Firewall industriel : 7 critères de choix

Laisser un commentaire / Uncategorized

Firewall industriel 7 critères de choix

Les réseaux de contrôle industriels assurent l’efficacité et la sécurité des opérations dans des secteurs stratégiques tels que les services publics, le pétrole et le gaz, l’eau, le transport et la fabrication.

Un réseau de contrôle résilient repose sur la capacité de détecter et de filtrer efficacement le trafic indésirable. Traditionnellement, les réseaux de contrôle industriels sont physiquement isolés pour garantir la fiabilité. Cependant, cette pratique s’avère peu optimale quand les systèmes deviennent de plus en plus interconnectés pour échanger des données et permettre une automatisation plus intelligente. Face à ce dilemme, une solution pertinente s’impose : le firewall (pare-feu) industriel.

Dans cet article, nous présentons des considérations clés concernant la mise en œuvre et la gestion des risques liés à la sécurité du réseau industriel. Nous fournissons des indications sur la manière de choisir le bon firewall industriel qui garantit la sécurité et la fiabilité de vos réseaux industriels.

Importance de la sécurité des réseaux industriels

L’une des principales préoccupations liées aux réseaux industriels est l’émergence de menaces visant les systèmes d’automatisation.

Souvent dépourvus de mesures de sécurité, les réseaux hérités sont particulièrement vulnérables aux attaques de réseaux malveillants. Une fois compromis, ces réseaux permettent aux attaquants de visualiser et manipuler des données sensibles.

Pour résoudre les problèmes de sécurité des réseaux des systèmes de contrôle industriels, il faut bien comprendre les défis de la sécurité et mettre en place des contre-mesures défensives efficaces.

Une approche de « défense en profondeur » peut être appliquée aux systèmes pour protéger les équipements critiques et étendre la couverture de sécurité sur votre réseau d’automatisation à diverses cellules de dispositifs, zones de fonctions et sites d’usine. Le choix du bon équipement est la clé de voûte du succès.

Recevez nos derniers article chaque semaine dans votre boîte email !

Présentation générale d’un firewall  industriel 

Les firewalls industriels sont des dispositifs qui protègent les réseaux ou les périphériques réseau, tels que les PC industriels, les systèmes de contrôle et autres dispositifs, contre tout accès non autorisé.

Utilisation d’un firewall  industriel

Conformément aux recommandations de l’ANSSI, le firewall  industriel peut être utilisé pour séparer des réseaux de criticités différentes. Il peut également être utilisé pour protéger un système de contrôle industriel (SCI) d’un système de gestion d’information. Enfin, il peut être utilisé pour séparer les différentes parties d’un SCI. Lorsque la disponibilité est critique, deux firewalls peuvent être utilisés en redondance afin d’augmenter la résilience de l’interconnexion.

Le mode opératoire fondamental d’un firewall  industriel repose sur le filtrage de paquets. Pour ce faire, il inspecte chaque paquet reçu pour déterminer s’il correspond à un modèle souhaité. Ces modèles sont établis sous forme de règles. Un firewall  industriel peut, par exemple, inclure des règles du type « Une liaison de communication à l’intérieur du réseau ne peut avoir lieu qu’avec un serveur spécifié » ou « Seuls les PC de télémaintenance peuvent être joints à l’extérieur du réseau».

Il existe de nombreux types de firewalls industriels construits pour différents cas d’utilisation. Ils diffèrent non seulement par leurs facteurs de forme, leurs certifications et leurs spécifications physiques, mais aussi par le type de filtrage qu’ils fournissent. Par exemple, un firewall  conçu pour protéger une zone opérationnelle d’une usine et doté d’une capacité de filtrage sophistiquée (Deep Packet Inspection) qui peut contenir des règles pour les protocoles industriels telles que : « Les commandes d’écriture pour le protocole Modbus/TCP, bobine 19, ne sont autorisées que depuis le terminal de maintenance ».

firewall industriels

Découvrez nos routeurs firewall industriels

Routeurs firewall industriels avec des performances Ethernet accrues pour protéger vos actifs critiques et fournir un accès distant sécurisé, tout en garantissant un système de défense en profondeur.

Je découvre

Fonctionnalités d’un firewall  industriel

Un firewall  industriel est conçu pour fonctionner dans des environnements hostiles où des firewalls classiques ne pourraient pas fonctionner correctement en raison de la chaleur, de l’humidité ou de la poussière. Selon l’architecture, ce firewall  peut agir comme un routeur IP, un proxy TCP ou un pont Ethernet.

Le firewall  industriel comprend les fonctionnalités suivantes :

Filtrage des réseaux

Le firewall  industriel prend en charge le filtrage dynamique

Analyse du protocole

Le firewall  industriel vérifie que les paquets d’entrée sont conformes aux spécifications du protocole. Cette fonctionnalité n’est pas nécessairement prise en charge par tous les autres appareils.

Fonctions d’administration

Plusieurs interfaces d’administration sont possibles :

  • Les postes de programmation
  • L’administration web
  • Les périphériques amovibles (clés USB, cartes mémoire SD, etc).

Exploitation locale

Il est possible de journaliser les événements de sécurité et d’administration.

Enregistrement à distance

Le firewall  industriel prend en charge la définition d’une politique de journalisation à distance.

7 considérations relatives au déploiement des firewalls industriels

Le déploiement d’un nouveau firewall dans les réseaux de contrôle industriel peut présenter plusieurs défis, tels que la reconfiguration de l’adresse IP, les changements de topologie du réseau et la compatibilité avec les réseaux existants. La première chose à faire est de déterminer le type de firewall qui convient à votre réseau.

  1. Adéquation avec la topologie de votre réseau industriel

En général, un firewall industriel offre deux options de filtrage, routé ou ponté, pour répondre aux différentes topologies de réseau.

  • Un firewall routé agit comme un nœud L3 et protège les réseaux connectés à ses deux interfaces logiques. Un firewall routé participe au processus IP et peut effectuer des tâches telles que la traduction d’adresse réseau et la redirection de port. Bien qu’un firewall routé offre la plus grande capacité et flexibilité, une reconfiguration substantielle du réseau peut être nécessaire.
  • Un firewall ponté convient pour protéger les dispositifs ou les équipements critiques à l’intérieur d’un réseau de contrôle où le trafic réseau est échangé au sein d’un seul sous-réseau. Un firewall ponté ne participe pas au processus de routage et peut être installé dans le réseau sans nécessiter la reconfiguration des sous-réseaux IP.

  1. Performance de filtrage et latence

Dans la plupart des applications de contrôle industriel, le temps de réponse est un facteur critique. Les processus de filtrage des données qui sont effectués par les firewalls créent une latence. Un firewall  industriel doit minimiser l’interruption des données de commande et permettre un débit élevé entre les contrôleurs et les dispositifs d’entrée/sortie.

En outre, les performances de filtrage des données doivent être constantes pour différents types et tailles de paquets. Dans les applications d’automatisation, un temps de réponse en millisecondes est nécessaire pour permettre des exécutions en temps réel telles que le contrôle de processus et l’acquisition de données.

  1. Filtrage des protocoles

La plupart des protocoles industriels utilisent TCP/IP ou UDP comme base de communication pour la transmission des données. Traditionnellement, les firewalls refusent tout trafic entrant et n’autorisent que le trafic unidirectionnel en se basant sur des listes blanches.

Cependant, une liste blanche ne fait que bloquer les hôtes non autorisés mais permet l’accès à tous les hôtes autorisés au niveau de la couche IP ou MAC. À mesure que la complexité du réseau augmente, la liste blanche devient insuffisante pour assurer une sécurité efficace.

En effet, si la liste blanche protège bien l’accès non autorisé aux dispositifs industriels, elle n’est pas optimale pour contrôler les commandes de données. Ce qu’il faut, ce sont des firewalls robustes, capables d’autoriser ou de refuser le trafic en fonction des protocoles. Ceci facilite les contrôles des commandes de données au niveau de la couche applicative.

  1. Qualité de conception pour les environnements difficiles

Dans les applications industrielles, les firewalls sont souvent situés dans des armoires soumises à des conditions difficiles, telles que les températures élevées et les vibrations. Dans ce cas, la conception robuste du firewall est aussi importante que ses performances.

Un firewall destiné aux applications industrielles doit être conforme aux normes industrielles, notamment C1D2 (pétrole et gaz), NEMA TS2 (transport), EN 50121-4 (voies ferrées) et UL (automatisation des usines).

  1. Consignation et notification des événements

Quel que soit le type de firewall industriel mis en œuvre, la journalisation des événements est essentielle pour garantir que les règles sont bien mises en œuvre et fonctionnent correctement. En outre, les journaux permettent aux administrateurs de surveiller ce qui se passe dans le réseau de contrôle.

Les administrateurs peuvent également examiner ces journaux pour évaluer la force des politiques de firewall actuelles, ce qui permet d’améliorer constamment la sécurité.

Un firewall doit être capable d’envoyer des événements SNMP avec un niveau de gravité d’urgence adéquat. Cela signifie qu’un firewall industriel doit offrir la souplesse de configuration permettant aux administrateurs de définir un niveau de gravité pour chaque règle et de créer un journal pour chaque événement déclenché. D’autre part, un firewall doit offrir l’option permettant à l’administrateur réseau de désactiver les notifications automatiques des événements non critiques.

  1. Facilité des modifications groupées

Dans les applications industrielles, il peut y avoir jusqu’à des centaines ou des milliers de firewalls installés. Cela soulève la question de la facilité avec laquelle il est possible de modifier les règles des nombreux firewalls sur le terrain lorsqu’un nouveau service est introduit.

Il existe deux façons de déployer en masse des règles de firewall : la commande par lot et l’utilisation d’un logiciel de gestion centralisée. Les deux sont faciles à utiliser et efficaces. L’utilisation de l’une ou l’autre dépend de la préférence de l’administrateur réseau. Une solution de firewall  industriel devrait inclure les deux options.

  1. Intuitivité de l’interface de configuration

La configuration et le déploiement de firewall dans un réseau de contrôle industriel nécessitent des administrateurs formés, capables de concevoir des règles efficaces. Il est important votre fournisseur de firewall industriel propose des interfaces de configuration intuitives et faciles à utiliser pour automatiser le processus de configuration.

Un firewall industriel doit comprendre une interface de ligne de commande, une interface utilisateur graphique et, de préférence, un assistant de configuration pour permettre de le faire fonctionner rapidement sur le terrain.

L’article Firewall industriel : 7 critères de choix est apparu en premier sur IoT Industriel Blog.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour haut de page