Un firewall industriel n'est pas un firewall IT classique. Il doit comprendre les protocoles industriels (Modbus, S7, Profinet, EtherNet/IP, OPC UA, DNP3), être certifié IEC 62443-4-2 et tenir dans des environnements difficiles (température, humidité, vibrations).

Acteurs majeurs :

• Stormshield SN3100/SN-S Industrial — certifié ANSSI CSPN, IEC 62443.
• Fortinet FortiGate Rugged — gamme industrielle FortiGuard ICS.
• Cisco IE3000-Series Industrial Ethernet.
• Siemens SCALANCE SC-600, en complément de Profinet.
• Schneider ConneXium TCSEFEC.
• Phoenix Contact mGuard, certifié IEC 62443-4-2.
• Palo Alto PA-220R ruggedized.
• Hirschmann EAGLE40, Belden.

Fonctionnalités attendues :

• DPI industriel : inspection profonde des protocoles OT, capacité de filtrer par function code Modbus (autoriser uniquement lecture, bloquer écriture sur certains automates).
• Listes de contrôle d'accès par adresse MAC + IP, par utilisateur, par horaire.
• Détection d'anomalies de protocole (paquets malformés, séquences inhabituelles).
• Mode transparent ou L3, selon l'architecture existante.
• Haute disponibilité active/passive ou actif/actif.
• Robustesse environnementale : conforme IEC 61850-3, EN 50121-4.

Diode de données (data diode, unidirectional gateway) — une couche supplémentaire pour les flux les plus critiques. Une diode est un dispositif physique qui ne permet la transmission de données que dans une seule direction (typiquement OT → DMZ → IT pour la remontée Historian, jamais l'inverse). Acteurs : Waterfall Security Solutions, Owl Cyber Defense, BAE Systems, Bertin Technologies (FR).

Usages typiques d'une diode : remontée des données SCADA/Historian vers l'IT pour visualisation, transmission des résultats de production, journaux pour SOC. La diode élimine totalement le risque de propagation IT → OT. Coût : plusieurs dizaines de k€, justifié uniquement pour les actifs très critiques (centrales électriques, raffineries, infrastructures nationales).

On ne sécurise pas ce qu'on ne connaît pas. L'inventaire des actifs OT est la première mesure à mettre en œuvre — et souvent la plus difficile, car les usines ont accumulé des équipements depuis 20-30 ans sans documentation rigoureuse.

Un inventaire OT doit contenir, pour chaque actif :

• Identification : marque, modèle, référence, numéro de série, version firmware.
• Localisation : usine, atelier, armoire, ligne, position physique.
• Fonction métier : à quoi sert-il, dans quel processus, criticité.
• Niveau de Purdue, zone IEC 62443.
• Adressage IP / MAC, connectivité.
• Comptes et accès définis (locaux, AD, prestataires).
• Dépendances : avec quoi communique-t-il, quels services attend-il.
• Cycle de vie : date d'achat, dernière maintenance, fin de support, date de remplacement prévue.
• Vulnérabilités connues (CVE applicables).

Outils d'inventaire automatisé (scan passif) :

• Claroty xDome (ex-Continuous Threat Detection).
• Nozomi Networks Guardian.
• Tenable.ot (ex-Indegy).
• Dragos Platform.
• Forescout SilentDefense.
• Microsoft Defender for IoT (ex-CyberX).
• Cyberbit, Armis Centrix, Sentryo.

Ces outils utilisent du scan passif (port mirroring, SPAN, TAP) — ils n'envoient aucun paquet au réseau OT, ils écoutent simplement. C'est obligatoire en OT pour ne pas perturber le fonctionnement.

Sortie attendue : une CMDB OT (Configuration Management Database) maintenue à jour, idéalement intégrée à la CMDB IT pour avoir une vue unifiée. Couplage possible avec un jumeau numérique de l'usine.

Le patching OT est l'un des sujets les plus douloureux du métier. Là où l'IT patche chaque mois, l'OT ne peut patcher qu'une à deux fois par an, lors d'arrêts planifiés. Et certains équipements ne sont jamais patchés (fin de support constructeur, Windows XP/7 obsolètes mais utilisés par contrainte).

Approche risk-based recommandée (ANSSI, IEC 62443-2-3, NIST SP 800-82r3) :

1. Maintenir un inventaire à jour des actifs et versions.
2. Surveiller les avis de sécurité des constructeurs (Siemens ProductCERT, Schneider Cybersecurity Bulletins, Rockwell PSIRT, ABB Security Advisories, Mitsubishi PSIRT) et des CERT publics (ICS-CERT, ANSSI CERT-FR).
3. Évaluer chaque vulnérabilité par rapport à votre contexte (le CVSS seul ne suffit pas — il faut le combiner à l'EPSS et au contexte d'exposition).
4. Hiérarchiser : critique exposée > critique non exposée > importante exposée > etc.
5. Tester les patches en environnement de pré-production (jumeau, banc d'essai, atelier de validation).
6. Valider avec le constructeur (un patch Microsoft peut casser un automate Siemens).
7. Déployer lors d'une fenêtre d'arrêt planifiée.
8. Mesures compensatoires en attendant : règles firewall plus strictes, monitoring renforcé, signature IDS spécifique.

Cas spéciaux :

• Vulnérabilité critique exploitée activement (KEV — CISA Known Exploited Vulnerabilities) : déclencher un patching d'urgence ou des mesures compensatoires immédiates.
• Équipement en fin de support : isoler totalement par firewall, prévoir le remplacement.
• Patch impossible (incompatibilité connue) : documenter le risque accepté, renforcer les mesures compensatoires.

Le standard IEC 62443-2-3 fournit une méthodologie complète de gestion des patches en environnement OT, y compris le format normalisé d'échange entre constructeur et exploitant (« asset-owner / product-supplier patch communication »).

Avant même de penser à des défenses sophistiquées, l'hardening (durcissement) consiste à activer les protections de base déjà disponibles sur les équipements. Souvent ignorées par négligence ou méconnaissance.

Hardening PLC :

• Changer les mots de passe par défaut (Siemens, Schneider, Rockwell : tous les constructeurs ont des mots de passe usine documentés et trouvables en ligne).
• Désactiver les services non utilisés : FTP, Telnet, HTTP, SNMP v1/v2, NTP non authentifié.
• Activer les fonctionnalités de sécurité récentes : authentification protocole (S7-1200/1500 supportent l'authentification depuis 2019), signature de programme (PLC modernes).
• Activer la protection du mode RUN/STOP par physique (commutateur à clé sur l'automate).
• Restreindre les adresses IP autorisées à communiquer avec l'automate (firewall intégré ou externe).
• Activer la journalisation et la remonter vers le SIEM.
• Mettre à jour le firmware régulièrement (en fenêtre d'arrêt).

Hardening HMI / SCADA (postes Windows industriels) :

• OS supporté : Windows 10/11 LTSC, Windows Server 2019/2022 — pas de XP, 7, 2003, 2008.
• Antivirus durci autorisé par le constructeur (Symantec, ESET, Microsoft Defender).
• Application whitelisting : seuls les exécutables signés et autorisés peuvent s'exécuter (Microsoft AppLocker, Carbon Black, Honeywell IDM).
• Désactiver les ports USB non nécessaires (USB whitelisting matériel).
• Compte utilisateur dédié SCADA, pas d'admin local pour les opérations courantes.
• Restriction des navigateurs : pas d'internet sur ces postes.
• Patch management via WSUS local dans la DMZ industrielle.
• BIOS / UEFI verrouillé, Secure Boot activé.

MFA / Multi-Factor Authentication sur les accès :

• Tous les accès distants OT : MFA obligatoire (TOTP, FIDO2, certificat).
• Comptes administrateurs OT : MFA obligatoire.
• Comptes ingénieurs ayant le droit de modifier un programme automate : MFA + workflow d'approbation.
• Cas particulier des postes opérateurs HMI : MFA permanent est contre-productif (urgence). Préférer une authentification forte à la prise de poste + monitoring de session.

Ressources : guides d'hardening des constructeurs (Siemens « Industrial Security 5 step approach », Schneider « Cybersecurity Best Practices »), guides ANSSI « Cybersécurité des systèmes industriels » 2024.