Segmentation Purdue et OT/IT en 2026 : architecture de sécurité industrielle
Dernière mise à jour : 17 mai 2026. La segmentation réseau selon le modèle Purdue reste en 2026 le socle architectural de la cybersécurité industrielle. Cet article documente l’architecture en 6 niveaux, l’implémentation DMZ, et les pratiques recommandées pour intégrer plateformes TRS et systèmes OT en restant conforme IEC 62443.
Le modèle Purdue : 6 niveaux et leurs composants
| Level | Nom | Composants typiques | Protocoles |
|---|---|---|---|
| Level 5 | Enterprise | ERP (SAP, Odoo), CRM, mail, internet | HTTPS, SMTP, SQL |
| Level 4 | Site/Business | MES reporting, plateforme TRS analytics, BI, GMAO | HTTPS, SQL, MQTT/AMQP |
| Level 3.5 | DMZ industrielle | Firewalls bidirectionnels, historian (PI System), jumpserver, antivirus management | OPC UA tunneling, HTTPS proxy |
| Level 3 | Operations | MES production, plateforme TRS collecte, HMI superviseur, historian local | OPC UA, MQTT, Modbus TCP |
| Level 2 | Supervisory Control | SCADA, HMI poste, batch managers | OPC DA/UA, EtherNet/IP, Modbus TCP |
| Level 1 | Basic Control | PLC (Siemens, Rockwell, Schneider), DCS, controllers | Profinet, EtherNet/IP, Modbus TCP/RTU |
| Level 0 | Process | Capteurs, actionneurs, robots | 4-20 mA, Profibus, IO-Link, capteurs IoT |
La segmentation Purdue impose un cloisonnement strict : aucune communication directe entre Level 4 (IT) et Level 3 (OT) sans passer par Level 3.5 (DMZ).
La DMZ industrielle (Level 3.5) en détail
La DMZ industrielle est l’élément architectural central de la segmentation Purdue. Elle contient des composants accessibles à la fois depuis IT (Level 4-5) et OT (Level 3), avec des règles de communication strictes :
- Aucune communication directe IT ↔ OT : tous les flux passent par la DMZ.
- Sens de communication restreint : OT pousse vers DMZ, IT tire depuis DMZ (pas l’inverse).
- Composants typiques DMZ : historian (collecte temps réel OT, exposition IT), jumpserver (accès distant maintenance), proxy antivirus, replica plateforme TRS pour reporting groupe.
- Pas de stockage permanent en DMZ : la DMZ relaie, ne stocke pas durablement. Persistance assurée par les zones sources.
L’implémentation DMZ typique 2026 utilise : firewalls de nouvelle génération (Palo Alto, Fortinet, Cisco Firepower), historian (OSIsoft PI System, AVEVA, Inductive Automation Ignition), jumpserver (CyberArk, BeyondTrust) ou approche zero-trust avec authentification renforcée.
L’intégration plateforme TRS dans l’architecture Purdue
Une plateforme TRS s’inscrit typiquement à 2 niveaux :
- Collecte au Level 3 (Operations) : gateways IIoT connectés aux PLC (Level 1) ou capteurs (Level 0) via OPC UA, MQTT, Modbus. Stockage local short-term.
- Reporting au Level 4 (Business) : interface web, dashboards, exports vers MES/ERP. Accessible aux utilisateurs métier.
Le flux Level 3 → Level 4 passe obligatoirement par la DMZ (Level 3.5). Les bonnes pratiques :
- Réplication unidirectionnelle Level 3 → DMZ → Level 4 (data diode ou firewall avec règles strictes).
- Pas d’accès direct utilisateur au Level 3 depuis IT. Les utilisateurs métier accèdent au Level 4 ou à la DMZ uniquement.
- Authentification renforcée sur tous les accès depuis IT, MFA obligatoire, comptes nominatifs.
- Audit logs centralisés au niveau SIEM, conservation 12-24 mois.
Les défis pratiques de la segmentation OT/IT
Protocoles industriels non chiffrés
Les protocoles OT historiques (Modbus TCP, EtherNet/IP, Profinet) ne sont pas chiffrés par défaut. La protection passe par la segmentation réseau (VLAN, firewalls) et la migration progressive vers OPC UA (chiffrement TLS natif).
Automates non patchables
Les PLC anciens (Siemens S7-300, Rockwell SLC500, Schneider Modicon) ne reçoivent plus de patches sécurité. La protection passe par l’isolation réseau, le monitoring d’anomalies, et la migration progressive vers générations supportées.
Maintenance fournisseur distante
Les accès distants des fournisseurs (intégrateurs automates, fabricants machines) sont historiquement des modems analogiques ou VPN ouverts en permanence. La pratique sécurisée 2026 : jumpserver DMZ, MFA, accès temporaire à la demande, enregistrement de session.
Périphériques USB et BYOD
Les vecteurs d’attaque physique (USB infectés, laptops maintenance contaminés) sont sous-estimés. Stuxnet a démontré la criticité de cette voie. Bonnes pratiques : politique USB stricte, sas de décontamination, antivirus dédié OT, blocage USB sur PLC et HMI.
Les 5 actions de segmentation Purdue 2026
- Cartographie réseau exhaustive : inventaire de tous les actifs OT, identification des communications réelles, schéma Purdue documenté.
- Firewall IT/OT entre Level 4 et Level 3 : règles strictes, default deny, audit log activé.
- DMZ industrielle Level 3.5 : historian, jumpserver, proxy. Pas de communication directe IT-OT.
- VLAN par zone OT : segmentation interne entre lignes de production, zones critiques séparées.
- Monitoring trafic OT : SIEM industriel (Nozomi, Claroty, Dragos) pour détection anomalies.
Démo architecture Purdue + intégration TRS sécurisée
Questions fréquentes
Qu’est-ce que le modèle Purdue ?
Référence ISA-95 / IEC 62264 pour segmentation OT/IT en 6 niveaux : Level 0 (process), 1 (basic control), 2 (supervisory), 3 (operations), 3.5 (DMZ), 4 (business), 5 (enterprise).
Qu’est-ce que la DMZ industrielle ?
Level 3.5 du modèle Purdue. Zone intermédiaire entre IT et OT contenant historian, jumpserver, proxy. Aucune communication directe IT ↔ OT, tout passe par la DMZ.
À quel niveau Purdue se trouve une plateforme TRS ?
2 niveaux : collecte au Level 3 (Operations) avec gateways IIoT connectés aux PLC/capteurs. Reporting au Level 4 (Business) avec interface web. Communication Level 3 → Level 4 via DMZ Level 3.5.
Quels protocoles OT à Level 1-2 ?
Profinet, EtherNet/IP, Modbus TCP/RTU pour communication automates. OPC DA/UA pour interopérabilité. Capteurs Level 0 : 4-20 mA, Profibus, IO-Link, capteurs IoT (LoRaWAN, Sigfox).
Pourquoi la segmentation OT/IT est-elle nécessaire ?
IT et OT ont des contraintes différentes (disponibilité OT 24/7, automates non patchables, protocoles non chiffrés). Communication directe expose OT aux attaques IT. Segmentation isole et protège.
Comment intégrer une plateforme TRS en respectant Purdue ?
Collecte Level 3 connectée aux PLC/capteurs. Reporting Level 4 via DMZ. Pas de communication directe Level 3 → Level 4. Réplication unidirectionnelle (data diode ou firewall strict).
Faut-il une DMZ industrielle dédiée ?
Recommandé fortement par IEC 62443 et NIST SP 800-82. DMZ industrielle distincte de DMZ IT classique, avec composants spécifiques (historian, jumpserver OT). Investissement typique 30 000-150 000 €.
Comment gérer les protocoles OT non chiffrés ?
2 approches : 1) Segmentation réseau stricte (VLAN, firewalls) pour isoler le trafic non chiffré. 2) Migration progressive vers OPC UA (chiffrement TLS natif) sur les nouveaux équipements.
Comment sécuriser la maintenance fournisseur distante ?
Jumpserver DMZ, MFA, accès temporaire à la demande (pas VPN ouvert permanent), enregistrement de session, audit log centralisé. Outils : CyberArk, BeyondTrust, ou approche zero-trust.
Quelle est l’erreur la plus fréquente de segmentation OT ?
Communications directes IT ↔ OT sans passer par DMZ. Workstations métier accédant directement aux SCADA, plateforme TRS en accès direct depuis IT. Risque d’attaque latérale majeur.
Auteur : François Coulloudon, CEO, TeepTrak.
0 commentaires