La propriété cruciale est que plus vous allez profond, plus c'est déterministe, moins c'est patché, et moins l'équipement est capable de se défendre. Un contrôleur de Niveau 1 construit en 2009 n'a aucune authentification sur son protocole d'ingénierie. Tout le point de la segmentation est de compenser cela avec des contrôles frontière.
3. Couche de classification sur les zones Purdue
La défense ajoute un second axe que Purdue n'a pas anticipé : la classification. Une vue logistique NATO RESTRICTED d'un arriéré de maintenance et une vue tactique SECRET de la même plateforme peuvent vivre au même niveau Purdue mais ne peuvent pas partager un domaine de diffusion. Le résultat est une matrice : niveau Purdue sur un axe, classification sur l'autre.
En pratique la matrice se réduit à un petit nombre de combinaisons accréditées. Le Niveau 5 entreprise est typiquement UNCLASSIFIED ou NATO RESTRICTED. La DMZ industrielle peut exister à plusieurs classifications, une par enclave. Les Niveaux 3 à 0 — le contrôle de procédé réel — sont habituellement épinglés à la classification la plus haute de toute donnée qu'ils traitent, sur le principe que le contrôleur ne peut pas retirer la classification de son propre état. Le contrôleur de Niveau 1 d'un radar exécutant une forme d'onde classifiée siège dans une enclave SECRET même si le contrôleur lui-même est un automate banalisé.
Le mouvement architectoniquement honnête est de dessiner la matrice tôt, étiqueter chaque cellule avec son propriétaire d'accréditation et ses conduits autorisés, et refuser de déployer quoi que ce soit qui ne s'inscrive pas dans une cellule étiquetée. C'est aussi là que les principes zero-trust rencontrent la défense en profondeur classique : politique consciente de l'identité dans une zone, séparation matériellement appliquée entre classifications.
4. Solutions cross-domain en OT
Une fois la matrice existante, la question devient comment les données se déplacent entre cellules. Deux catégories de solutions cross-domain dominent les déploiements OT.
Diodes de données unidirectionnelles. Dispositifs matériels (Owl, Waterfall, Fox-IT FoxDataDiode, Advenica) qui permettent physiquement le trafic dans une seule direction — typiquement un émetteur fibre optique d'un côté et un récepteur de l'autre, sans chemin de retour possible à la couche physique. Le cas d'usage OT classique est exporter des données d'historique du Niveau 3 vers une réplique Niveau 4 ou entreprise sans exposer le côté OT à du trafic retour. Les diodes sont la bonne réponse quand le flux de données est monotone : télémétrie sortante, rien d'entrant. Elles sont la mauvaise réponse pour tout ce qui nécessite accusé, correctifs entrants ou support fournisseur distant.
Transfer guards. Passerelles applicatives conscientes (Forcepoint DDP, Fox-IT DataDiode en mode guard, Everfox Trusted Gateway, Owl ReCon) qui inspectent et filtrent le contenu traversant une frontière de classification dans les deux sens. Un guard peut libérer un ordre de travail de maintenance assaini de SECRET vers RESTRICTED après vérification qu'il ne porte aucune annotation classifiée, ou tirer une mise à jour firmware d'automate vérifiée d'une enclave inférieure vers une supérieure. Les guards sont plus lents, plus chers et plus difficiles à accréditer que les diodes, mais ce sont la seule réponse honnête quand un flux bidirectionnel est véritablement requis.
La règle d'ingénierie est de commencer avec une diode et n'escalader vers un guard que quand le cas d'usage opérationnel prouve qu'un flux bidirectionnel est inévitable.
5. Segmentation est-ouest vs nord-sud
Purdue est principalement un modèle nord-sud : le trafic monte et descend les niveaux et est filtré à chaque conduit. Mais les attaques modernes sont est-ouest — une fois qu'un adversaire est sur une IHM Niveau 2, le mouvement suivant est latéral vers l'IHM voisine, pas vers le haut vers l'historique. La segmentation est-ouest à l'intérieur d'un niveau Purdue est donc le second front.
La microsegmentation en OT est plus difficile qu'en IT pour trois raisons. D'abord, de nombreux protocoles hérités (Modbus/TCP, DNP3, IEC 60870-5-104, S7) ne portent aucune authentification et supposent un domaine L2 plat. Ensuite, les contrôleurs ne peuvent pas exécuter de pare-feux basés hôte sans violer leurs garanties temps réel et fréquemment leur garantie fournisseur. Enfin, les budgets de timing déterministes signifient qu'un point d'application de politique mal configuré peut faire tomber l'usine plus vite que l'attaquant ne l'aurait fait.
Les deux approches pratiques sont les conceptions VLAN-plus-ACL sur switches industriels gérés (Hirschmann, Cisco IE, Moxa) et les overlays SDN construits pour l'OT (TXOne, Claroty xDome Secure Access, Dragos avec intégrations NAC). Les VLAN sont familiers et accréditables mais grossiers ; le SDN est plus fin mais introduit un contrôleur dont la propre disponibilité devient un point unique de défaillance. La plupart des vrais programmes finissent par exécuter les deux, avec les VLAN comme base et les politiques SDN superposées pour les cellules à haute valeur.
6. Surveiller une pile prétendument air-gappée
Chaque programme OT prétend être air-gappé. Presque aucun ne l'est réellement. Il y a un port USB sur le portable d'ingénierie, un portable fournisseur qui vient une fois par trimestre, un modem de maintenance qui a été décommissionné sur papier mais a encore une carte SIM, un instrument sans fil ajouté lors d'une refonte. L'architecture doit supposer que l'air gap fuit et s'instrumenter en conséquence.
Les plateformes de surveillance passive — Nozomi Networks Guardian, Claroty CTD/xDome, Dragos Platform, Tenable OT Security — siègent sur des ports span dans chaque zone et reconstruisent inventaires d'actifs, lignes de base de protocoles et signaux d'anomalie depuis le trafic observé passivement. Elles n'injectent jamais de paquets, ce qui les rend déployables sur OT de production sans résistance fournisseur. Combinées à la détection basée historique (requêtes contre l'historique pour changements de consigne impossibles, taux de commandes au-dessus de la capacité humaine, séquences violant les verrouillages de procédé) et à l'EDR poste d'ingénierie, elles forment une pile de surveillance défendable même quand le réseau est nominalement isolé. C'est la lignée explorée dans notre parcours forensics ICS/OT.
Idée clé : Traiter chaque enclave OT « air-gappée » comme un réseau à connectivité différée — physiquement isolé aujourd'hui, statistiquement certain d'être ponté pendant la vie de l'actif. Concevoir surveillance, identité et flux de mise à jour pour le cas ponté, puis profiter de l'air gap comme bonus tant qu'il dure.
7. Identité et accès en OT
L'identité en OT est dominée par trois populations : postes d'ingénierie utilisés par le personnel du site, sessions d'accès distant fournisseur, et comptes break-glass conservés pour le contrôle de sinistre. Chacune exige sa propre discipline.
Les postes d'ingénierie doivent s'authentifier à un annuaire côté OT — jamais l'annuaire IT d'entreprise — avec credentials enracinés matériellement et enregistrement de session. Partager l'Active Directory d'entreprise à travers la DMZ industrielle est l'erreur architecturale la plus commune dans l'OT défense ; elle convertit un compromis de credential d'entreprise en compromis OT. Associer cela à des racines de confiance matérielles sur les postes eux-mêmes pour lier le credential à l'appareil.
L'accès distant fournisseur est le risque perpétuel. Le bon modèle est un hôte de saut dans la DMZ industrielle, accès courté avec enregistrement complet de session, autorisations limitées dans le temps, et un modèle « partage d'écran » avec opérateur dans la boucle plutôt que connectivité fournisseur autonome. Le mauvais modèle — toujours commun — est un VPN site-à-site permanent du bureau du fournisseur dans le Niveau 3.
Les procédures break-glass doivent exister parce que les priorités OT inversent parfois les priorités cyber : en cas de sinistre, un veilleur a besoin de remplacer un contrôleur maintenant, pas après une rotation de jeton. Documenter les credentials break-glass, les stocker physiquement, journaliser chaque utilisation, et traiter chaque usage comme un incident exigeant revue post-événement.
8. Preuves d'accréditation
Rien de ce qui précède n'a d'importance à moins que la segmentation ne survive à l'accréditation. Un dossier d'Autorité d'Opérer (ATO) pour un segment OT défense contient typiquement : le diagramme zone-et-conduit avec étiquettes de classification ; la détermination du Security Level Target (SL-T) IEC 62443 par zone, justifiée contre le modèle de menace ; les mappings de contrôles conduit par conduit (quels filtres, quels protocoles, quelle journalisation) ; preuves d'accréditation de solution cross-domain (base NCDSMO pour US, équivalents nationaux dans les membres OTAN) ; déclarations de risque résiduel pour toute lacune de contrôle ; et un plan de monitoring continu opérationnel décrivant comment le SL-T sera ré-évidencé dans le temps.
La détermination SL-T est là où l'ingénierie rencontre la paperasse. IEC 62443-3-2 définit quatre niveaux de sécurité (SL 1 à SL 4) représentant la capacité de l'adversaire à laquelle la zone doit résister — du décontracté à l'État-nation avec ressources extensives. Un segment de contrôle radar sur une plateforme déployée en avant est typiquement SL 3 ou SL 4. Le SL choisi pilote chaque exigence de contrôle en aval dans IEC 62443-3-3, de la politique de mot de passe au choix d'algorithme cryptographique. Choisir SL trop bas et l'accréditeur rejette le dossier ; choisir trop haut et vous ne pouvez pas vous le permettre.
Enfin, la ré-accréditation est une cadence récurrente, pas un événement unique. La plupart des régimes défense exigent une ré-évaluation complète tous les trois ans et une revue delta sur tout « changement significatif » — ce qui, en OT, inclut la prochaine mise à jour firmware fournisseur. Architecter la segmentation pour que les preuves se régénèrent : configuration capturée en contrôle de version, sorties de surveillance archivées comme artefacts d'accréditation, dossiers de changement liés à des ré-évaluations de risque. La segmentation que vous ne pouvez pas re-prouver est la segmentation que vous n'avez plus.