Menu
Les réseaux industriels constituent une surface d'attaque. Nous les renforçons.
La plupart des déploiements OT et d'IoTs ont été conçus avant que la sécurité ne devienne une exigence d'achat. TRACIO évalue où se situent vos trafics d'RTLSs, d'AGVs, de capteurs et de PLC dans le modèle Purdue, ce qui est réellement exposé et ce qu'il faut corriger en priorité. Indépendant des fournisseurs, conforme aux référentiels (IEC 62443, NIS2, NIST CSF, ISO 27001). Nous ne vendons pas d'outils — nous concevons l'architecture et le plan de remédiation, puis nous les vérifions.
Trois modes de défaillance de la couche OT que nous observons régulièrement.
Ces constatations se répètent dans tous les secteurs. Les identifier est la première étape pour y remédier.
Les CPL et les balises partagent le VLAN du bureau
Le réseau d'origine était plat, car c'était le chemin le plus rapide pour la mise en service. Aujourd'hui, un lecteur d'RFID, un PLC, un téléviseur de salle de réunion et un ordinateur portable du service financier se trouvent tous à un seul domaine de diffusion les uns des autres. Un seul terminal compromis suffit pour atteindre la ligne.
Pas de segmentation entre OT et IT
Les niveaux Purdue existent sur le schéma d'architecture mais pas dans le pare-feu. Le trafic est-ouest entre le MES et l'entrepôt BI circule sans filtrage. Les mouvements latéraux sont libres pour quiconque parvient à implanter une charge utile de phishing dans les RH.
L'accès à distance est une porte dérobée
Les fournisseurs OEM détiennent des identifiants VPN permanents afin de pouvoir assurer la maintenance des machines. Personne ne sait qui est connecté en ce moment, ce qu’il a consulté la semaine dernière, ni si le compte de service partagé est toujours utilisé par l’ingénieur qui est parti.
Six axes de travail. Menés conjointement. Alignés sur le référentiel.
Chaque axe de travail correspond à une exigence fondamentale de la norme CEI 62443 et produit des preuves que votre auditeur et votre RSSI accepteront tous deux.
Évaluation de la posture cybernétique OT
Cartographier chaque dispositif d'IoT, d'RTLS ou de PLC, les classer par criticité, documenter les flux de données réels, identifier les écarts par rapport à la norme CEI 62443-3-3 SL2 ou SL3.
Conception des zones et des conduits
Segmenter par niveau Purdue, définir les conduits entre les zones et spécifier les règles de pare-feu sous une forme indépendante du fournisseur afin que tout pare-feu acheté puisse les mettre en œuvre.
Identité des objets et des personnes
Identité des appareils (basée sur des certificats), hygiène des comptes de service, intégration avec votre IdP (Entra, Okta, Ping) pour le volet humain.
Accès à distance sécurisé pour les fournisseurs
Hôte de saut, authentification multifactorielle (MFA), enregistrement de session, accès limité dans le temps pour les fournisseurs OEM devant assurer la maintenance de machines sans disposer d'un VPN permanent.
Intégration SOC compatible OT
Mettez en miroir le trafic vers un SOC qui comprend Modbus, OPC UA, MQTT, S7, EtherNet/IP — et non vers un SIEM informatique générique sans contexte de protocole.
Guide d'intervention en cas d'incident OT
Guides d'intervention prédéfinis pour les ransomwares, la compromission de flottes de balises et les dysfonctionnements d'AGV. Testés en simulation avant que vous n'en ayez besoin.
Trois façons de faire appel à nos services.
Adaptés à l'état réel de votre infrastructure OT — d'un premier bilan de sécurité à une correction intégrée aux côtés de votre équipe IT/OT.
Audit de la posture · 4 à 6 semaines
Cartographie complète, analyse des écarts, feuille de route de correction priorisée. Forfait.
Architecture et conception · 8 à 12 semaines
Conception des zones/conduits, modèle d'identité, spécifications de surveillance et appel d'offres auprès des fournisseurs pour les outils.
Remédiation intégrée · 4 à 9 mois
Nous accompagnons votre équipe informatique/OT tout au long de la remédiation proprement dite. Nous nous retirons lorsque les indicateurs clés de performance (KPI) sont atteints.