L’accès à distance sécurisé pour les systèmes OT commence avec Zero Trust

Accélérez la numérisation de vos réseaux industriels et maximisez le temps de disponibilité de votre activité, stimulez votre productivité et assurez la sécurité de votre personnel.

L’accès aux systèmes de technologie opérationnelle (OT) est trop étendu.

De nombreuses entreprises ont été victimes de failles de sécurité causées par des hackers qui ont exploité les vulnérabilités des VPN traditionnels et d’autres solutions de sécurité basées sur les appliances utilisées pour fournir un accès distant aux systèmes de technologie opérationnelle (OT) ou aux systèmes de contrôle industriel (ICS). Qu’il s’agisse de ransomwares ou de tierces parties malveillantes, les résultats sont les mêmes : de coûteuses failles de sécurité qui mettent en danger les lignes de production et ont un impact négatif sur les revenus de l’entreprise ainsi que la réputation de la marque.

Avec la plupart des solutions d’accès distant, les employés, les sous-traitants et les partenaires tiers se voient accorder un accès complet aux réseaux OT. Dans la plupart des cas, les solutions d’accès distant comme les VPN mettent en danger les systèmes OT ou ICS en maintenant l’accès sur Internet disponible 24 h/24 et 7 j/7. Ces utilisateurs bénéficiant de privilèges excessifs présentent un risque élevé pour l’environnement de production car vous ne les contrôlez pas fondamentalement lorsqu’ils se trouvent sur votre réseau OT.

Alors, comment fournir un accès distant sécurisé à vos systèmes ICS, tout en permettant une maintenance opportune de vos lignes de production, sans leur donner un accès complet à votre réseau OT ?

diagramme montrant un système OT traditionnel

Les fournisseurs n’ont besoin d’accéder qu’à leurs systèmes ICS spécifiques, alors pourquoi les introduire dans le réseau OT ?

Nous savons qu’il est dangereux d’accorder à tous les utilisateurs un accès complet et latéral au réseau OT, mais vous devez leur donner accès à leurs systèmes OT spécifiques. La solution consiste à dissocier l’accès aux logiciels de gestion des systèmes OT du réseau, tout en segmentant l’accès en fonction des utilisateurs et des applications individuelless. Il n’existe qu’une seule façon d’y parvenir : la technologie ZTNA (Zero Trust Network Access).

Alors que la plupart des solutions d’accès distant basées sur le modèle de référence de Purdue pour les réseaux OT sont centrées sur le réseau, ZTNA s’attache à fournir une connectivité sécurisée entre l’utilisateur — employé, partenaire tiers ou prestataire — et les applications d’entreprise autorisées, jamais le réseau. Il en résulte un accès micro-segmenté aux systèmes OT qui maintient la sécurité tout en réduisant les risques issus d'un accès trop privilégié des tiers.

Sécurité

Avant : les employés, les fournisseurs et les prestataires recevaient un accès latéral au réseau, exposant les systèmes OT à des risques inutiles.
Après : l’accès Zero Trust ne donne aux utilisateurs qu’un accès aux systèmes ICS autorisés, et non au réseau OT.

Simplicité

Avant : les solutions d’accès distant nécessitaient le téléchargement d’un client sur un appareil géré ou personnel.
Après : quel que soit l’appareil ou l’emplacement, un utilisateur peut simplement utiliser un navigateur pour accéder aux systèmes ICS autorisés.

Surface d'attaque réduite

Avant : les solutions d’accès distant étaient sujettes aux attaques et présentaient de nombreuses vulnérabilités. Les logiciels non correctifs des systèmes OT ont amplifié ce risque.
Après : les solutions ZTNA éliminent la surface d’attaque en rendant invisible le système OT. La meilleure défense contre les systèmes OT non correctifs consiste à maintenir le meilleur écart possible entre IT et OT.

Il est facile d’éliminer le risque lié aux accès distants grâce à un service ZTNA (Zero Trust Network Access).

L’accès distant sécurisé pour les systèmes OT assuré par Zscaler Private Access est un service ZTNA qui adopte une approche de la sécurité OT centrée sur les utilisateurs et les applications. Que l’utilisateur soit un employé, un prestataire ou un partenaire tiers, ZPA s’assure que seuls les utilisateurs autorisés ont accès aux systèmes ICS ou à des applications spécifiques sans jamais donner l’accès au réseau OT. Plutôt que de s’appuyer sur des appliances physiques ou virtuelles, ZPA utilise un logiciel d’infrastructure agnostique léger, tels que des conteneurs Docker ou des machines virtuelles, associé à des capacités d’accès par navigateur, pour connecter de manière transparente tous les types d’utilisateurs aux systèmes OT et aux applications via des connexions de l’intérieur vers l’extérieur rassemblées au sein de Zscaler Security Cloud.

Diagramme OT de Zscaler

Concept de périmètre défini par logiciel

1. Service d’accès par navigateur ou accès par client.
    • Les deux méthodes redirigent le trafic vers l’IDP pour authentification et multi-facteur.
    • L’accès par navigateur supprime la nécessité de télécharger le client sur l’appareil.
    • L’accès par navigateur exploite le streaming basé sur le HTML5
    2. ZPA Public Service Edge
    • Sécurise la connexion entre l’utilisateur et l’application
    • Applique toutes les politiques d’administration personnalisées
    3. App Connector
    • S’interpose devant les systèmes OT et les applications dans le data center, Azure, AWS et d’autres services de cloud public.
    • Fournit au broker des connexions TLS 1.2 de l’intérieur vers l’extérieur.
    • Rend les systèmes OT invisibles pour empêcher les attaques DDoS
    Siemens
    Siemens et Zscaler :
    Un partenariat pour étendre la sécurité Zero Trust aux usines intelligentes.

    L’accès par navigateur garantit un accès sécurisé aux fournisseurs tiers en quelques minutes.

    Grâce au service ZPA accessible via un navigateur, les utilisateurs et partenaires tiers bénéficient d’un accès sécurisé aux systèmes OT sans qu’un client soit nécessaire. Les partenaires n’ont plus besoin de franchir de multiples obstacles pour accéder en toute sécurité aux systèmes OT : il leur suffit d’utiliser leur propre appareil pour y accéder sans effort via Internet. Il en résulte un accès tiers hautement contrôlé qui permet aux utilisateurs de se connecter aux systèmes OT à partir de n’importe quel appareil, de n’importe quel emplacement, et à tout moment.

     

    Avantages
    • Expérience fluide pour les partenaires et les utilisateurs
    • Accès sécurisé au système OT à partir d'appareils personnels
    • Exposition limitée des systèmes ICS non protégés
    • Intégrations avec les principaux IDP
    grâce à l'accès au navigateur de ZPA, une dame travaillant sur un ordinateur portable permet un accès sécurisé à son partenaire en quelques minutes
    Nozomi Logo

    Nozomi Networks et Zscaler :

    Étendre la sécurité Zero Trust à la périphérie industrielle de l’OT/IoT.

    Témoignages Clients
    MAN Energy Solutions

    MAN Energy Solutions facilite la transformation des réseaux et des applications avec Zscaler

    Zenith Live

    Découvrez comment déployer Zero Trust pour les ateliers de fabrication

    Ressources suggérées

    ARTICLE

    Qu’est-ce que la sécurité OT ?

    Blog

    Les cinq choses que les DSI et les RSSI doivent savoir pour sécuriser les systèmes OT

    Vidéo

    Adapter les défenses de cybersécurité à la convergence IT-OT avec Siemens et Zscaler

    EN BREF

    Les avantages de Zscaler Secure Remote Access pour les systèmes OT

    COMMUNIQUÉ DE PRESSE :

    Siemens et Zscaler s’associent pour proposer des solutions de sécurité Zero Trust intégrées pour les systèmes OT/IT

    TÉMOIGNAGE CLIENT :

    Kubota Australia met en place des entrepôts sans infrastructure avec Zscale