« Notre usine est isolée d'Internet, donc elle ne risque rien. » Cette phrase, on l'entend encore dans bien des ateliers. Elle décrit ce qu'on appelle l'air gap : une coupure physique entre le réseau industriel et le reste du monde.

Sur le papier, c'est la protection ultime. En pratique, l'air gap parfait n'existe presque jamais — et y croire aveuglément peut s'avérer dangereux.

Clés USB, ordinateurs de maintenance, mises à jour, télémaintenance : les passerelles cachées sont nombreuses entre l'OT (technologies opérationnelles) et l'extérieur.

Air gap : mythe rassurant ou réalité défendable ? Décryptage pour comprendre ce que protège vraiment cette approche, et ce qu'elle ne protège pas.

1. L'air gap, c'est quoi ?

L'air gap (littéralement « espace d'air ») désigne l'isolement physique d'un système ou d'un réseau : aucune liaison directe avec un réseau moins sûr, en particulier Internet ou le réseau bureautique de l'entreprise.

Dans l'industrie, l'idée est de protéger les systèmes de contrôle-commande (SCADA, automates, supervision) en les coupant des menaces extérieures. Un attaquant à distance ne peut pas atteindre ce qui n'est relié à rien.

Le principe est séduisant par sa simplicité. Mais une usine n'est pas une île : elle a besoin d'échanger des données, de recevoir des mises à jour et d'être maintenue. C'est là que le bât blesse.

Sources : ANSSI (guides cybersécurité des systèmes industriels) ; documentation sécurité OT.

2. Pourquoi l'air gap parfait est un mythe

L'air gap total et permanent est rarissime, car une usine en production a besoin de communiquer. Au fil du temps, des connexions « provisoires » deviennent permanentes, et l'isolement se fissure sans qu'on s'en aperçoive.

L'histoire de la cybersécurité industrielle a d'ailleurs montré que des installations réputées isolées ont pu être compromises, notamment via des supports amovibles. La coupure réseau n'empêche pas un code malveillant de franchir l'« espace d'air » porté par une clé USB.

Le vrai problème n'est donc pas le concept, mais l'illusion qu'il suffit. Un air gap n'est défendable que s'il est rigoureusement maintenu et accompagné d'autres mesures.

Sources : ANSSI ; retours d'expérience publics sur la sécurité des systèmes industriels.

3. Les brèches les plus fréquentes

En pratique, l'air gap est troué par des usages quotidiens, souvent légitimes. Voici les passerelles les plus courantes.

  • Supports amovibles : clés USB, disques externes utilisés pour transférer programmes, mises à jour ou rapports.
  • PC de maintenance : portables d'intervention connectés tantôt à l'OT, tantôt à Internet.
  • Télémaintenance fournisseurs : accès distants ouverts pour le support des équipementiers.
  • Connexions oubliées : liaisons temporaires, modems, points d'accès sans fil restés actifs.
  • Mises à jour : tout fichier importé de l'extérieur est un vecteur potentiel.

Chacun de ces points est un usage nécessaire : on ne peut pas faire fonctionner une usine sans maintenance ni mise à jour. L'enjeu n'est donc pas de les interdire, mais de les encadrer.

C'est précisément là que se joue la différence entre un air gap « décoratif » et un isolement réellement défendable : la maîtrise des flux qui le traversent.

Sources : ANSSI (maîtrise des accès et supports amovibles en milieu industriel).

4. Une réalité à condition de l'entretenir

L'air gap n'est pas à jeter : bien mis en œuvre, il reste une mesure de protection forte, notamment pour les installations les plus sensibles. Mais c'est un dispositif vivant, pas une case à cocher une fois pour toutes.

Air gap défendable

  • Flux entrants/sortants strictement maîtrisés
  • Postes et supports dédiés, contrôlés
  • Procédures d'import de fichiers (sas)
  • Surveillance et journalisation

Air gap illusoire

  • Clés USB libres et non contrôlées
  • Accès distants oubliés
  • Aucune mise à jour ni surveillance
  • Confiance aveugle dans l'isolement

La bonne pratique consiste à mettre en place un sas de décontamination pour les fichiers et supports entrants, à dédier des équipements de maintenance et à journaliser les accès. L'air gap devient alors une frontière surveillée, pas un simple mur invisible.

Sources : ANSSI (recommandations pour les systèmes industriels).

5. La défense en profondeur

La leçon de fond : aucune mesure unique ne suffit. La sécurité industrielle repose sur la défense en profondeur, où l'air gap n'est qu'une couche parmi d'autres.

On combine la segmentation réseau (zones et conduits, séparation IT/OT), le contrôle des accès, la sécurisation des supports amovibles, la surveillance et la gestion des correctifs. Si une couche cède, les autres limitent l'impact.

Plutôt que de se demander « avons-nous un air gap ? », la bonne question est : « quels flux franchissent notre frontière, et comment les maîtrisons-nous ? » C'est là que se joue la sécurité réelle.

Conclusion : ni mythe, ni solution miracle

L'air gap n'est ni un mythe total ni une protection absolue : c'est une mesure forte mais fragile, qui ne vaut que par la rigueur avec laquelle on entretient ses frontières.

Le vrai risque est le faux sentiment de sécurité. Intégré dans une défense en profondeur et appuyé sur des référentiels reconnus, l'isolement garde tout son sens — à condition d'admettre qu'il n'est jamais parfait. Pour toute mise en œuvre, il convient de se référer aux recommandations officielles en vigueur.

Sources & Références :

  • • ANSSI (cybersécurité des systèmes industriels)
  • • Série IEC 62443
  • • Retours d'expérience publics sur la sécurité OT