LV Gaïs

Zero Trust à l’épreuve de l’OT connecté : défendabilité et vulnérabilités

 

Contexte

La sécurité des systèmes d’information s’est longtemps appuyée sur un modèle périmétrique : l’ennemi est supposé extérieur et, à l’intérieur, les agents présumés de confiance bénéficient de politiques plus permissives [1]. Or, l’évolution des usages vers plus de connectivité et d’interopérabilité rend la notion de périmètre de plus en plus floue. Faut-il considérer l’employé en télétravail, le sous-traitant disposant d’un accès distant, ou encore l’équipement industriel relié à une plateforme cloud comme « internes » ou « externes » ? Le modèle périmétrique n’est pas conçu pour gérer ces situations hybrides qui sont devenues aujourd’hui la norme. La confiance implicite au réseau local et la mauvaise gestion des cas hybrides constituent des leviers majeurs permettant aux attaquants de se latéraliser après la compromission initiale et de prendre le contrôle de systèmes entiers [2], [3].

En réponse aux limites du modèle périmétrique, le modèle Zero Trust s’impose progressivement comme une nouvelle référence. Dans ce nouveau paradigme, aucune confiance a priori n’est accordée par défaut, quel que soit l’agent [3]. Chaque accès au système d’information doit être authentifié, évalué par la politique de sécurité, et explicitement autorisé : never trust, always verify. Conceptualisée par le Jericho Forum en 2007 [2], expérimentée à large échelle par Google à partir de 2010 (projet BeyondCorp) [4], puis formalisée par le NIST en 2020 (SP 800-207) [6], l’architecture Zero Trust est aujourd’hui largement reconnue comme l’état de l’art de la sécurité des systèmes d’information par des acteurs institutionnels et industriels majeurs [4], [6], [10].

Il n’existe pas encore de mise en oeuvre standard du paradigme Zero Trust, mais parmi les déclinaisons proposées, les approches dites data-centric occupent une place importante [8], [10]. Elles consistent à placer la donnée au centre du modèle de sécurité : chaque ressource porte intrinsèquement sa politique d’accès et son niveau de protection. Cette approche vise à assurer que la sécurité vise avant tout la ressource elle-même, plutôt qu’un périmètre réseau.

Historiquement, la sécurité des systèmes OT (Operational Technology) critiques repose principalement sur leur isolement physique et logique [9]. Or l’évolution vers plus de connectivité et d’interopérabilité (maintenance à distance, supervision cloud, intégration IT/OT) rend cet isolement de moins en moins tenable [5], [9]. Appliqué à ces systèmes, le paradigme Zero Trust se heurte à des contraintes spécifiques : patrimoine hétérogène, protocoles sans authentification ni chiffrement, exigences de temps réel et de sûreté, dépendance à des outillages introduisant des chemins hors bande [7]. Dans ces conditions, la possibilité d’application de Zero Trust est incertaine, et des implémentations partielles du paradigme sont probables, ouvrant la voie vers de nouveaux vecteurs d’attaque.

La littérature académique s’est principalement consacrée à définir le paradigme Zero Trust et à proposer des architectures [3], [4], [6], [7], [8]. En revanche, les vulnérabilités induites par ces implémentations et l’évaluation empirique de leur défendabilité demeurent peu étudiées, notamment pour les systèmes OT. Notre projet de recherche vise à identifier et mesurer les limites de ce nouveau paradigme sur ces systèmes spécifiques. Nous chercherons à caractériser les éventuelles limites structurelles à l’implémentation du paradigme Zero Trust data-centric sur les systèmes OT critiques, et à fournir des lignes directrices pour optimiser un déploiement qui maximise la défendabilité du système face à un attaquant réel.

Problématique scientifique

Les architectures Zéro Trust data-centric apparaissent comme une réponse aux limites du modèle périmétrique. Dans les environnements OT, l’isolement physique (air gap) ne suffit plus face aux besoins croissants de connectivité et d’interopérabilité. Or, les contraintes propres à l’OT rendent l’implémentation de Zero Trust difficile et induisent potentiellement de nouvelles vulnérabilités. La question scientifique est donc : le déploiement d’architectures Zero Trust data-centric sur des systèmes OT connectés améliore-t-il leur sécurité et leur défendabilité face à des attaques réalistes ?

Questions de recherche

Q1 : Comment modéliser un attaquant réaliste vis à vis des surfaces d’attaque propres aux implémentations Zero Trust data-centric dans des systèmes OT connectés ?

Q2 : Comment mesurer la sécurité et la défendabilité effective d’un système OT connecté basé sur Zero Trust data-centric ?

Q3 : Comment évaluer le coût des mécanismes de protection vis à vis des contraintes opérationnelles de l’OT ?

Q4 : Comment procéder à des investigations numériques sur un système OT critique dont la sécurité repose sur les principes de Zero Trust data-centric ?

Q5 : Quelles lignes directrices et limites structurelles peut-on identifier pour orienter l’implémentation de Zero Trust data-centric dans des environnements OT critiques connectés ?

Méthodologie envisagée

Le projet de recherche exploitera un banc d’essai de systèmes OT critiques, intégrant des protocoles et des équipements typiques, afin de reproduire les contraintes propres à l’OT. Une première étape consistera à établir une configuration de sécurité de référence sans mécanismes Zero Trust, reflétant les pratiques actuelles, fondée sur l’isolement et la segmentation réseau. Cette baseline servira de point de comparaison pour l’ensemble de l’étude. Elle sera soumise à des 2 scénarios d’attaque réalistes définis à partir d’un modèle de la menace adapté au contexte OT, permettant de caractériser la surface d’attaque initiale et de mesurer un premier niveau de sécurité.

Dans un second temps, différentes briques Zero Trust seront introduites de manière progressive ou combinée : gestion d’identités machine, contrôle d’accès dynamique via PDP/PEP, politiques data-centric, mécanismes de supervision et de journalisation, étiquetage des ressources. Chaque nouvelle configuration donnera lieu à une campagne d’attaque systématique et à une mesure de la résistance et de la défendabilité du système face aux attaques.

Enfin, les résultats seront analysés afin d’identifier les mécanismes les plus efficaces, d’évaluer le coût opérationnel des protections et de dégager des lignes directrices pour l’implémentation de Zero Trust data-centric sur des environnements OT critiques réels. Cette analyse visera également à caractériser les limites structurelles qui subsisteraient.

Apports attendus

Ce travail vise à enrichir la compréhension scientifique des approches Zero Trust dans les environnements OT. Alors que la majorité des recherches se concentrent sur la définition de modèles et d’architectures, il s’agira ici de produire une évaluation empirique de leur défendabilité.

La thèse apportera ainsi :

un cadre méthodologique permettant de caractériser les surfaces d’attaque propres aux implémentations Zero Trust data-centric dans des systèmes OT critiques ;

une identification des conditions techniques et opérationnelles de faisabilité pour l’implémentation de mécanismes Zero Trust data-centric sur des systèmes OT critiques ;

un ensemble de métriques de sécurité et de défendabilité, applicables pour comparer différentes configurations face à des attaques réalistes dans un contexte OT ;

une taxonomie de vulnérabilités induites par l’introduction de mécanismes Zero Trust en contexte OT, mettant en évidence les limites et effets de bord de certaines implémentations ;

des lignes directrices pratiques pour concevoir des architectures Zero Trust plus défendables en environnement industriel.

Au-delà de ces contributions, la thèse cherchera à déterminer si, dans un objectif d’augmentation de l’interopérabilité et de la connectivité d’un système OT critique, une architecture Zero Trust data-centric peut atteindre un niveau de sécurité supérieur aux modèles de sécurité actuels, ou si des limites structurelles irréductibles l’en empêchent.

Bibliographie

[1] J. Wack and L. Carnaham, Keeping Your Site Comfortably Secure: An Introduction to Internet Firewalls. NIST, 1994.

[2] Jericho Forum, Jericho Forum Commandments. Jericho Forum, 2007.

[3] J. Kindervag, No More Chewy Centers: Introducing The Zero Trust Model Of Information Security. Forrester, 2010.

[4] R. Ward and B. Beyer, BeyondCorp: A New Approach to Enterprise Security. Google, 2014.

[5] W. Knowles, D. Prince, D. Hutchison, J. F. P. Disso, and K. Jones, “A survey of cyber security management in industrial control systems,” International Journal of Critical Infrastructure Protection, vol. 9, pp. 52–80, Jun. 2015, doi: 10.1016/j.ijcip.2015.02.002.

[6] S. Rose, O. Borchert, S. Mitchell, and S. Connelly, Zero Trust Architecture. NIST, Aug. 2020, doi: 10.6028/nist.sp.800-207.

[7] C. Zanasi, F. Magnanini, S. Russo, and M. Colajanni, “A Zero Trust approach for the cybersecurity of Industrial Control Systems,” in Proc. 2022 IEEE 21st Int. Symp. Netw. Comput. Appl. (NCA), Dec. 2022, pp. 1–7, doi: 10.1109/nca57778.2022.10013559.

[8] A. Poirrier, L. Cailleux, and T. H. Clausen, “An Interoperable Zero Trust Federated Architecture for Tactical Systems,” in Proc. MILCOM 2023 - IEEE Military Communications Conf. (MILCOM), Oct. 2023, pp. 405–410, doi: 10.1109/milcom58377.2023.10356247.

[9] K. Stouffer et al., Guide to Operational Technology (OT) Security. NIST, Sep. 2023, doi: 10.6028/nist.sp.800-82r3.

[10] Ministère des Armées, SIGNAL – vers une stratégie « Zero Trust » adaptée aux besoins de la Marine. Ministère des Armées, 2025.