La sécurité CEI 60870-5-104 est un défi si vous souhaitez gérer des installations à distance. Le protocole a été conçu à une époque où les réseaux OT étaient fermés et où la sécurité ne jouait pratiquement aucun rôle. Aujourd’hui, tout est connecté aux réseaux IP et à Internet, et l’accès à distance est presque systématiquement attendu.
Comment assurer une connexion sécurisée et chiffrée sans avoir à modifier radicalement vos installations CEI 60870-5-104 existantes ? Dans cet article, nous vous guiderons étape par étape.
Qu’est-ce que la CEI 60870-5-104 et pourquoi la sécurité est-elle un problème ?
Si vous commencez à travailler avec la sécurité CEI 60870-5-104, il est important de d’abord comprendre comment fonctionne le protocole et où se situent les points faibles.
La CEI 60870-5-104 est un protocole de télécontrôle pour la communication entre :
- l’équipement de terrain (RTU, passerelles, IED)
- et les systèmes centraux (SCADA, centres de répartition)
-> Vous trouverez une description technique détaillée du protocole CEI 60870-5-104 dans notre documentation CEI 60870-5-104.
La variante « -104 » fonctionne sur TCP/IP. C’est pratique pour l’intégration avec les réseaux modernes, mais cela entraîne directement un inconvénient majeur :
- La CEI 60870-5-104 elle-même ne dispose pas de chiffrement intégré.
Il n’y a pas de TLS standard, pas d’authentification intégrale ni de contrôle d’intégrité comme vous le connaissez des protocoles informatiques modernes.
Conséquence :
Dès que vous sortez la communication 104 d’un réseau interne strictement protégé (par exemple, vers le cloud ou sur Internet), vous devez ajouter vous-même des couches de sécurité supplémentaires.
Menaces autour de la CEI 60870-5-104
Sans sécurité supplémentaire, vous courez entre autres les risques suivants avec la CEI 60870-5-104 :
- Écoute clandestine (sniffing)
Le trafic est en texte clair. Un attaquant qui peut intercepter le trafic réseau peut lire les valeurs mesurées, les commandes et parfois même les données de configuration. - Attaques de l’homme du milieu
Le trafic peut être manipulé et transféré, tandis que les deux parties pensent parler à une partie légitime. - Usurpation d’identité et commandes non autorisées
Sans authentification forte, il est possible qu’un attaquant se fasse passer pour une station distante ou un centre de contrôle. - Attaques DoS/DDoS
Les appareils CEI 60870-5-104 ne sont souvent pas conçus pour traiter de grandes quantités de trafic malveillant. La disponibilité peut donc être facilement compromise. - Mouvement latéral dans le réseau OT
Dès qu’un attaquant entre par un point faible, il peut parfois se déplacer librement vers d’autres systèmes critiques.
C’est pourquoi la sécurité CEI 60870-5-104 n’est pas seulement une question de « chiffrer quelque chose », mais d’une architecture de sécurité complète.
Principes de sécurité pour la CEI 60870-5-104
Avant de passer aux solutions concrètes, il est important de nommer les principes de base :
- Défense en profondeur
Ne pas se fier à une seule couche de sécurité (par exemple, uniquement un pare-feu), mais combiner plusieurs lignes de défense. - Segmentation de l’OT et de l’IT
Gardez les réseaux de contrôle séparés des réseaux de bureau et Internet, par exemple avec des VLAN, des pare-feu et une DMZ. - Privilège minimum et besoin d’en connaître
Ne donnez accès qu’aux systèmes et aux fonctions qui sont réellement nécessaires à la tâche. - Approche de confiance zéro
Ne partez pas du principe que le trafic au sein du « réseau interne » est automatiquement fiable ; vérifiez activement l’identité et les droits. - Surveillance et journalisation
Assurez-vous de pouvoir détecter et examiner les écarts dans le trafic CEI 60870-5-104 et dans les activités de connexion.
Options pour une connexion chiffrée
Étant donné que la CEI 60870-5-104 elle-même ne connaît pas le chiffrement, la connexion chiffrée doit être réalisée en dehors du protocole. Les deux approches les plus utilisées :
1. Tunnel VPN autour de la CEI 60870-5-104
Une solution largement appliquée consiste à envoyer le trafic CEI 60870-5-104 via un tunnel VPN, par exemple avec IPsec ou OpenVPN/WireGuard.
Fonctionnement en bref :
- Du côté du terrain, vous placez un routeur/passerelle industriel avec fonction VPN.
- Du côté central (centre de données ou cloud), il y a un concentrateur/passerelle VPN.
- Un tunnel chiffré est mis en place entre ces deux (site à site ou client à site).
- Le trafic CEI 60870-5-104 « ordinaire » circule dans ce tunnel.
Avantages :
- Chiffrement fort (en fonction de la technologie VPN choisie).
- L’équipement CEI 60870-5-104 existant ne doit souvent pas être modifié.
- Évolutif : plusieurs stations peuvent être déverrouillées via une seule terminaison VPN centrale.
Points d’attention :
- La gestion des certificats et des clés est cruciale.
- Assurez une segmentation claire au sein du VPN (donc pas : « tout dans une seule couche VPN plate »).
- Définissez des règles de pare-feu précises : quel IP peut communiquer avec quelle station et sur quels ports ?
2. Chiffrement de bout en bout via des passerelles (par exemple, TLS)
Une autre approche consiste à placer une passerelle de sécurité à la périphérie du réseau OT qui :
- parle CEI 60870-5-104 du côté du terrain ;
- communique de manière chiffrée de l’autre côté (par exemple, via TLS ou un autre protocole sécurisé) vers SCADA ou le cloud.
Avantages :
- Vous créez une séparation claire entre « 104 interne non sécurisé » et « trafic externe sécurisé ».
- L’intégration avec les solutions informatiques ou cloud modernes devient plus simple, car elles comprennent souvent TLS par défaut.
Points d’attention :
- La passerelle devient un composant de sécurité crucial ; une fiabilité élevée et une bonne gestion sont requises.
- Faites attention aux performances : le chiffrement coûte de la puissance de calcul.
Architecture réseau : comment limiter le risque
La sécurité CEI 60870-5-104 n’est pas seulement une technique dans la connexion, mais aussi la façon dont vous construisez le réseau.
Segmentation et DMZ
Un modèle couramment utilisé :
- Réseau OT
Ici se trouvent les appareils CEI 60870-5-104 (RTU, stations, etc.). Ce réseau est strictement protégé. - DMZ (zone démilitarisée)
Ici, vous placez entre autres :- Terminaison VPN
- Passerelles de sécurité
- Historian/collecteurs qui transfèrent des données vers le monde informatique
- Réseau IT/bureau/cloud
Utilisateurs, tableaux de bord, rapports, etc.
Entre ces zones se trouvent des pare-feu strictement configurés avec :
- uniquement les ports nécessaires ouverts (tels que le port TCP 2404 pour 104, si nécessaire) ;
- la liste blanche des adresses IP dans la mesure du possible ;
- l’inspection et la journalisation.
Authentification et gestion des accès
- Utilisez une authentification forte pour les opérateurs et les ingénieurs à distance (de préférence 2FA).
- Assurez un accès basé sur les rôles (opérateur, ingénieur, administrateur) avec des droits clairs.
- Documentez qui a accès à quelle installation et par quel moyen.
Plan par étapes : sécurité CEI 60870-5-104 dans la pratique
- Inventoriez votre environnement
- Quels appareils CEI 60870-5-104 avez-vous ?
- Où sont-ils situés (emplacements, réseaux) ?
- Comment se déroule la communication maintenant (chemins, routeurs, pare-feu) ?
- Déterminez les cas d’utilisation souhaités pour l’accès à distance
- Uniquement la surveillance ?
- Aussi le contrôle (commandes) ?
- Maintenance par des parties externes ?
- Choisissez votre architecture de sécurité
- Tunnel VPN + segmentation
- Passerelles de sécurité avec liaison montante chiffrée
- Ou une combinaison
- Mettez en œuvre le chiffrement et la segmentation
- Configurez les connexions VPN ou TLS.
- Séparez les réseaux OT, DMZ et IT avec des pare-feu.
- Définissez des règles strictes pour qui est autorisé à parler à qui.
- Testez avec un nombre limité d’installations
- Validez les performances (latence, bande passante).
- Vérifiez que toutes les fonctions nécessaires (alarme, commandes, synchronisation temporelle) continuent de fonctionner.
- Déployez progressivement et assurez la gestion
- Gestion des correctifs pour les passerelles et les routeurs.
- Gestion des certificats et rotation des clés.
- Mise en place de la surveillance et de la journalisation.
Erreurs courantes lors de la sécurisation de la CEI 60870-5-104
Quelques pièges qu’il vaut mieux éviter :
- Publier la CEI 60870-5-104 directement sur Internet
Par exemple, en transférant simplement le port 2404 vers une RTU. C’est extrêmement risqué. - Pas de séparation entre l’OT et l’IT
Un grand réseau plat permet à un attaquant de se déplacer latéralement très facilement. - Considérer le VPN comme la seule sécurité
Un VPN sans bonne segmentation, journalisation et gestion des accès n’est qu’une solution partielle. - Pas d’attention à la gestion
Les certificats expirés, les firmwares jamais mis à jour et les modifications de configuration inconnues sont un risque majeur à terme.
Conclusion : la sécurité CEI 60870-5-104 est réalisable, à condition d’être bien réfléchie
La sécurité CEI 60870-5-104 nécessite une combinaison de :
- des connexions chiffrées (par exemple, via un VPN ou des passerelles TLS) ;
- la segmentation du réseau et des pare-feu entre l’OT, la DMZ et l’IT ;
- une gestion stricte des accès et une surveillance.
La bonne nouvelle :
Dans de nombreux cas, vous pouvez continuer à utiliser vos installations CEI 60870-5-104 existantes et organiser la sécurité autour d’elles. De cette façon, vous sécurisez l’accès à distance sans remplacer complètement votre équipement de terrain.
Voulez-vous :
- Faire évaluer votre propre environnement ?
Demandez une analyse rapide de la sécurité CEI 60870-5-104 (gratuite). - Voir comment nous résolvons ce problème chez d’autres clients ?
Lisez nos études de cas sur les projets OT et CEI 60870-5-104. - D’abord en savoir plus sur nous ?
Faites connaissance avec notre équipe et nos antécédents sur la page À propos de nous.
Choisissez ce qui vous convient le mieux maintenant ; vous n’êtes lié à rien.
