Cet appel d’offre a été remporté par l’opérateur de référence sur le marché français, qui a fait appel à Stormshield pour l’accompagner dans la sécurisation de cet environnement industriel.
Les principales fonctionnalités attendues et activées sur cette architecture globale étant le contrôle et le filtrage de chaque communication avec DPI (principalement le protocole Modbus) ainsi que la mise en place d’une solution de VPN IPsec pour protéger les communications.
Des contraintes industrielles fortes, gérées via une solution unique
La sécurité du site central a ainsi été renforcée par la mise en place de pare-feux entre le réseau bureautique et les installations métiers. Ces installations sont dispatchées sur deux réseaux distincts (sûreté et industriel), chacun protégés par un cluster de pare-feux destinés à assurer les fonctionnalités de concentrateur VPN. Cette architecture permet ainsi d’interconnecter ces mêmes applications aux différents châteaux d’eau.
Dans le détail, un cluster de pare-feux SN3100 a été retenu par l’opérateur pour sécuriser le réseau opérationnel et la sûreté et garantir un fonctionnement sans interruption, du fait de la double alimentation et des disques RAID intégrés à ces équipements.
Trois clusters de pare-feux SN710 ont également été déployés pour la zone VPN concentrateur (communication IT/OT). Grâce à des rapports interactifs personnalisables, le client dispose instantanément des informations essentielles sur l’activité de son réseau et les évènements liés à sa sécurité. Basé sur plusieurs méthodes de détection comportementales et directement intégré au cœur des produits, le moteur de prévention d’intrusion (IPS) assure une protection efficace contre les menaces « Zero-day », tout en maintenant des performances haut débit.
Enfin, 100 châteaux d’eau ont été équipés individuellement de deux clusters (l’un pour la partie sûreté et le second pour la partie industrielle) de pare-feux durcis SNi40 pour sécuriser les flux entre les différents sites et les applications. Ces derniers sont spécifiquement conçus pour protéger les API (Automates Programmables Industriels) et permettent également de monter les tunnels VPN IPsec vers les sites centraux.
L’offre industrielle proposée par Stormshield répondait parfaitement aux différents besoins exprimés par l’opérateur.
Par ailleurs, l’adaptabilité de la solution proposée permettait à la fois de gérer des sites de type standard jusqu’à des environnements avec fortes contraintes industrielles (température, humidité, Rail DIN, alimentation industrielle). Ceci, avec un seul et même firmware déployé sur l’ensemble de la gamme Stormshield Network Security et une console d’administration unique, Stormshield Management Center, pour gérer l’ensemble du parc de pare-feux.
Par ailleurs, au-delà du rapport fonctionnalités/prix et indépendamment des fonctions standard (VPN, segmentation…), le client a été fortement séduit par la fonctionnalité IPS des protocoles industriels, dont la granularité est la plus aboutie sur le marché, et qui permet une évolution de la sécurité de ces systèmes sensibles en parallèle de la modernisation des infrastructures.
Une offre de services adaptée aux environnements industriels complexes
En matière de maintenance et d’exploitation, pour garantir la disponibilité du service aux usagers, le client était confronté à des problématiques d’accessibilité et de sensibilité de certains sites. Pour pallier à ces contraintes, Stormshield et l’opérateur retenu ont mis en œuvre un accompagnement adapté, avec :
L’ensemble du projet et son déploiement a été mené de bout en bout avec succès et dans les meilleurs délais, grâce à une implication et une cohésion forte du binôme opérateur/éditeur. La mise en œuvre de procédures dédiées pour répondre aux exigences métiers de ce contexte industriel a également été très apprécié par le client final.
A suivre…
Et la relation continue, puisque Stormshield a réalisé d’autres projets et répondu à d’autres appels d’offres au côté de cet opérateur, qui l’interroge également en interne dans le cadre de la modernisation de son activité et l’adaptation de ses offres à ce contexte de sécurité IT/OT. Ce sujet devenant de plus en plus primordial lorsque l’on parle d’infrastructures critiques et sensibles, dont les risques cyber peuvent avoir de lourdes conséquences économiques, écologiques et humaines.
