Avec l’intégration progressive des réseaux TI et TO, les équipements de production se retrouvent connectés à un réseau beaucoup plus large qu’auparavant. Cet élargissement augmente de plusieurs ordres de grandeur le nombre d’individus et d’appareils qui pourraient accéder à l’environnement de production – d’autant plus que le réseau TI est ouvert sur Internet et, généralement, accessible sans fil.
Dans ces conditions, comment faire en sorte de surveiller qui se branche avec quoi sur le réseau de l’entreprise? La meilleure façon de le faire est en utilisant un système logiciel dédié à cette surveillance : un contrôleur d’accès au réseau (network access control ou NAC).
Chaque fois qu’un nouvel usager ou un nouvel appareil tente de se connecter au réseau, un contrôleur NAC choisit de l’y admettre ou non, en effectuant les opérations suivantes :
- Il identifie l’utilisateur et vérifie les droits d’accès dont il dispose.
- Il authentifie l’appareil que l’usager utilise pour se brancher.
- Il vérifie l’état de la sécurité de l’appareil et sa conformité aux standards de sécurité fixés pour ce type d’appareil. Par exemple, il vérifie que le système d’exploitation de l’appareil est à jour, et que le pare-feu et l’antivirus requis y sont activés.
- En cas de manquement aux paramètres de sécurité exigés, il peut y remédier en installant des correctifs sur l’appareil.
- Il fournit à l’usager le type d’accès au réseau et à ses sous-réseaux qui correspond au profil de ses droits d’accès.
Lors d’une demande d’accès au réseau, si toutes les conditions d’accès exigées ne sont pas remplies, le système peut soit :
- refuser entièrement l’accès au réseau
- offrir un accès limité à un sous-réseau, de type « invité », qui permet par exemple d’accéder à Internet, mais pas de se connecter aux appareils, aux serveurs ou aux machines dans l’entreprise
- mettre l’usager et l’appareil temporairement en quarantaine en attendant que leurs conditions d’accès soient remplies et, dès qu’elles le sont, leur ouvrir l’accès demandé au réseau.
De plus, un système NAC assure la traçabilité des accès en consignant, dans un fichier-journal, l’ensemble des informations liées aux accès au réseau.
Ce type de dispositif est déjà utilisé dans des réseaux TI. Dans un contexte d’intégration entre les réseaux TI et TO, il apporte un haut niveau de sophistication à la gestion de la sécurité du réseau TO.
En effet, actuellement, beaucoup de réseaux TO ne sont protégés que par un accès physique. Si un intrus arrive à brancher physiquement un appareil sur le réseau TO, il se trouve libre d’y circuler et, le cas échéant, de créer des incidents, de voler des données ou de causer des perturbations aux équipements de production. Tant qu’il demeure branché, il n’y a alors guère d’autre solution pour l’empêcher de nuire que d’interrompre entièrement le fonctionnement du réseau, avec les conséquences que cela implique pour la production.
Un contrôleur d’accès au réseau agit donc comme un véritable gardien de sécurité, présent en tout temps à toutes les portes d’entrée sur le réseau de l’entreprise. Il se trouve en position d’autorité pour bloquer l’accès au besoin ; mais il le fait poliment, d’une façon personnalisée, en fournissant une assistance aux usagers bien intentionnés qui n’ont pas fait toutes les mises à jour de sécurité sur leur appareil.
Un NAC fait tout ceci de façon automatisée et centralisée. C’est donc un excellent outil pour sécuriser votre réseau TO, dans un contexte d’industrie 4.0.
NOVIPRO peut vous aider à évaluer la pertinence d’installer un système de contrôle des accès (NAC) sur votre réseau d’entreprise. Notre expertise en cybersécurité et notre compréhension des enjeux de l’industrie 4.0 nous permettent de bien vous conseiller dans votre transformation numérique et votre cheminement vers l’usine connectée.
Lire l'article suivant du dossier : Comment segmenter le réseau pour bien protéger les TO.