Dans le climat actuel marqué par les violations de sécurité et les attaques par rançongiciel, les infrastructures critiques deviennent plus vulnérables, avec des surfaces d’attaque plus exposées que jamais. Le niveau de sophistication des attaquants a augmenté, puisqu’ils parviennent même à infiltrer des systèmes isolés (air-gapped).

Pour contrer ces défis, le vieux modèle de Purdue doit être complété par les principes de Zero Trust. Dans ce court livre blanc, nous examinons ces concepts et explorons comment leur intégration peut offrir un cadre de sécurité robuste et exhaustif pour les environnements OT, en particulier dans le secteur E&U, qui constitue une composante essentielle de l’infrastructure industrielle de chaque nation.

Zero Trust, un concept revitalisé dans les modèles de sécurité, opère selon la devise « ne jamais faire confiance, toujours vérifier ». Il considère toute personne et toute chose — utilisateurs, appareils, applications — comme des menaces potentielles, quelle que soit leur origine. Zero Trust est aussi connu sous le nom de sécurité « sans périmètre ».

En tant que partie de l’infrastructure critique nationale, E&U est largement considérée comme nécessitant une protection particulière, car son vaste réseau de systèmes et d’appareils interconnectés constitue une cible de choix pour les cyberattaques. Ainsi, l’intégration de Zero Trust avec un périmètre défini par logiciel (SDP) et le modèle Purdue est particulièrement cruciale.

Dans cette optique, renforcer le modèle de Purdue avec les principes de Zero Trust aidera à pallier les limites du modèle et à affronter les menaces modernes. Combiner les deux consiste à intégrer les principes des deux modèles pour créer une architecture réseau plus sécurisée.