Votre première ligne de défense du réseau

06/01/2021 - Ressources
Votre première ligne de défense du réseau

À l'ère de l'IIoT, des systèmes auparavant non connectés sont désormais reliés par des réseaux privés ou publics afin d'acquérir plus de connaissances et d'améliorer la productivité.

L'inconvénient d'une plus grande connectivité est l'augmentation considérable des cybermenaces sur les réseaux industriels. Cependant, un nombre croissant d'experts partagent leur expertise afin de vous aider à renforcer la cybersécurité dans votre réseau industriel
 

Deux méthodes sont disponibles pour la mise en place de la cybersécurité industrielle. Dans un premier temps, il faut sécuriser les fondations de votre infrastructure réseau et ne laisser passer le trafic autorisé que dans les zones désignées. Ensuite, la seconde méthode consiste à identifier les actifs critiques et à appliquer une protection par couches (Layer). Les routeurs et les pare-feu industriels sécurisés sont essentiels à ces deux méthodes car ils sont déployés en première ligne pour empêcher tout accès et trafic non autorisés à vos réseaux industriels.

Critères clés pour le choix de routeurs et de pare-feu sécurisés industriels

Les systèmes de contrôle industriel peuvent appliquer une approche de défense en profondeur pour protéger les équipements critiques et sécuriser divers emplacements, cellules de dispositifs, zones de fonctions et sites d'usines sur votre réseau d'automatisation. La cybersécurité de défense en profondeur comprend trois types de contrôles : physiques, techniques et administratifs. Tout d'abord, mettre en place des contrôles physiques en segmentant votre réseau et en créant des frontières entre chaque segment. Ensuite, appliquer des contrôles techniques en sécurisant le trafic réseau ou en filtrant les paquets de données. Enfin, renforcer la sécurité administrative en gérant les adresses IP et en adoptant des politiques de sécurité strictes. Les routeurs et les pare-feu sécurisés constituent un excellent moyen d'assurer une cyberdéfense en profondeur de votre réseau, mais comment choisir le bon routeur ou pare-feu pour votre application industrielle ? Tenez compte des critères suivants.

  • Ajouter des pare-feu sans modifier votre réseau : Pour ce faire, il faut segmenter le réseau en le décomposant en zones physiques ou logiques avec des pare-feux industriels. Un pare-feu est un dispositif de contrôle d'accès qui examine le paquet IP, compare le paquet à des règles de politique préconfigurées et décide d'autoriser, de refuser ou de prendre d'autres mesures concernant le paquet. En règle générale, les pare-feu peuvent être soit routés, soit transparents, et le type dont vous aurez besoin dépend des exigences de votre application. Contrairement aux pare-feux routés, les pare-feux transparents permettent de conserver le même sous-réseau, afin de faciliter l’ajout des pare-feux à un réseau existant. De plus, les pare-feu transparents conviennent à la protection de dispositifs ou d'équipements critiques à l'intérieur d'un réseau de contrôle où le trafic réseau est échangé au sein d'un seul sous-réseau. En outre, il n’est plus nécessaire de modifier la topologie du réseau ni de reconfigurer les sous-réseaux IP car les pare-feu transparents ne participent pas au processus de routage.

  • Détecter les menaces et protéger les données critiques : Les pare-feux s'apparentent à des gardiens, cependant, des intrus déterminés peuvent toujours être en mesure de passer les portes d'un réseau segmenté. C'est pourquoi vous devez constamment vérifier le trafic qui passe par les portes que vous avez établies. Un moyen d'y parvenir est de filtrer les commandes indésirables, comme les commandes d'écriture ou de configuration qui pourraient provoquer l'échec des processus industriels en cas de besoin ou déclencher inutilement un état de sécurité pendant la production. Il est donc important que les routeurs et les pare-feu sécurisés industriels prennent en charge le filtrage des protocoles industriels au niveau des commandes (lecture, écriture, etc.) pour un contrôle plus fin de la liste blanche. Si vous souhaitez sécuriser la transmission de données confidentielles, vous pouvez envisager de construire des tunnels sécurisés pour les communications de site à site. Dans certains cas, les communications sur des réseaux publics ou non fiables nécessiteront certainement des transmissions de données cryptées sécurisées. Dans de telles circonstances, vous pouvez également envisager la possibilité d'utiliser un réseau privé virtuel (VPN) pour choisir vos routeurs et pare-feu industriels sécurisés.

  • Maîtriser vos pare-feu et votre réseau : Dans les applications industrielles, des centaines ou des milliers de pare-feu pourraient être installés pour contrôler le trafic de données et protéger les équipements de terrain contre les attaques malveillantes. En outre, votre réseau pourrait comporter encore plus d'adresses IP. À mesure que les réseaux s'étendent, la gestion de tous les dispositifs, des règles de pare-feu et des adresses IP devient plus complexe. C'est pourquoi la traduction d'adresses réseau (NAT) constitue une fonction très importante lorsque vous déployez des routeurs et des pare-feu industriels sécurisés. La NAT vous permet de réutiliser les schémas d'adresses IP des machines sur le même réseau et de connecter plusieurs appareils à l'internet, en utilisant un nombre plus restreint d'adresses IP. Cela permet non seulement de réduire considérablement les efforts de maintenance et la charge administrative, mais aussi de procéder à une simple segmentation du réseau. En outre, elle renforce la sécurité des réseaux privés en gardant l'adressage interne privé du réseau externe.

Trouver le bon routeur ou pare-feu sécurisé pour votre application vous amène à mi-chemin dans le renforcement de la sécurité de votre réseau industriel. L'utilisation de trois critères pour vous aider à faire le bon choix peut vous permettre de lever certaines hypothèses. Par exemple, un routeur industriel sécurisé multiport hautement intégré avec pare-feu/NAT/VPN et des fonctions de commutation gérées de layer 2, comme la série Moxa EDR-810, vous offre tout ce dont vous avez besoin. Néanmoins, quelle que soit la solution que vous choisirez finalement, elle devra répondre aux exigences spécifiques de votre application.

Découvrez la liste des routeurs et pare-feu et/ou contactez nos experts pour plus d’informations. 

 

Partager cet article Sur les réseaux sociaux

Nos autres articles