SNMP

Dernière mise à jour le 16 octobre 2025

Le SNMP (Simple Network Management Protocol) est un protocole léger utilisé pour gérer et surveiller les équipements réseau et les systèmes industriels. On le trouve souvent dans les réseaux informatiques, mais aussi dans les environnements industriels pour surveiller les commutateurs, les routeurs, les pare-feu, les PC industriels (IPC) et parfois même les API ou les équipements d’E/S.

Qu’est-ce que le SNMP

Le SNMP est un protocole applicatif qui fonctionne sur UDP (généralement le port 161 pour les requêtes et le port 162 pour les traps). Il opère avec deux rôles : les gestionnaires (par exemple, les logiciels de surveillance, les systèmes SCADA ou NMS) et les agents (les appareils qui fournissent les informations). Le gestionnaire demande ou écrit des valeurs ; l’agent répond ou envoie des notifications asynchrones lorsque quelque chose change.

Principales caractéristiques

Les caractéristiques essentielles du SNMP à connaître :

  1. Léger et efficace — adapté aux grands réseaux et installations industrielles.
  2. Basé sur UDP (pas de connexion nécessaire ; échange rapide et simple).
  3. Les données sont organisées dans une MIB (Management Information Base) hiérarchique.
  4. Prend en charge le polling (interrogation active) et les traps (notifications asynchrones).
  5. Largement pris en charge par les équipements réseau et industriels.
  6. Plusieurs versions avec une sécurité croissante : SNMPv1, SNMPv2c et SNMPv3.

Architecture SNMP

L’architecture SNMP se compose de trois composants fondamentaux qui forment ensemble la base de la surveillance :

  1. Gestionnaire : logiciel qui récupère périodiquement les données (polling) et écoute les traps.
  2. Agent : s’exécute sur l’appareil et fournit des informations via la MIB standard.
  3. MIB (Management Information Base) : une arborescence hiérarchique de données avec des objets désignés par des OID.

Les gestionnaires sont par exemple Nagios, Zabbix ou PRTG ; dans les environnements industriels, le SNMP est souvent intégré dans les systèmes SCADA ou NMS.

MIB et OID — structure arborescente

Les données SNMP sont organisées sous forme d’arbre. Chaque nœud a un chemin numérique unique (OID) qui fait référence à un point de données spécifique. Exemples d’OID :

  1. 1.3.6.1.2.1.1.1 = sysDescr
  2. 1.3.6.1.2.1.2.2.1.10 = octets entrants de l’interface 1

En plus des MIB standard, les fournisseurs publient souvent leurs propres MIB pour des appareils ou des fonctions spécifiques, ce qui est utile pour lire les statuts spécifiques aux fournisseurs.

Types de messages SNMP

Le SNMP définit plusieurs types de messages pour la communication gestionnaire-agent. Les plus importants sont :

  1. GET – demande la valeur d’un ou plusieurs OID.
  2. GETNEXT – parcourt la structure MIB (utile pour les tableaux).
  3. GETBULK – (v2c/v3) récupère plusieurs lignes/tableaux en une seule fois.
  4. SET – modifie une valeur sur l’agent (si autorisé).
  5. TRAP – notification asynchrone de l’agent au gestionnaire (port 162).
  6. INFORM – (v2c/v3) similaire à TRAP mais nécessite un accusé de réception.

Authentification et sécurité SNMP

La sécurité varie considérablement entre les versions. Dans les réseaux industriels, on voit encore souvent SNMPv1 et v2c, mais ils ont des limitations évidentes.

SNMPv1 & v2c — chaînes de communauté

Avec SNMPv1 et v2c, l’authentification se fait via de simples chaînes de communauté (par exemple, public ou private). Ces chaînes sont envoyées en texte clair et il n’y a pas d’authentification de la source. Conventions souvent utilisées :

  1. public → lecture seule
  2. private → lecture-écriture

N’utilisez v1/v2c que sur des réseaux bien protégés lorsque c’est vraiment nécessaire.

SNMPv3 — sécurité moderne

SNMPv3 ajoute une couche de sécurité complète avec authentification et chiffrement optionnel via le modèle de sécurité basé sur l’utilisateur (USM). Les trois niveaux de sécurité sont :

  1. NoAuthNoPriv — pas d’authentification, pas de chiffrement (comparable à v2c dans le cadre v3).
  2. AuthNoPriv — authentification avec nom d’utilisateur et HMAC (MD5 ou SHA), pas de chiffrement.
  3. AuthPriv — authentification + chiffrement (par exemple DES, AES) ; la forme la plus sûre.

Les administrateurs doivent configurer les utilisateurs avec un nom d’utilisateur, un protocole d’authentification + mot de passe et éventuellement un protocole de chiffrement + mot de passe.

Application pratique dans les réseaux industriels

En pratique, vous utilisez SNMP pour plusieurs applications OT/industrielles :

  1. Surveillance des commutateurs et routeurs industriels : bande passante, état des liens et statistiques des ports.
  2. État et température des PC industriels (IPC) et surveillance du matériel.
  3. API qui publient des statistiques de base via SNMP (souvent en lecture seule).
  4. Journalisation centrale via des traps : pensez aux pannes de courant, aux défaillances de liens ou autres signaux d’alarme.
  5. Intégration dans des outils SCADA ou NMS tels que Nagios, Zabbix et PRTG pour une surveillance centralisée.

Avec Remote, vous pouvez utiliser SNMP dans le cadre de votre stratégie de surveillance, mais veillez toujours à la segmentation, aux règles de pare-feu (port UDP 161/162) et au choix de SNMPv3 lorsque c’est possible.

Résumé

Le SNMP est un protocole léger et largement utilisé pour la surveillance et la gestion, avec une structure MIB hiérarchique et des OID uniques par point de données. SNMPv1/v2c sont simples mais non sécurisés ; SNMPv3 offre une véritable authentification et un chiffrement, et est fortement recommandé pour les environnements de production dans les réseaux industriels.

Dans cet article