Segmentation réseau IoT¶

Isoler les devices IoT du réseau d'entreprise — contenir la propagation d'une compromission et protéger les systèmes opérationnels critiques.

Pourquoi l'isolation OT/IT est vitale¶

L'interconnexion directe entre les réseaux de capteurs/actionneurs (OT — Operational Technology) et les réseaux bureautiques (IT — Information Technology) crée un chemin de propagation latérale redoutable. Les incidents industriels les plus graves — Triton/TRISIS (Schneider Electric, 2017), BlackEnergy (Ukraine, 2015), NotPetya (Maersk, 2017) — ont tous suivi ce même chemin : compromission IT initiale → pivot vers OT → impact physique.

Un réseau IoT correctement segmenté garantit :

Confinement : la compromission d'un device IoT ne donne pas accès au réseau d'entreprise
Contrôle des flux : seuls les flux métier légitimes traversent les frontières de zone
Visibilité : tout trafic inter-zone passe par un point d'inspection
Disponibilité OT : le réseau de production reste stable même en cas d'incident IT

Le modèle Purdue (ISA-95 / IEC 62443)¶

Le modèle Purdue définit une hiérarchie de niveaux pour les systèmes industriels, avec des règles de communication strictes entre niveaux adjacents uniquement :

graph TB
    subgraph N5["Niveau 5 — Enterprise Network (IT)"]
        ERP["ERP / MES\nCloud Business\nSystèmes corporate"]
    end

    subgraph N4["Niveau 4 — Site Business Planning"]
        HIST["Historian\nReporting\nScheduling"]
    end

    subgraph DMZ["Zone DMZ Industrielle"]
        FW1["Firewall IT→DMZ"]
        PROXY["Proxy / Data Diode\nHistorian répliqué\nFile transfer contrôlé"]
        FW2["Firewall DMZ→OT"]
    end

    subgraph N3["Niveau 3 — Site Operations"]
        SCADA["SCADA / DCS\nSystèmes de supervision\nOPC-UA server"]
        PATCH["Patch Management\nAntivirus OT"]
    end

    subgraph N2["Niveau 2 — Area Supervisory"]
        HMI["HMI\nProcess Control\nAlarm Management"]
        ENG["Engineering\nWorkstation"]
    end

    subgraph N1["Niveau 1 — Basic Control"]
        PLC["PLC / DCS Controllers\nSafety Systems (SIS)"]
    end

    subgraph N0["Niveau 0 — Field Devices"]
        SENS["Capteurs IoT\nActionneurs\nVariateurs, Drives"]
        RTU["RTU / Field Bus\nModbus, PROFINET, CAN"]
    end

    N5 <-->|"Flux contrôlés"| N4
    N4 <-->|"DMZ obligatoire"| DMZ
    DMZ <-->|"Flux contrôlés"| N3
    N3 <-->|"Accès restreint"| N2
    N2 <-->|"Protocoles industriels"| N1
    N1 <-->|"Terrain / fieldbus"| N0

    style N5 fill:#e3f2fd
    style N4 fill:#bbdefb
    style DMZ fill:#fff9c4
    style N3 fill:#ffe0b2
    style N2 fill:#ffccbc
    style N1 fill:#ef9a9a
    style N0 fill:#e57373,color:#fff

Règle fondamentale du modèle Purdue : aucun flux ne doit sauter un niveau. Un device de niveau 0 ne communique jamais directement avec un système de niveau 3+.

Architecture VLAN IoT¶

La segmentation VLAN permet d'isoler logiquement les réseaux IoT sans recâblage physique complet.

Conception des VLANs¶

VLAN	ID	Contenu	Accès sortant
IOT-SENSORS	110	Capteurs, devices bas-débit	VLAN-GATEWAY uniquement
IOT-ACTUATORS	120	Actionneurs, relais	VLAN-GATEWAY + VLAN-CONTROL
IOT-GATEWAY	130	Gateways industrielles	VLAN-OT-SUPERVISION
IOT-OTA	140	Mises à jour firmware	Internet filtré (HTTPS, domaines whitelist)
OT-SUPERVISION	200	SCADA, HMI, DCS	VLAN-DMZ-IND
OT-CONTROL	210	PLC, automates	VLAN-SUPERVISION uniquement
DMZ-IND	300	Historian répliqué, proxy	VLAN-IT + VLAN-OT-SUPERVISION
IT-CORP	400	Postes bureautiques	Internet, VLAN-DMZ-IND

Règles de firewall inter-VLAN¶

# Exemple de règles (syntaxe générique)
# IOT-SENSORS → IOT-GATEWAY uniquement
PERMIT  VLAN110  any  → VLAN130  MQTT(8883)
PERMIT  VLAN110  any  → VLAN130  CoAP(5684)
DENY    VLAN110  any  → any

# IOT-GATEWAY → OT-SUPERVISION (MQTT broker seulement)
PERMIT  VLAN130  any  → VLAN200  MQTT(8883)
PERMIT  VLAN130  any  → VLAN200  OPC-UA(4840)
DENY    VLAN130  any  → any

# IOT-OTA → Internet filtré (domaines whitelistés)
PERMIT  VLAN140  any  → INTERNET  HTTPS(443)  domain:ota.company.com
DENY    VLAN140  any  → any

Data Diode industrielle¶

Pour les zones critiques (infrastructures d'importance vitale, nucléaire, défense), la data diode est la seule garantie d'isolation unidirectionnelle. Contrairement à un firewall, une data diode garantit physiquement qu'aucune donnée ne peut traverser dans le sens retour — même sous compromission logicielle.

Produit	Débit	Protocoles	Usage
Waterfall Security SG	10 Gbps	TCP/UDP, OPC-UA, Modbus	Industrie critique
Owl TDi	1 Gbps	TCP, file transfer	Défense, gouvernement
Nexor Trusted Gateway	1 Gbps	Multi-protocole	Énergie, transport
Advenica SecuriCDS	100 Mbps	Personnalisable	Télécom, énergie

Micro-segmentation et Zero Trust OT¶

La micro-segmentation pousse l'isolation jusqu'au niveau individuel du device — chaque capteur ou automate a ses propres règles de communication.

Principe de micro-segmentation IoT¶

graph LR
    subgraph Zone_A["Zone A — Chaîne de production 1"]
        S1["Capteur T°\n192.168.110.10"]
        S2["Capteur P°\n192.168.110.11"]
        PLC1["PLC1\n192.168.110.100"]
    end

    subgraph Zone_B["Zone B — Chaîne de production 2"]
        S3["Capteur T°\n192.168.111.10"]
        S4["Capteur flux\n192.168.111.11"]
        PLC2["PLC2\n192.168.111.100"]
    end

    subgraph GW["Gateway supervisée"]
        BROKER["MQTT Broker\nAutorisation par topic"]
        NAC["NAC / 802.1X\nAuth par certificat"]
    end

    S1 -->|"publish /plante/ligne1/temperature"| BROKER
    S2 -->|"publish /plante/ligne1/pression"| BROKER
    PLC1 -->|"subscribe /plante/ligne1/#"| BROKER

    S3 -->|"publish /plante/ligne2/temperature"| BROKER
    S4 -->|"publish /plante/ligne2/flux"| BROKER
    PLC2 -->|"subscribe /plante/ligne2/#"| BROKER

    S1 -.->|"INTERDIT"| Zone_B
    S3 -.->|"INTERDIT"| Zone_A

Cloisonnement par topic MQTT : chaque device n'a accès qu'aux topics de son groupe. Le broker applique des ACL par certificat client (mTLS).

Authentification réseau 802.1X pour IoT¶

Le standard 802.1X permet d'authentifier chaque device avant de lui accorder l'accès au réseau, même physiquement branché :

Étape	Mécanisme	Pour IoT
Identité	Certificat X.509 device (EAP-TLS)	Pas de mot de passe partagé
Autorisation	RADIUS/LDAP + profil par device type	VLAN dynamique assigné
Audit	Logs RADIUS de connexion	Traçabilité complète
Révocation	Certificat révoqué → accès réseau coupé	Gestion cycle de vie device

DMZ industrielle¶

La DMZ industrielle est une zone neutre entre le réseau OT et le réseau IT. Elle héberge les services qui ont besoin d'être accessibles des deux côtés sans créer de connexion directe.

Services typiques en DMZ industrielle¶

Service	Rôle	Flux autorisés
Historian répliqué	Copie unidirectionnelle des données temps réel	OT → DMZ (data diode ou push)
Jump server	Accès distant sécurisé pour maintenance	IT → DMZ (MFA), DMZ → OT (session auditée)
Patch relay	Distribution de mises à jour pour l'OT	IT → DMZ → OT (fichiers validés)
FTP/SFTP contrôlé	Échange de fichiers de configuration	Bidirectionnel, protocole strict
Antivirus OT	Scan des fichiers entrant dans l'OT	DMZ → OT (signatures mises à jour)

Cas pratique : segmentation pour un déploiement IoT industriel¶

Un site de production avec 500 capteurs IoT, 20 PLC, et 5 gateways :

graph TD
    INET["Internet filtré<br/>Serveur OTA (cloud)<br/>TLS 1.3 + IP whitelist"]
    INET --> FW1["Firewall périmètre"]
    FW1 --> DMZ["DMZ industrielle<br/>Historian, Jump server<br/>VLAN 300"]
    DMZ --> FW2["Firewall OT"]
    FW2 --> SCADA["Réseau supervision<br/>SCADA, HMI<br/>VLAN 200, accès restreint"]
    SCADA --> SW1["Switch managé + ACL"]
    SW1 --> GW["Réseau gateways<br/>5 gateways IoT<br/>VLAN 130, 802.1X cert"]
    GW --> SW2["Switch accès + 802.1X"]
    SW2 --> CAPT["Réseau capteurs<br/>500 capteurs IoT<br/>VLAN 110, mTLS obligatoire"]
    SW2 --> ACT["Réseau actionneurs<br/>PLC, drives<br/>VLAN 120, protocoles industrie"]

Ce qu'il faut retenir¶

Le modèle Purdue est la référence pour l'isolation OT/IT — aucun flux ne saute de niveau.
La DMZ industrielle est obligatoire pour tout échange entre réseau OT et réseau IT.
La micro-segmentation par topic MQTT et par certificat device limite le rayon d'explosion d'une compromission.
802.1X EAP-TLS pour IoT évite les mots de passe partagés et permet la révocation immédiate par certificat.
La data diode est la seule garantie physique d'isolation unidirectionnelle pour les zones critiques.

Chapitre suivant : Identité & authentification device — provisionner une identité cryptographique unique sur chaque device et la gérer tout au long de son cycle de vie.