Isolation réseau2026-03-27T12:21:33+01:00
Loading...

L’isolation électronique pour une cybersécurité OT pérenne

Réduisez durablement la surface d’attaque de vos infrastructures critiques et environnements industriels grâce à la segmentation des réseaux OT par isolation électronique, alternative au firewall et à la diode réseau.

Bénéfices

Cas d’usage

Comparatif

Ressources

Ces défis vous sont familiers ?

Répondre aux besoins croissants de connectivité IT/OT tout en préservant la sécurité des réseaux opérationnels.

Limiter l’exposition des systèmes critiques, comme les PLCS ou les SCADA, face aux ransomwares et cyberattaques.

Se conformer aux nouvelles exigences réglementaires, comme NIS2, sans remettre en cause l’infrastructure existante.

Pour y faire face, la réponse semble évidente : renforcer la protection par segmentation des réseaux industriels.

SEGMENTER, OUI MAIS …

Dans le monde OT, chaque nouvel équipement de sécurité déployé entraîne son lot de contraintes, difficilement compatibles avec les exigences du terrain :

  • opérations de maintenance supplémentaires,
  • modifications de l’architecture technique,
  • latence accrue.

Les solutions traditionnelles de segmentation présentent des limites significatives en ce sens.

>> 2 à 10 correctifs de sécurité à appliquer par mois pour des technologies de type firewall*

>> Les data diodes gèrent très mal certains protocoles OT. Leur côté unidirectionnel ne permet pas tous les usages, sauf à ajouter des passerelles impliquant de la latence.

* Etude Seclab basée sur l’analyse de 5 éditeurs de firewall OT

Pour une cybersécurité qui respecte véritablement les spécificités de l’OT

Seclab propose une approche innovante d’isolation physique par l’électronique pour segmenter les réseaux OT avec son appliance Xchange.

ELECTRONIC AIRGAP

Technologie hardware brevetée qui offre une séparation physique étanche entre deux réseaux, tout en permettant l’échange sécurisé de données.

RUPTURE PROTOCOLAIRE ÉLECTRONIQUE

  • Résistance aux attaques 0-day
  • Séparation physique des environnements
  • Fonctionnement immuable

PROCÉDÉ UNIQUE

3 processeurs ayant chacun une fonction de sécurité dédiée et opérant de manière indépendante.

DOUBLE CONTRÔLE

Deux contrôles d’accès indépendants portant chacun une moitié de la politique.

ELECTRONIC AIRGAP

Technologie hardware brevetée qui offre une séparation physique étanche entre deux réseaux, tout en permettant l’échange sécurisé de données.

RUPTURE PROTOCOLAIRE ÉLECTRONIQUE

  • Résistance aux attaques 0-day
  • Séparation physique des environnements
  • Fonctionnement immuable

PROCÉDÉ UNIQUE

3 processeurs ayant chacun une fonction de sécurité dédiée et opérant de manière indépendante.

DOUBLE CONTRÔLE

Deux contrôles d’accès indépendants portant chacun une moitié de la politique.

Icône présentant un bras mécanique rendu invisible grâce à l'isolation électronique

Invisibilité des actifs

Une approche unique de segmentation, sans connexion au niveau réseau, rendant les actifs protégés complètement invisibles et inaccessibles.

Confiance OT pérenne

Un effort de maintenance limité car la solution ne nécessite que peu de mises à jour. Un matériel conçu pour durer dans le temps, avec un MTBF de 10 ans.

Icône représentant le maintien de la cybersécurité dans le temps
Icône représentant un flux bidirectionnel, que les diodes réseaux gèrent mal

Alternative aux diodes réseaux

Des communications sécurisées mono ou bi-directionnelles, offrant jusqu’à 800Mbps de débit. Aucun composant logiciel additionnel n’est nécessaire.

Résilient à sa compromission

Un design qui assure l’intégrité du système global. Même si l’une des entrées du produit est compromise, il est impossible pour l’attaquant de passer de l’autre côté.

Icône représentant une menace bloquée, pour évoquer une segmentation réseau OT résiliente
Icône représentant l'IT et l'OT réconciliés, pour évoquer l'administration zero-trust

Administration Zero-trust

Une politique d’accès obligatoirement validée par deux parties. Chaque flux doit être autorisé sur les deux contrôles d’accès, sur l’entrée et sur la sortie du produit. Les deux contrôles d’accès sont administrés de manière indépendante.

Solution maîtrisée

Sourcing, design, routage, développement logiciel et assemblage réalisés par Seclab en France. Fabrication des cartes et des châssis en Europe.

Icône représentant un process industriel maîtrisé, pour évoquer une segmentation réseau OT souveraine

Les principaux cas d’usage de la segmentation réseau OT par Electronic AirGap

Pour protéger l’intégralité du réseau OT ou uniquement ce qui est vital pour le bon fonctionnement de votre activité (Minimum Viable Digital Industry) :

Seclab Xchange assure la segmentation physique entre réseaux de niveaux de confiance différents : entre IT et OT, entre le réseau de contrôle et le réseau de terrain, entre réseaux sensibles. Cette segmentation va au-delà du filtrage logiciel en supprimant toute connectivité réseau directe entre les zones, empêchant les mouvements latéraux, les attaques par rebond entre IT et OT et la propagation de ransomwares sur le réseau industriel.

Les automates programmables (PLC), les systèmes SCADA, les serveurs Historian et les postes de supervision (HMI) constituent le cœur du fonctionnement opérationnel. Seclab Xchange permet de les isoler physiquement du reste du réseau tout en autorisant les flux métier nécessaires (remontée de données, commandes autorisées) via des communications sécurisées et filtrées.

Les postes tournant sur des logiciels obsolètes (Windows XP, Windows 7, systèmes non supportés) représentent un risque majeur car ils ne peuvent pas recevoir de correctifs de sécurité. Seclab Xchange les protège en les rendant invisibles et inaccessibles depuis le réseau à risque, sans nécessiter de modification de ces systèmes.

Les serveurs de sauvegarde et les dépôts de logs sont des cibles privilégiées pour les attaquants qui cherchent à maximiser l’impact d’un ransomware en détruisant les sauvegardes. Seclab Xchange isole physiquement ces environnements pour garantir l’intégrité des sauvegardes même en cas de compromission du réseau principal.

Pour les flux strictement unidirectionnels — remontée de données vers un système de supervision, alimentation d’un SOC, transmission de logs — Seclab Xchange fonctionne en mode diode, assurant que seule la donnée utile transite dans un sens unique, sans possibilité de retour.

Dans les cas de rachat d’entreprise, de joint-venture ou de systèmes mobiles, il est nécessaire de connecter un système d’information externe dont le niveau de sécurité n’est pas maîtrisé. Seclab Xchange permet d’établir cette connexion en isolant physiquement le SI externe du réseau interne, ne laissant passer que les données applicatives.

Seclab Xchange permet de répondre directement aux exigences de segmentation réseau imposées par IEC 62443, NIS2 et DORA. La rupture protocolaire par l’électronique correspond au niveau de protection le plus élevé contre les violations intentionnelles (SL-3 à SL-4 selon IEC 62443).

Seclab Xchange permet de filtrer les échanges de fichiers entre deux zones avec des niveaux de sécurité distincts : filtrage des extensions, taille, type MIME ou signatures de fichiers, contrôle des accès des utilisateurs et des serveurs aux fichiers.

Grâce à son administration Zero-Trust, Seclab Xchange permet de cloisonner deux environnements relevant de juridictions ou de niveaux de sensibilité différents. Chaque partie conserve un contrôle d’accès exclusif sur son côté : aucun flux ne peut transiter sans l’accord des deux administrateurs. Ce mécanisme garantit qu’un prestataire ou un service soumis à une législation extraterritoriale — comme le Cloud Act américain ou les lois chinoises sur la sécurité des données — ne peut accéder aux actifs protégés de l’autre côté, même en cas d’injonction légale. L’organisation conserve ainsi la pleine souveraineté sur ses données et ses systèmes critiques.

Protégez dès à présent ce qui est vital pour votre activité

CE QUE PENSENT LES EXPERTS DE LA SEGMENTATION RÉSEAU OT PAR ELECTRONIC AIRGAP

Logo de McKinsey & Company, qui parle de segmentation réseau OT

With their robust and certified products they discovered a niche at the interface of the IT and OT worlds. That proved to be a goldmine.

Logo de BCG, qui parle de segmentation réseau OT

A unique technology with an Europeen DNA, powered by a teams of security professionals who understand the security needs of the world’s most critical OT networks, differentiates Seclab from its competitors.

Logo de Gartner, qui parle de segmentation réseau OT

Besides blocking network cyberattacks who may have penetrated your IT network and are carrying out reconnaissance will never be able to see any information about your OT network.  Wam Voster, Cool Vendors in Cyber-Physical Systems Security

Logo de Amossys, qui parle de segmentation réseau OT

Toutes les fonctions de sécurité ont subi des tests de pénétration et aucune ne présente de vulnérabilité exploitable dans le contexte d’utilisation du produit et pour le niveau d’attaquant visé. Rapport d’évaluation CPSN. Un accès complet à l’interface d’administration du réseau à risque avait été fourni dans le cadre de l’évaluation.

10 ans

MTBF (Mean-Time Between Failure)

Logo de la certification CSPN

Certification CSPN

Logo de NREL

Certifié best product for network segmentation

MTBF (Mean-Time Between Failure)

Certification CSPN

Certifié best product for network segmentation

COMPARATIF

Alternative aux firewalls industriels et data diodes

Capacités opérationnelles Firewalls Data Diodes Electronic AirGap (SECLAB Xchange)
Communication bidirectionnelle Oui Limitée (nécessite une solution de contournement) Oui
Support TCP/IP Oui Limité (Proxy) Oui
Prise en charge des protocoles chiffrés Oui Limitée (Complexe) Oui
Rupture protocolaire Non Limitée Oui (couches 1-4 OSI)
Gestion à distance Oui Limitée Limitée
Compatibilité applicative Élevée Faible Élevée
Complexité d’implémentation Modérée Élevée Faible à modérée (limitation : ne peut pas être virtualisé)
Effort de maintenance Élevé Faible Très faible
Signature et vérification de signatures de fichiers Non Non Oui
Protection contre les menaces Firewalls Data Diodes Electronic AirGap (SECLAB Xchange)
Résilience à sa propre compromission Non Non Oui
Exploits zero-day Vulnérable Protection élevée (une seule direction) Protection élevée (dans les deux sens)
Reconnaissance du réseau Protection limitée Protection élevée Protection élevée
Mouvement latéral Protection limitée Protection élevée Protection élevée
Paquets malformés Protection limitée Protection élevée Protection élevée
Administrateur malveillant Vulnérable Protection limitée Protection élevée

RESSOURCES ADDITIONNELLES

Lien vers la fiche produit de Seclab Xchange pour la segmentation réseau OT

Fiche produit

Seclab Xchange

Lien vers le livre blanc sur l'isolation réseau OT

Livre blanc

Principe d'isolation électronique

Lien vers l'article de blog sur la technologie Electronic AirGap

Article

Technologie Electronic AirGap

Votre environnement OT mérite une sécurité en profondeur

> Pour la sécurisation des actifs supportant des périphériques USB, découvrez Seclab Xport.

> Pour la découverte de votre infrastructure OT et la détection des menaces ou anomalies, découvrez Seclab Xplore.

> Les produits Xchange, Xport et Xplore font partie de la plateforme Seclab Xcore, pour une confiance pérenne dans la cybersécurité des environnements opérationnels et industriels.

> Découvrez Seclab Xcore Platform, la plateforme de cybersécurité pensée par l’OT pour l’OT.

Protégez dès à présent ce qui est vital pour votre entreprise.

Questions fréquentes

Qu’est-ce que l’Electronic AirGap et comment fonctionne-t-il ?2026-03-27T10:17:11+01:00

L’Electronic AirGap est un dispositif matériel de cybersécurité qui crée une séparation physique totale entre deux réseaux grâce à une rupture protocolaire électronique. Développé et breveté par Seclab, il supprime les couches 1 à 4 du modèle OSI entre les deux réseaux : aucune pile TCP/IP ne traverse le système. Seule la donnée utile (fichier ou donnée applicative) transite d’un côté à l’autre, via un bus électronique non routable.

Comment ça fonctionne concrètement ?

L’architecture repose sur trois processeurs indépendants, chacun dédié à une fonction de sécurité distincte. Deux contrôles d’accès séparés — un en entrée, un en sortie — appliquent des politiques de sécurité qui doivent être cohérentes entre elles. La donnée utile est analysée pendant le transit (vérification protocolaire, contrôle des signatures de fichier, analyse antimalware) avant d’être reconstituée côté réseau de destination.

Ce que cela change par rapport à un équipement de filtrage classique

  • Les actifs protégés sont invisibles et inaccessibles depuis le réseau à risque — il n’y a aucune route réseau à exploiter.
  • La surface d’attaque est réduite par conception, pas par configuration.
  • Le système est résilient à sa propre compromission : même si un processeur est compromis, l’architecture cloisonnée empêche la propagation.

L’Electronic AirGap est certifié CSPN par l’ANSSI. Il s’installe entre deux réseaux sans modifier l’architecture existante, ce qui le rend particulièrement adapté aux environnements OT (énergie, transport, industrie, défense, télécoms, eau et déchets) où la disponibilité prime et où les fenêtres de maintenance sont réduites.

À retenir — L’Electronic AirGap supprime physiquement la connectivité réseau entre deux zones grâce à l’électronique. Il rend les actifs protégés invisibles depuis le réseau à risque, sans modification d’architecture.

Electronic AirGap ou data diode : quelle différence ?2026-03-27T10:16:38+01:00

La principale différence réside dans le sens de communication : une data diode impose un flux strictement unidirectionnel, tandis que l’Electronic AirGap assure une isolation physique équivalente tout en autorisant des échanges bidirectionnels sécurisés.

Les limites structurelles de la data diode

Une diode réseau est efficace pour les remontées d’information à sens unique (vers un SOC ou un Historian, par exemple). Mais de nombreux cas d’usage OT nécessitent une communication dans les deux sens : administration distante, synchronisation de fichiers, protocoles industriels avec acquittement. Certains dispositifs contournent cette limite en combinant deux diodes avec des passerelles de synchronisation, ce qui augmente la complexité et génère une latence élevée.

Ce qu’apporte l’Electronic AirGap en plus

Critère Data diode Electronic Air Gap Seclab
Sens de communication Unidirectionnel uniquement Unidirectionnel et bidirectionnel
Isolation physique Oui Oui (rupture protocolaire)
Débit bidirectionnel Non applicable (ou très dégradé via double diode) Jusqu’à 800 Mbps
Composant logiciel additionnel côté réseau Souvent nécessaire Non requis
Résistance à la compromission interne Partielle Oui (architecture 3 processeurs cloisonnés)

 

L’Electronic AirGap combine donc la rigueur d’isolation d’une diode avec la flexibilité opérationnelle qu’exigent les environnements industriels modernes.

À retenir — L’Electronic AirGap offre le même niveau d’isolation physique qu’une data diode, mais supporte les communications bidirectionnelles jusqu’à 800 Mbps, sans composant logiciel additionnel ni compromis sur la sécurité.

Electronic AirGap ou firewall OT : quelle protection choisir ?2026-03-27T10:15:46+01:00

Un firewall OT filtre le trafic réseau selon des règles configurables. L’Electronic AirGap, lui, supprime totalement la connectivité réseau entre deux zones. Ce sont deux approches complémentaires : le firewall contrôle les flux, l’Electronic AirGap élimine la possibilité même d’un flux non autorisé au niveau réseau.

Pourquoi un firewall seul ne suffit pas en environnement OT

Les firewalls industriels présentent plusieurs fragilités dans le contexte opérationnel :

  • Ils nécessitent des mises à jour régulières (firmware, signatures, règles) — souvent incompatibles avec des fenêtres de maintenance réduites à quelques heures par an.
  • Ils reposent sur du logiciel et restent vulnérables aux erreurs de configuration, aux exploits zero-day et aux attaques ciblant les couches TCP/IP.
  • Leur efficacité dépend de la qualité et de l’actualisation permanente de leurs règles.

L’approche Electronic AirGap

En supprimant les couches transport et réseau par rupture protocolaire électronique, l’Electronic AirGap élimine par conception toute une catégorie d’attaques. La maintenance est minimale : en moyenne, une mise à jour logicielle par an. La protection ne dépend ni de signatures à jour ni de règles à maintenir.

L’Electronic AirGap ne remplace pas systématiquement un firewall. Il le complète dans une stratégie de défense en profondeur, en protégeant le périmètre le plus critique — là où une compromission aurait un impact opérationnel majeur.

À retenir — Là où un firewall filtre le trafic, l’Electronic AirGap casse la continuité réseau. Les deux sont complémentaires : le firewall pour la segmentation courante, l’Electronic AirGap pour l’isolation des actifs les plus critiques.

Comment se conformer à NIS 2 grâce à l’isolation physique du réseau ?2026-03-27T10:15:11+01:00

L’isolation physique par Electronic AirGap répond directement aux exigences de segmentation réseau et de gestion des risques imposées par la directive NIS 2 (article 21). En supprimant toute connexion réseau directe entre zone protégée et zone à risque, elle empêche les mouvements latéraux et rend les actifs critiques inaccessibles.

Quelles exigences NIS 2 sont couvertes ?

  • Gestion des risques cyber (art. 21) : l’isolation physique constitue une mesure de réduction du risque proportionnée et démontrable, particulièrement pour les actifs critiques.
  • Sécurité de la chaîne d’approvisionnement : les systèmes interconnectés avec des tiers (prestataires, fournisseurs) sont isolés physiquement, ce qui limite le risque de compromission par rebond.
  • Continuité d’activité : l’intégrité des systèmes critiques est garantie sans dépendre de mises à jour fréquentes — un point clé pour les environnements OT où chaque interruption a un coût opérationnel.

Mise en conformité progressive

NIS 2 n’exige pas une refonte complète du jour au lendemain. La plateforme Seclab XCore permet une montée en maturité par étapes : découverte des actifs et détection des menaces avec Xplore, puis isolation des systèmes critiques avec Xchange (Electronic AirGap). Cette progressivité est cohérente avec l’esprit de la directive, qui demande des mesures adaptées au niveau de risque et à la maturité de l’organisation.

À retenir — L’Electronic Air Gap couvre trois volets clés de NIS 2 : gestion des risques, sécurité de la supply chain et continuité d’activité. Couplé à Xplore pour la visibilité, il permet une mise en conformité progressive adaptée aux contraintes OT.

Comment se conformer à IEC 62443 avec l’isolation physique du réseau ?2026-03-27T10:14:38+01:00

L’Electronic AirGap s’intègre dans l’architecture zones et conduits définie par IEC 62443. Positionné comme conduit entre deux zones de niveaux de sécurité différents, il fournit un niveau de protection correspondant aux Security Levels les plus élevés (SL-3 à SL-4).

Le modèle zones et conduits en pratique

IEC 62443 repose sur un principe clair : regrouper les actifs par niveau d’exigence de sécurité (zones), et contrôler strictement les communications entre zones (conduits). Chaque conduit doit garantir un niveau de sécurité cible (Security Level Target) adapté à la menace.

Pourquoi l’Electronic Air Gap correspond aux niveaux SL-3 / SL-4

  • La rupture protocolaire assure une isolation physique — le niveau de protection le plus élevé contre les violations intentionnelles avec des moyens sophistiqués.
  • Le double contrôle d’accès indépendant (entrée/sortie) répond aux exigences de contrôle granulaire de la norme.
  • Le principe de moindre privilège est respecté : seuls les flux métier explicitement autorisés transitent.

L’Electronic AirGap protège les zones critiques (automates, SCADA, Historian) tout en laissant passer les flux opérationnels nécessaires. Son déploiement sans modification d’architecture facilite la mise en conformité progressive, y compris dans les environnements legacy où le remplacement des équipements n’est pas envisageable.

À retenir — Dans le modèle IEC 62443, l’Electronic AirGap agit comme conduit à haut niveau de sécurité (SL-3/SL-4) entre zones critiques et zones à risque. Son déploiement est possible sans refonte de l’architecture existante.

Faut-il protéger tous les actifs OT de la même manière ?2026-03-27T10:13:55+01:00

Non. Tous les équipements d’un environnement OT n’ont pas le même niveau de criticité. Appliquer une protection maximale partout entraîne des coûts disproportionnés et une complexité qui peut elle-même nuire à la disponibilité.

Le principe du MVDI (Minimum Viable Digital Industry)

Le MVDI désigne l’ensemble des actifs numériques vitaux pour le bon fonctionnement de l’activité industrielle. L’objectif est d’identifier ce périmètre critique — automates de production, SCADA, Historian, systèmes de sûreté — et d’y concentrer les mesures de protection les plus fortes.

Quelle protection pour quel niveau de criticité ?

Niveau de criticité Exemples d’actifs Protection recommandée
Critique (MVDI) Automates, SCADA, Historian, systèmes de sûreté, serveurs applicatifs sensibles Isolation physique (Electronic Air Gap)
Important Serveurs applicatifs standard, postes d’ingénierie Segmentation réseau (firewall, VLAN)
Standard Postes bureautiques, systèmes non sensibles Mesures de sécurité IT classiques

Cette approche est cohérente avec IEC 62443, qui formalise des niveaux de sécurité différenciés par zone. Elle permet de maximiser la réduction du risque tout en maîtrisant les coûts et l’impact sur les opérations.

À retenir — Concentrer la protection maximale (isolation physique) sur les actifs du MVDI, et adapter le niveau de sécurité des autres actifs à leur criticité réelle. C’est le meilleur rapport sécurité/coût en environnement OT.

Solutions

Partenaires

Ressources

Contact

Siège social
205 impasse John Locke
34470 Perols
France

Bureaux Parisiens
Liberty Tower
17 place des reflets
92400 Courbevoie
France

Atelier 42

© Seclab. 2026

Siège social
205 impasse John Locke
34470 Perols
France

Bureaux Parisiens :
Liberty Tower
17 place des reflets
92400 Courbevoie

Siège social
205 impasse John Locke
34470 Perols
France

Bureaux Parisiens :
Liberty Tower
17 place des reflets
92400 Courbevoie

Atelier 42

© Seclab. 2026

Go to Top