Zpedia 

/ Qu’est-ce que le modèle Purdue pour la sécurité des ICS ?

Qu’est-ce que le modèle Purdue pour la sécurité des ICS ?

Le modèle Purdue est un modèle structurel pour la sécurité des systèmes de contrôle industriel (ICS) qui concerne la segmentation des processus physiques, des capteurs, des contrôles de supervision, des opérations et de la logistique. Longtemps considéré comme un cadre essentiel pour la segmentation des réseaux ICS afin de protéger la technologie opérationnelle (OT) contre les malwares et autres attaques, ce modèle persiste malgré l’essor de l’edge computing et de la connectivité directe au cloud.

En savoir plus sur l’accès sécurisé aux ICS et aux OT
Protection contre les menaces en ligneSécurité des données
  1. Quel est son objectif ?
  2. Zones du modèle
  3. Est-il toujours pertinent ?
  4. Défis de la sécurité des ICS
  5. Zero Trust dans les ICS
  6. Zscaler pour les ICS
  7. Ressources suggérées
  8. Autres thèmes similaires

Quel est l'objectif du modèle Purdue ?

Le modèle Purdue, qui fait partie de l’architecture de référence d’entreprise Purdue (Purdue Enterprise Reference Architecture, PERA), a été conçu comme un modèle de référence pour les flux de données dans la fabrication intégrée par ordinateur (Computer-integrated manufacturing, CIM), où les processus d’une usine sont entièrement automatisés. Il s’est imposé comme la norme pour la construction d’une architecture réseau ICS qui prend en charge la sécurité OT, en séparant les couches du réseau pour maintenir un flux hiérarchique des données entre elles.

Le modèle montre comment les éléments typiques d’une architecture ICS s’interconnectent, en les divisant en six zones contenant des systèmes informatiques (IT) et OT. Déployé correctement, il aide à établir un cloisonnement intégral entre les systèmes ICS/OT et IT, en les isolant afin qu’une entreprise puisse appliquer des contrôles d’accès efficaces sans entraver ses activités.

Zones du modèle Purdue

Les systèmes OT occupent les niveaux inférieurs du modèle tandis que les systèmes IT occupent les niveaux supérieurs, avec une « zone démilitarisée » de convergence entre les deux.

Examinons chacune des zones du modèle de référence Purdue, du haut vers le bas.

Image

Figure 1 : Représentation schématique du modèle Purdue

Niveau 4/5 : Zone d’entreprise

Ces zones abritent le réseau informatique classique, où s’exercent les principales fonctions métier, notamment la coordination des opérations de fabrication. Les systèmes de planification des ressources de l’entreprise (ERP) pilotent ici les calendriers de production des usines, l’utilisation des matériaux, les expéditions et les niveaux de stock.

Les perturbations à ce niveau peuvent entraîner des temps d’arrêt prolongés, avec un risque de préjudice économique, de défaillance des infrastructures critiques ou de perte de chiffre d’affaires.

Niveau 3.5 : Zone démilitarisée (DMZ)

Cette zone comprend des systèmes de sécurité tels que des pare-feu et des proxys, utilisés dans le but d’empêcher le déplacement latéral des menaces entre l’IT et l’OT. L’essor de l’automatisation a accru le besoin de flux de données bidirectionnels entre les systèmes OT et IT. Cette couche de convergence IT-OT peut donc conférer un avantage concurrentiel aux entreprises, mais elle peut également augmenter leur cyber-risque si elles adoptent une approche de réseau plat.

Niveau 3 : Zone des systèmes d’opérations de fabrication

Cette zone contient des appareils OT personnalisés qui gèrent les workflows dans l’atelier :

  • Les systèmes de gestion des opérations de fabrication (Manufacturing operations management, MOM) gèrent les opérations de production.
  • Les systèmes d’exécution de la fabrication (Manufacturing execution systems, MES) collectent des données en temps réel pour aider à optimiser la production.
  • Les historiens des données stockent les données de processus et (dans les solutions modernes) procèdent à des analyses contextuelles.

Comme pour les niveaux 4 et 5, les perturbations à ce niveau peuvent entraîner des préjudices économiques, la défaillance d’infrastructures critiques, des risques pour la sécurité des personnes et des installations, ou des pertes de chiffre d’affaires.

Niveau 2 : Zone des systèmes de contrôle

Cette zone contient les systèmes qui supervisent, surveillent et contrôlent les processus physiques :

  • Le logiciel de contrôle de supervision et d’acquisition de données (Supervisory control and data acquisition, SCADA) supervise et contrôle les processus physiques, localement ou à distance, et rassemble les données à envoyer aux historiens.
  • Les systèmes de contrôle distribués (Distributed control systems, DCS) remplissent des fonctions SCADA, mais sont généralement déployés localement.
  • Les interfaces homme-machine (IHM) se connectent aux DCS et aux PLC pour permettre des contrôles et une surveillance de base.

Niveau 1 : Zone des appareils intelligents

Cette zone contient des instruments qui envoient des commandes aux appareils du niveau 0 :

  • Les contrôleurs logiques programmables (Programmable logic controllers, PLC) surveillent les informations entrées de manière automatique ou humaine dans les processus industriels et ajustent les sorties en conséquence.
  • Les unités terminales distantes (Remote terminal units, RTU) connectent le matériel du niveau 0 aux systèmes du niveau 2.

Niveau 0 : Zone des processus physiques

Cette zone contient des capteurs, des actionneurs et d’autres machines directement responsables de l’assemblage, de la lubrification et d’autres processus physiques. De nombreux capteurs modernes communiquent directement avec des logiciels de surveillance dans le cloud via des réseaux cellulaires.

La figure 2 illustre le workflow et les interactions entre les différentes zones et systèmes.

Workflow et interactions du modèle Purdue

Figure 2 : Workflow et interactions du modèle Purdue

Le modèle Purdue est-il toujours pertinent ?

Lorsque le modèle Purdue a été introduit en 1992 par Theodore J. Williams et le Purdue University Consortium, peu d’autres modèles avaient encore défini une hiérarchie claire de l’information pour la CIM, qui a commencé à s’imposer dans l’industrie au milieu et vers la fin des années 1980.

Aujourd’hui, alors que l’Internet industriel des objets (IIoT) estompe la frontière entre l’IT et l’OT, les experts se demandent souvent si le modèle Purdue s’applique toujours aux réseaux ICS modernes. Après tout, son cadre de segmentation est souvent mis de côté, les données du niveau 0 étant envoyées directement vers le cloud. Cependant, nombreux sont ceux qui suggèrent que le moment n’est pas encore venu d’abandonner ce modèle.

En 2020, le PDG de Litmus, Vatsal Shah, a déclaré : « Le modèle Purdue répond toujours aux exigences de segmentation des réseaux sans fil et filaires et protège le réseau des technologies opérationnelles (OT) contre le trafic indésirable et les exploits ».¹

Le SANS Institute a adopté une position similaire en 2021, affirmant que « même si ses couches hiérarchiques ne peuvent plus être appliquées de manière uniforme aux architectures modernes, le classement des appareils et des systèmes ICS et IT en couches fonctionnelles distinctes aide les administrateurs et les professionnels de la sécurité à déterminer où appliquer les mesures de sécurité de manière efficace ».²

Forbes a maintenu ce point de vue en 2022 : « Le modèle Purdue est mort. Vive le modèle Purdue ».³

Les exigences de disponibilité industrielle et les budgets limités entravent souvent le remplacement des anciens systèmes par des nouveaux, et cela vaut également pour le modèle Purdue malgré l’essor de l’IoT. Au lieu de cela, nombreux sont ceux qui préconisent une approche hybride consistant à appliquer une segmentation macro et le Zero Trust pour surmonter les défis uniques de la sécurité ICS moderne.

1. AutomationWorld, « Is the Purdue Model Still Relevant? », mai 2020.

2. SANS Institute, « Introduction to ICS Security Part 2 », juillet  2021.

3. Forbes, « A Reimagined Purdue Model For Industrial Security Is Possible », janvier 2022.

Enjeux de cybersécurité propres aux ICS

Examinons quelques-uns de ces enjeux :

  • Le cloisonnement intégral ne fonctionne plus. L’essor de l’IoT et l’adoption du cloud dans toute la chaîne de valeur industrielle ont tellement intégré de nombreux réseaux industriels que le cloisonnement intégral traditionnel n’est tout simplement plus efficace.
  • Les appareils ICS ont été conçus pour durer, pas pour évoluer. Les exigences strictes de disponibilité de nombreux appareils industriels rendent leur mise à jour ou leur remplacement difficile, coûteux ou risqué, ce qui expose de nombreux appareils CIM aux attaques modernes, tout en les laissant connectés au réseau plus large.
  • La convergence IT-OT et les nouvelles technologies augmentent les risques. Alors que la transformation numérique fait tomber les barrières entre l’IT et l’OT, que les progrès réalisés dans le domaine des réseaux et de l’analyse des données remodèlent les processus et que de nouvelles cyberattaques sophistiquées voient le jour, les cadres ICS tardent à s’adapter.
  • De nombreux propriétaires de réseaux ICS hésitent à adopter le Zero Trust. Les préoccupations liées aux temps d’arrêt susceptibles d’entraîner des pertes de chiffre d’affaires, de perturber l’infrastructure, voire de mettre en danger la sécurité des personnes, incitent les opérateurs industriels à s’interroger sur les compromis potentiels en termes de coûts et de complexité, même si le Zero Trust reste la stratégie la plus efficace pour sécuriser les réseaux modernes.

La nécessité du Zero Trust dans les ICS

Les environnements OT ont tendance à utiliser des réseaux plats et des équipements provenant de plusieurs fournisseurs. Cependant, le déploiement d’une microsegmentation au niveau du réseau avec des dispositifs physiques peut entraîner des temps d’arrêt importants, en particulier si les systèmes ICS et SCADA sont trop obsolètes. De plus, la plupart des professionnels de l’OT ne connaissent pas les bonnes pratiques informatiques ni les concepts avancés de sécurité du réseau, et leur travail consiste à privilégier la disponibilité et la sécurité des personnes, et non la sécurité.

L’Ethernet reste l’épine dorsale de la plupart des usines et entrepôts, mais la connectivité sans fil gagne du terrain à mesure que les technologies cellulaires privées apportent mobilité, fiabilité, un réseau déterministe et une technologie standardisée. Cela permettra le déploiement de robots mobiles autonomes, de cobots, de systèmes de suivi des actifs, de lunettes intelligentes et d’autres applications de l’industrie 4.0.

Aujourd’hui, les fabricants peuvent collecter des données en temps réel et les utiliser pour exécuter des analyses dans le cloud pour des résultats immédiats. Les applications et les activités génératrices de données autrefois réservées aux opérations locales (PLC, SCADA et DCS pour la fabrication et systèmes de gestion d’entrepôt pour la logistique) trouvent également leur place dans le cloud, ce qui augmente la complexité des réseaux OT.

Le Zero Trust peut simplifier la sécurité des environnements OT et résoudre des défis essentiels tels que l’accès à distance sécurisé aux systèmes ICS sans nécessiter de segmentation physique à chaque couche. Le National Institute of Standards and Technology (NIST) a proposé l’architecture Zero Trust pour les réseaux industriels et d’entreprise, déclarant que « La sécurité du réseau basée sur le périmètre s’est également avérée insuffisante, car une fois que les hackers ont franchi le périmètre, ils peuvent se déplacer latéralement sans entrave ».

L’application des principes directeurs du Zero Trust des réseaux informatiques au workflow, à la conception des systèmes et aux opérations peut simplifier et améliorer la posture de sécurité des réseaux OT et contribuer à accélérer la transformation numérique.

La solution de sécurité ICS de Zscaler

L’approche Zero Trust est le moyen le plus efficace d’assurer une sécurité robuste de l’OT et de l’ICS grâce à un accès adaptatif et contextuel aux applications qui ne dépend pas de l’accès au réseau. Grâce à une architecture Zero Trust efficace, chaque utilisateur ne peut accéder qu’aux applications et aux systèmes dont il a besoin, sans qu’aucune pile de pare-feu ou VPN complexe ne soit nécessaire, tandis que vos applications et votre réseau restent invisibles sur Internet.

Zscaler Private Access™ (ZPA™) est la plateforme d’accès réseau Zero Trust (ZTNA) la plus déployée au monde, offrant :

  • Alternative puissante au VPN : remplacez votre VPN risqué et surchargé par ZPA pour éliminer le backhauling inutile du trafic et obtenir un accès sécurisé et à faible latence aux applications privées.
  • Sécurité du personnel hybride : permettez à vos utilisateurs d’accéder en toute sécurité aux applications Web et aux services cloud à partir de n’importe quel emplacement ou appareil, avec une expérience utilisateur fluide.
  • Accès sans agent pour les tiers : étendez votre accès sécurisé aux applications privées à vos vendeurs, sous-traitants, fournisseurs et autres, avec une assistance pour les appareils non gérés, sans agent de terminal.
  • Connectivité IIoT et OT : accordez un accès à distance rapide, fiable et sécurisé aux appareils IIoT et OT pour faciliter la maintenance et le dépannage.

Ressources suggérées

Pourquoi les proxys et les pare-feu sont essentiels dans le paysage moderne des menaces
Lire le blog
Sécuriser la transformation cloud avec une approche Zero Trust
Lire le livre blanc
Il est temps de retirer vos partenaires de votre réseau
En savoir plus
Zscaler Cloud Firewall
En savoir plus

01 / 02