{"id":13073,"date":"2026-04-29T09:00:20","date_gmt":"2026-04-29T07:00:20","guid":{"rendered":"https:\/\/jimber.io\/?p=13073"},"modified":"2026-04-29T09:00:20","modified_gmt":"2026-04-29T07:00:20","slug":"securite-opc-ua-et-modbus-protection-des-protocoles-industriels-grace-a-lisolation-en-ligne","status":"publish","type":"post","link":"https:\/\/jimber.io\/fr\/blog\/securite-opc-ua-et-modbus-protection-des-protocoles-industriels-grace-a-lisolation-en-ligne\/","title":{"rendered":"S\u00e9curit\u00e9 OPC-UA et Modbus : protection des protocoles industriels gr\u00e2ce \u00e0 l&rsquo;isolation en ligne"},"content":{"rendered":"<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Pourquoi OPC-UA et Modbus sont-ils vuln\u00e9rables aux cyberattaques ?<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Modbus n&rsquo;a pas d&rsquo;authentification ou de cryptage natif. Chaque commande est transmise en clair et n&rsquo;importe quel appareil du r\u00e9seau peut envoyer des instructions \u00e0 n&rsquo;importe quel automate. OPC-UA offre des fonctions de s\u00e9curit\u00e9 telles que l&rsquo;authentification par certificat et le cryptage des messages, mais celles-ci sont rarement mises en \u0153uvre correctement dans les environnements de production. Les deux protocoles fonctionnent sur des \u00e9quipements qui ne peuvent pas installer d&rsquo;agents de s\u00e9curit\u00e9, ce qui fait de l&rsquo;isolation en ligne la m\u00e9thode la plus pratique pour les prot\u00e9ger.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Chaque usine qui connecte des automates, des IHM ou des syst\u00e8mes SCADA \u00e0 un r\u00e9seau d&rsquo;entreprise ouvre une voie que les attaquants peuvent suivre depuis un courriel d&rsquo;hame\u00e7onnage jusqu&rsquo;\u00e0 une cha\u00eene de production. OPC-UA et Modbus sont les deux protocoles industriels les plus utilis\u00e9s, et tous deux ont \u00e9t\u00e9 con\u00e7us \u00e0 une \u00e9poque o\u00f9 la cybers\u00e9curit\u00e9 n&rsquo;\u00e9tait pas une pr\u00e9occupation. Les appareils qui utilisent ces protocoles fonctionnent pendant des d\u00e9cennies, ne peuvent pas \u00eatre corrig\u00e9s facilement et se trouvent sur des r\u00e9seaux qui sont de plus en plus connect\u00e9s \u00e0 l&rsquo;infrastructure informatique. Ce guide explique les lacunes de chaque protocole, la mani\u00e8re dont les attaquants exploitent le foss\u00e9 entre les technologies de l&rsquo;information et les technologies de l&rsquo;information, et comment l&rsquo;isolation en ligne prot\u00e8ge la production sans n\u00e9cessiter l&rsquo;installation d&rsquo;un logiciel sur un appareil industriel.   <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Ce qu&rsquo;est l&rsquo;OPC-UA et les lacunes de sa s\u00e9curit\u00e9<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">OPC-UA (Open Platform Communications Unified Architecture) est la norme d&rsquo;interop\u00e9rabilit\u00e9 dans le domaine de l&rsquo;automatisation industrielle. Il remplace l&rsquo;ancien OPC Classic, d\u00e9pendant de Windows, par un cadre ind\u00e9pendant de la plate-forme qui mod\u00e9lise les donn\u00e9es comme des objets dans un espace d&rsquo;adressage. Deux mod\u00e8les de communication dominent : le mod\u00e8le client-serveur, dans lequel une interface homme-machine se connecte \u00e0 un automate pour lire ou \u00e9crire des donn\u00e9es, et le mod\u00e8le publication-souscription (PubSub), dans lequel un \u00e9diteur transmet des donn\u00e9es \u00e0 plusieurs abonn\u00e9s simultan\u00e9ment.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le protocole a \u00e9t\u00e9 con\u00e7u avec une s\u00e9curit\u00e9 int\u00e9gr\u00e9e. L&rsquo;authentification au niveau de l&rsquo;application utilise des certificats X.509. La s\u00e9curit\u00e9 au niveau du transport signe et chiffre les messages \u00e0 l&rsquo;aide d&rsquo;AES et de RSA. L&rsquo;authentification des utilisateurs prend en charge les jetons, Kerberos et les certificats. Les listes de contr\u00f4le d&rsquo;acc\u00e8s d\u00e9terminent les actions qu&rsquo;un utilisateur peut effectuer sur des n\u0153uds sp\u00e9cifiques.    <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Cela semble solide sur le papier. Dans la pratique, trois probl\u00e8mes viennent l&rsquo;\u00e9branler. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Tout d&rsquo;abord, la sp\u00e9cification s&rsquo;\u00e9tend sur 14 parties et est extraordinairement complexe. Elle est mise en \u0153uvre diff\u00e9remment selon les fournisseurs et les incoh\u00e9rences entre les mises en \u0153uvre cr\u00e9ent des failles exploitables. L&rsquo;Office f\u00e9d\u00e9ral allemand pour la s\u00e9curit\u00e9 de l&rsquo;information (BSI) a analys\u00e9 la version 1.04 d&rsquo;OPC-UA et a constat\u00e9 que le param\u00e8tre \u00ab\u00a0SecurityPolicy : None\u00a0\u00bb, pr\u00e9vu pour les tests, est souvent laiss\u00e9 actif en production pour \u00e9viter les probl\u00e8mes de compatibilit\u00e9 ou les surco\u00fbts de performance.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Deuxi\u00e8mement, la sp\u00e9cification n&rsquo;impose pas la force du mot de passe. Les attaques brutales contre les comptes d&rsquo;utilisateurs restent viables dans les environnements o\u00f9 les informations d&rsquo;identification par d\u00e9faut ou faibles persistent. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Troisi\u00e8mement, la complexit\u00e9 de la pile elle-m\u00eame g\u00e9n\u00e8re des vuln\u00e9rabilit\u00e9s. Entre 2022 et 2026, les \u00e9quipes de recherche de Claroty et Kaspersky ont document\u00e9 des failles critiques dans les impl\u00e9mentations OPC-UA des principaux fournisseurs. Il s&rsquo;agit notamment d&rsquo;attaques par d\u00e9ni de service au moyen de cha\u00eenes de certificats mal form\u00e9es et de l&rsquo;inondation de morceaux, de la corruption de la m\u00e9moire au moyen d&rsquo;un traitement UTF-8 mal form\u00e9 et de l&rsquo;\u00e9puisement des ressources d\u00fb \u00e0 un nombre excessif de demandes de canaux s\u00e9curis\u00e9s. Chaque vuln\u00e9rabilit\u00e9 renforce la m\u00eame conclusion : la s\u00e9curit\u00e9 native ne fonctionne que lorsque l&rsquo;impl\u00e9mentation est parfaite et la configuration stricte. Dans une usine dot\u00e9e d&rsquo;un micrologiciel h\u00e9rit\u00e9 et d&rsquo;une expertise limit\u00e9e en mati\u00e8re de s\u00e9curit\u00e9 informatique, cette hypoth\u00e8se est rarement valable.    <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Pourquoi Modbus n&rsquo;a jamais \u00e9t\u00e9 con\u00e7u pour \u00eatre s\u00e9curis\u00e9<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Modbus est le protocole industriel le plus ancien et le plus largement d\u00e9ploy\u00e9. Sa popularit\u00e9 tient \u00e0 sa simplicit\u00e9 : le protocole lit et \u00e9crit des registres (valeurs de 16 bits) et des bobines (valeurs de 1 bit). Rien de plus. Cette simplicit\u00e9 est \u00e9galement sa plus grande faiblesse.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le protocole existe en trois variantes principales. Modbus RTU communique sur des connexions s\u00e9rie (RS-485 ou RS-232) en utilisant des ID d&rsquo;esclaves. Modbus ASCII est une variante s\u00e9rie moins efficace qui utilise des caract\u00e8res lisibles. Modbus TCP\/IP enveloppe les trames Modbus dans des paquets TCP sur le port 502 et est la variante la plus couramment expos\u00e9e aux attaques bas\u00e9es sur le r\u00e9seau.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Aucune de ces variantes n&rsquo;inclut une quelconque forme de s\u00e9curit\u00e9. Aucune authentification ne permet de v\u00e9rifier si une commande provient d&rsquo;un syst\u00e8me SCADA autoris\u00e9 ou de l&rsquo;ordinateur portable d&rsquo;un pirate. Aucun cryptage ne prot\u00e8ge les donn\u00e9es en transit, de sorte que les valeurs de processus et les commandes de contr\u00f4le voyagent en clair. Les pirates peuvent abuser des codes de fonction standard pour \u00e9crire des registres, modifier des points de consigne, arr\u00eater des moteurs ou ouvrir des vannes. Et comme Modbus n&rsquo;a pas de suivi de session ou d&rsquo;horodatage, les commandes l\u00e9gitimes peuvent \u00eatre enregistr\u00e9es et rejou\u00e9es \u00e0 volont\u00e9.    <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">En 2018, l&rsquo;Organisation Modbus a introduit Modbus\/TCP Security, qui enveloppe le trafic dans un tunnel TLS pour une authentification et un cryptage mutuels. L&rsquo;adoption en 2026 reste minime. De nombreux PLC et RTU fonctionnent sur des microcontr\u00f4leurs 8 bits avec des kilo-octets de m\u00e9moire, physiquement incapables de g\u00e9rer les op\u00e9rations cryptographiques TLS. Le temps de latence ajout\u00e9 par TLS est inacceptable dans les processus en temps r\u00e9el o\u00f9 les millisecondes comptent. Et la gestion de milliers de certificats num\u00e9riques dans une usine sans connectivit\u00e9 internet fiable est un d\u00e9fi logistique que la plupart des \u00e9quipes d&rsquo;OT ne sont pas en mesure de relever.    <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">R\u00e9sultat : Les appareils Modbus vendus aujourd&rsquo;hui utilisent toujours par d\u00e9faut la variante non crypt\u00e9e pour des raisons de r\u00e9trocompatibilit\u00e9.<\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Comment les attaquants exploitent le pont IT-OT<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le cheminement de l&rsquo;attaque est coh\u00e9rent d&rsquo;un incident \u00e0 l&rsquo;autre. Elle commence dans le r\u00e9seau informatique, pas dans l&rsquo;usine. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Un attaquant obtient un acc\u00e8s initial par le biais de l&rsquo;hame\u00e7onnage, du vol d&rsquo;informations d&rsquo;identification ou d&rsquo;un syst\u00e8me public vuln\u00e9rable. Ensuite, il se d\u00e9place lat\u00e9ralement dans l&rsquo;environnement informatique jusqu&rsquo;\u00e0 ce qu&rsquo;il atteigne un syst\u00e8me qui fait le lien entre l&rsquo;informatique et les technologies de l&rsquo;information. Il peut s&rsquo;agir d&rsquo;un poste de travail d&rsquo;ing\u00e9nieur avec deux connexions r\u00e9seau, d&rsquo;un pare-feu mal configur\u00e9 ou d&rsquo;un VPN de fournisseur qui accorde un large acc\u00e8s au r\u00e9seau de production. Une fois dans le segment OT, l&rsquo;absence d&rsquo;authentification dans Modbus et la mauvaise configuration fr\u00e9quente d&rsquo;OPC-UA facilitent la manipulation du protocole.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Les donn\u00e9es de l&rsquo;industrie confirment cette tendance. Dragos a indiqu\u00e9 que plus de 75 % des incidents li\u00e9s aux technologies de l&rsquo;information trouvent leur origine dans le r\u00e9seau informatique, le d\u00e9placement lat\u00e9ral \u00e9tant la principale technique utilis\u00e9e. Le temps de s\u00e9jour moyen dans les environnements OT, c&rsquo;est-\u00e0-dire la p\u00e9riode pendant laquelle un attaquant n&rsquo;est pas d\u00e9tect\u00e9, est d&rsquo;environ 42 jours. Cela donne aux adversaires des semaines pour cartographier les processus, identifier les contr\u00f4leurs critiques et planifier leur attaque.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">L&rsquo;Europe est devenue une cible privil\u00e9gi\u00e9e pour les attaques \u00e0 motivation op\u00e9rationnelle. Des groupes comme ELECTRUM ont men\u00e9 des op\u00e9rations destructrices contre des infrastructures \u00e9nerg\u00e9tiques en Ukraine et en Pologne, ciblant des syst\u00e8mes de chauffage et d&rsquo;\u00e9nergie renouvelable. Les compagnies des eaux de plusieurs pays europ\u00e9ens ont signal\u00e9 des intrusions par le biais d&rsquo;interfaces homme-machine expos\u00e9es \u00e0 l&rsquo;internet et utilisant des identifiants par d\u00e9faut ou des exploits Modbus connus. Le passage de l&rsquo;espionnage \u00e0 la perturbation active signifie que les cons\u00e9quences d&rsquo;une intrusion dans le secteur des technologies de l&rsquo;information ne se limitent plus au vol de donn\u00e9es. Elles s&rsquo;\u00e9tendent aux dommages physiques, aux pertes de production et \u00e0 la s\u00e9curit\u00e9 publique.    <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Pour comprendre comment ces attaques fonctionnent dans la pratique, consultez notre <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/fr\/blog\/convergence-it-ot-comment-connecter-les-reseaux-dusine-a-la-confiance-zero-sans-risque-pour-la-production\/\">guide sur la convergence IT-OT<\/a>, qui pr\u00e9sente trois sc\u00e9narios sp\u00e9cifiques et les contr\u00f4les qui permettent d&rsquo;arr\u00eater chacun d&rsquo;entre eux.<\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Les approches actuelles et leurs lacunes<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">La plupart des organisations s&rsquo;appuient sur une ou plusieurs de ces m\u00e9thodes pour prot\u00e9ger les r\u00e9seaux industriels. Chacune d&rsquo;entre elles s&rsquo;attaque \u00e0 une partie du probl\u00e8me. <\/p>\n<div class=\"overflow-x-auto w-full px-2 mb-6\">\n<table class=\"min-w-full border-collapse text-sm leading-[1.7] whitespace-normal\">\n<thead class=\"text-left\">\n<tr>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Approche<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Ce qu&rsquo;il fait<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Limitation<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Segmentation VLAN<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">S\u00e9pare les r\u00e9seaux en zones<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Les r\u00e9seaux sont plats \u00e0 l&rsquo;int\u00e9rieur des segments, sans inspection de protocole ni contr\u00f4le au niveau des appareils.<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Pare-feu industriel (DPI)<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Filtre le trafic OT au niveau des commandes<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Co\u00fbteux par site, gestion complexe des r\u00e8gles, latence accrue, mat\u00e9riel de contournement n\u00e9cessaire pour le basculement<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Surveillance OT (Claroty, Nozomi, Dragos)<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">D\u00e9tecte les anomalies via une \u00e9coute passive du r\u00e9seau<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">R\u00e9actif uniquement, ne peut pas emp\u00eacher une attaque en cours<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Diodes de donn\u00e9es<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Renforce le flux de trafic unidirectionnel<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Bloque la communication bidirectionnelle l\u00e9gitime n\u00e9cessaire \u00e0 de nombreux flux de travail OT<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Serveurs de saut<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Fournit un point d&rsquo;acc\u00e8s contr\u00f4l\u00e9 \u00e0 l&rsquo;OT<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Point de d\u00e9faillance unique, pas d&rsquo;isolation par appareil, large acc\u00e8s une fois connect\u00e9<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">La lacune est \u00e9vidente. La segmentation VLAN et les pare-feu fonctionnent au niveau du r\u00e9seau, mais ne peuvent pas mettre en \u0153uvre des politiques par appareil. Les outils de surveillance OT offrent une visibilit\u00e9 mais pas de pr\u00e9vention. Les diodes de donn\u00e9es sont trop restrictives pour les environnements qui n\u00e9cessitent une communication bidirectionnelle. Les serveurs de saut concentrent les risques au lieu de distribuer le contr\u00f4le.    <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Ce qui manque, c&rsquo;est une approche qui combine la pr\u00e9vention avec une granularit\u00e9 par appareil, qui fonctionne sans agents sur le point final et qui s&rsquo;int\u00e8gre dans une architecture de s\u00e9curit\u00e9 plus large plut\u00f4t que d&rsquo;\u00eatre isol\u00e9e. Pour comprendre pourquoi <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/blog\/network-segmentation-in-2026-from-vlans-to-identity-based-isolation\/\">la segmentation du r\u00e9seau ne suffira pas en 2026<\/a>, le guide en lien couvre l&rsquo;\u00e9volution des VLAN vers l&rsquo;isolation bas\u00e9e sur l&rsquo;identit\u00e9. <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Comment l&rsquo;isolation en ligne prot\u00e8ge sans agents<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">L&rsquo;isolation en ligne adopte une approche fondamentalement diff\u00e9rente. Au lieu d&rsquo;essayer d&rsquo;identifier le trafic malveillant dans un flux de communications autoris\u00e9es, elle part d&rsquo;une confiance nulle : rien ne passe \u00e0 moins d&rsquo;\u00eatre explicitement autoris\u00e9. <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le mat\u00e9riel NIAC (Network Isolation Access Controller) de Jimber se situe physiquement entre l&rsquo;appareil OT et le commutateur r\u00e9seau. Il ne n\u00e9cessite aucun logiciel sur l&rsquo;automate, l&rsquo;IHM ou le capteur. L&rsquo;appareil inspecte et contr\u00f4le tout le trafic qui le traverse sur la base de r\u00e8gles d&rsquo;autorisation explicites. Un automate qui doit communiquer avec un serveur MES sp\u00e9cifique b\u00e9n\u00e9ficie d&rsquo;une politique autorisant exactement ce chemin. Toutes les autres communications sont bloqu\u00e9es par d\u00e9faut.    <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Imaginez un syst\u00e8me d&rsquo;\u00e9cluses sur un canal. Le trafic ne passe que par des canaux d\u00e9finis, dans des directions d\u00e9finies, vers des destinations d\u00e9finies. Tout le reste se heurte \u00e0 une porte ferm\u00e9e.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le NIAC identifie les dispositifs gr\u00e2ce \u00e0 l&#8217;empreinte du trafic bas\u00e9e sur l&rsquo;adresse MAC, les mod\u00e8les de communication et les signatures d&rsquo;inspection approfondie des paquets. Il apprend le comportement normal en mode surveillance avant de passer \u00e0 l&rsquo;application. Cette approche progressive signifie que la production n&rsquo;est jamais interrompue pendant le d\u00e9ploiement. Un atelier de production typique d&rsquo;un march\u00e9 interm\u00e9diaire comprenant 20 \u00e0 50 appareils critiques peut \u00eatre enti\u00e8rement couvert en quelques jours, et non en quelques mois.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Comme NIAC fait partie de la plateforme SASE unifi\u00e9e de Jimber, la m\u00eame console qui g\u00e8re le ZTNA pour les employ\u00e9s de bureau et les politiques SWG pour le trafic web, g\u00e8re \u00e9galement les politiques d&rsquo;isolation pour les appareils de l&rsquo;usine. La s\u00e9curit\u00e9 informatique et la s\u00e9curit\u00e9 op\u00e9rationnelle sont r\u00e9unies en un seul endroit. Il ne s&rsquo;agit pas d&rsquo;un produit de s\u00e9curit\u00e9 OT autonome, mais d&rsquo;une extension de l&rsquo;architecture Zero Trust qui prot\u00e8ge d\u00e9j\u00e0 votre environnement informatique.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Pour les <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/fr\/blog\/sase-pour-lindustrie-securiser-les-automates-les-ihm-et-les-lignes-de-production-sans-temps-darret\/\">environnements de fabrication en particulier<\/a>, le guide associ\u00e9 couvre en d\u00e9tail les mod\u00e8les de d\u00e9ploiement pour les API, les IHM et les lignes de production.<\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">IEC 62443 et NIS2 : les attentes en mati\u00e8re de conformit\u00e9<\/h2>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Deux cadres r\u00e9glementaires d\u00e9terminent la mani\u00e8re dont les fabricants europ\u00e9ens doivent aborder la s\u00e9curit\u00e9 des protocoles industriels.<\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">La norme CEI 62443 d\u00e9finit un mod\u00e8le de zone et de conduit pour la s\u00e9curit\u00e9 de l&rsquo;automatisation industrielle. Les actifs sont regroup\u00e9s en zones de s\u00e9curit\u00e9 et toutes les communications entre les zones passent par des conduits contr\u00f4l\u00e9s. Bien qu&rsquo;il ne soit pas l\u00e9galement obligatoire en Belgique, le cadre CyberFundamentals (CyFun) fait r\u00e9f\u00e9rence aux principes de la norme IEC 62443, et les fabricants de secteurs r\u00e9glement\u00e9s tels que l&rsquo;industrie pharmaceutique, l&rsquo;industrie alimentaire et l&rsquo;industrie \u00e9nerg\u00e9tique l&rsquo;utilisent couramment comme r\u00e9f\u00e9rence.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le NIS2 est juridiquement contraignant. La transposition belge exige des entit\u00e9s essentielles qu&rsquo;elles mettent en \u0153uvre des mesures techniques proportionn\u00e9es pour la gestion des risques, qu&rsquo;elles signalent les incidents importants \u00e0 la BCC dans les 24 heures et qu&rsquo;elles acceptent la responsabilit\u00e9 du conseil d&rsquo;administration en cas de non-conformit\u00e9. Le cadre CyFun traduit ces obligations en contr\u00f4les concrets.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Plusieurs commandes CyFun sont directement li\u00e9es \u00e0 la protection offerte par l&rsquo;isolation en ligne :<\/p>\n<div class=\"overflow-x-auto w-full px-2 mb-6\">\n<table class=\"min-w-full border-collapse text-sm leading-[1.7] whitespace-normal\">\n<thead class=\"text-left\">\n<tr>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Contr\u00f4le CyFun<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Pertinence pour OPC-UA \/ Modbus<\/th>\n<th class=\"text-text-100 border-b-0.5 border-border-300\/60 py-2 pr-4 align-top font-bold\" scope=\"col\">Comment le NIAC l&rsquo;aborde<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">AC-3.2 Contr\u00f4le d&rsquo;acc\u00e8s<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Restreindre qui peut envoyer des commandes aux appareils industriels<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Seuls les syst\u00e8mes autoris\u00e9s peuvent acc\u00e9der \u00e0 l&rsquo;automate \u00e0 travers la fronti\u00e8re NIAC.<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">PR.AC-4 S\u00e9curit\u00e9 du r\u00e9seau<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Isolation des segments critiques selon la norme IEC 62443<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Barri\u00e8re mat\u00e9rielle entre IT et OT, application par appareil<\/td>\n<\/tr>\n<tr>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">SC-7 Protection des fronti\u00e8res<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Contr\u00f4le du trafic \u00e0 la fronti\u00e8re IT-OT<\/td>\n<td class=\"border-b-0.5 border-border-300\/30 py-2 pr-4 align-top\">Le NIAC joue le r\u00f4le de gardien en ligne pour tous les \u00e9changes de donn\u00e9es transfrontaliers.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Les entit\u00e9s essentielles doivent soumettre leur premi\u00e8re auto-\u00e9valuation CyFun au niveau Basique ou Important d&rsquo;ici avril 2026. Pour de nombreuses soci\u00e9t\u00e9s de production, le d\u00e9ploiement d&rsquo;un pont IT-OT est le moyen le plus rapide de r\u00e9pondre aux exigences de segmentation et de contr\u00f4le d&rsquo;acc\u00e8s sans repenser le r\u00e9seau existant. Le <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/blog\/device-posture-checks-for-nis2-the-complete-guide-for-2026\/\">guide des v\u00e9rifications de la posture des appareils<\/a> couvre la mani\u00e8re dont la v\u00e9rification de la posture s&rsquo;articule avec les contr\u00f4les CyFun suppl\u00e9mentaires pour les terminaux g\u00e9r\u00e9s.  <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">L&rsquo;enregistrement centralis\u00e9 de Jimber couvre la piste d&rsquo;audit NIS2 pour l&rsquo;acc\u00e8s OT. Chaque tentative de connexion, chaque d\u00e9cision politique, chaque communication bloqu\u00e9e est enregistr\u00e9e dans la m\u00eame console que celle qui g\u00e8re les \u00e9v\u00e9nements de s\u00e9curit\u00e9 informatique. Lorsque les auditeurs demandent des preuves que vos <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/blog\/microsegmentation-how-to-do-it-in-2025\/\">contr\u00f4les de microsegmentation<\/a> s&rsquo;\u00e9tendent aux appareils industriels, vous pouvez le d\u00e9montrer \u00e0 partir d&rsquo;une seule interface.  <\/p>\n<h2 class=\"text-text-100 mt-3 -mb-1 text-[1.125rem] font-bold\">Questions fr\u00e9quemment pos\u00e9es<\/h2>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Pouvez-vous s\u00e9curiser Modbus sans remplacer les automates ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Oui, l&rsquo;isolation en ligne fonctionne au niveau du r\u00e9seau, entre l&rsquo;automate et le commutateur. L&rsquo;automate n&rsquo;a pas besoin d&rsquo;un nouveau firmware, d&rsquo;un nouveau logiciel ou d&rsquo;une quelconque modification. L&rsquo;appliance NIAC applique les r\u00e8gles de communication de mani\u00e8re externe, de sorte que l&rsquo;automate continue \u00e0 fonctionner exactement comme avant. Seul le trafic qu&rsquo;il peut envoyer et recevoir change.    <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">L&rsquo;isolation en ligne ajoute-t-elle un temps de latence au trafic de production ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Le temps de latence ajout\u00e9 par le mat\u00e9riel NIAC se mesure en microsecondes et non en millisecondes. Pour la grande majorit\u00e9 des processus industriels, y compris ceux qui utilisent Modbus RTU\/TCP et OPC-UA, cette latence est ind\u00e9tectable. Les processus en temps r\u00e9el dont les exigences sont inf\u00e9rieures \u00e0 la milliseconde doivent \u00eatre test\u00e9s au cours de la phase de surveillance avant que l&rsquo;application ne soit activ\u00e9e.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">En quoi l&rsquo;isolation en ligne diff\u00e8re-t-elle d&rsquo;un pare-feu ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Un pare-feu inspecte le trafic qui le traverse et tente d&rsquo;identifier les sch\u00e9mas malveillants. Il n\u00e9cessite des ensembles de r\u00e8gles complexes, introduit un temps de latence mesurable lors de l&rsquo;inspection approfondie des paquets et \u00e9choue \u00e0 l&rsquo;ouverture ou \u00e0 la fermeture en fonction de la configuration. L&rsquo;isolation en ligne part d&rsquo;une position d&rsquo;interdiction par d\u00e9faut. Aucun trafic ne passe \u00e0 moins qu&rsquo;une r\u00e8gle d&rsquo;autorisation sp\u00e9cifique n&rsquo;existe. Il fonctionne par appareil plut\u00f4t que par segment, et ne n\u00e9cessite pas d&rsquo;ensembles de r\u00e8gles qui s&rsquo;\u00e9toffent avec chaque nouvelle application ou protocole.    <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Quels sont les protocoles industriels pris en charge par l&rsquo;isolation en ligne ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">NIAC fonctionne au niveau du r\u00e9seau et son mod\u00e8le d&rsquo;application est agnostique en termes de protocole. Il contr\u00f4le quels appareils peuvent communiquer avec quelles destinations, que le trafic utilise Modbus TCP, OPC-UA, BACnet, PROFINET, EtherNet\/IP ou des protocoles propri\u00e9taires. Les politiques sp\u00e9cifiques aux protocoles peuvent \u00eatre superpos\u00e9es \u00e0 l&rsquo;isolation au niveau du r\u00e9seau.  <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Ai-je besoin d&rsquo;une surveillance OT ET d&rsquo;une isolation en ligne ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Ils ont des objectifs diff\u00e9rents. Les outils de surveillance OT tels que Claroty, Nozomi ou Dragos permettent de voir ce qui se passe sur le r\u00e9seau et de d\u00e9tecter les anomalies. L&rsquo;isolation en ligne emp\u00eache les communications non autoris\u00e9es de se produire. La surveillance vous indique que quelque chose d&rsquo;inhabituel s&rsquo;est produit. L&rsquo;isolation garantit qu&rsquo;elle ne peut pas atteindre un appareil critique. La posture la plus forte combine les deux : la pr\u00e9vention par l&rsquo;isolation, la d\u00e9tection par la surveillance.     <\/p>\n<h3 class=\"text-text-100 mt-2 -mb-1 text-base font-bold\">Comment cela s&rsquo;int\u00e8gre-t-il dans une architecture SASE plus large ?<\/h3>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">NIAC est un composant de la plateforme SASE de Jimber. La m\u00eame console de gestion qui g\u00e8re ZTNA, SWG, FWaaS et SD-WAN g\u00e8re \u00e9galement les politiques NIAC. Cela signifie que les \u00e9quipes informatiques n&rsquo;ont pas besoin d&rsquo;un outil s\u00e9par\u00e9, d&rsquo;une formation s\u00e9par\u00e9e ou d&rsquo;un rapport s\u00e9par\u00e9 pour la s\u00e9curit\u00e9 OT. Les appareils d&rsquo;usine apparaissent aux c\u00f4t\u00e9s des appareils de bureau dans un seul moteur de politique, avec une journalisation unifi\u00e9e pour la conformit\u00e9.   <\/p>\n<p class=\"font-claude-response-body break-words whitespace-normal leading-[1.7]\">Vous \u00eates pr\u00eat \u00e0 \u00e9tendre la confiance z\u00e9ro \u00e0 l&rsquo;usine sans agents, sans temps d&rsquo;arr\u00eat et sans reconfiguration du r\u00e9seau ? <a class=\"underline underline underline-offset-2 decoration-1 decoration-current\/40 hover:decoration-current focus:decoration-current\" href=\"https:\/\/jimber.io\/fr\/obtenir-une-demonstration\/\">R\u00e9servez une d\u00e9monstration<\/a> et d\u00e9couvrez comment NIAC s&rsquo;adapte \u00e0 votre environnement de production.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>OPC-UA et Modbus ne b\u00e9n\u00e9ficient pas d&rsquo;une protection native dans la plupart des usines. D\u00e9couvrez comment l&rsquo;isolation en ligne s\u00e9curise les protocoles industriels sans agents ni temps d&rsquo;arr\u00eat. <\/p>\n","protected":false},"author":3,"featured_media":13077,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[9],"tags":[],"class_list":["post-13073","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-categorise"],"acf":[],"_links":{"self":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts\/13073","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/comments?post=13073"}],"version-history":[{"count":1,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts\/13073\/revisions"}],"predecessor-version":[{"id":13094,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts\/13073\/revisions\/13094"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/media\/13077"}],"wp:attachment":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/media?parent=13073"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/categories?post=13073"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/tags?post=13073"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}