Isolation USB2026-03-27T12:24:53+01:00
Loading...

L’isolation électronique des ports USB pour une cybersécurité OT pérenne

Gérez durablement les menaces liées à l’usage des supports amovibles dans vos infrastructures critiques et environnements industriels, grâce à l’isolation électronique des ports USB. Sans installation ou modification de l’architecture existante.

Bénéfices

Cas d’usage

Comparatif

Ressources

Ces défis vous sont familiers ?

Maintenir la productivité opérationnelle des échanges par support USB, tout en protégeant les systèmes critiques, PLC ou SCADA.

Conserver des systèmes Legacy obsolètes, sur lesquels aucune protection ne peut être installée, sans qu’ils ne deviennent une faille sécuritaire

Assurer la continuité des opérations en cas de défaillance du réseau, en maintenant des échanges de fichiers manuels et sécurisés.

Pour y faire face, la réponse ne peut pas être uniquement logicielle : la sécurisation du vecteur USB dans les environnements OT exige une isolation physique au point d’usage.

78%

des incidents OT proviennent de supports USB*

L’USB est un angle mort pour la défense en profondeur : les supports USB contournent les défenses réseau et atteignent directement les systèmes les plus isolés.

Les systèmes legacy ne peuvent pas être protégés par logiciel : la plupart des automates, HMI et SCADA tournant sur Windows XP ou des OS propriétaires ne peuvent recevoir ni correctif, ni antivirus, ni agent logiciel.

*Etude Honeywell de 2025

LA PIÈCE MANQUANTE DE VOTRE PROTECTION USB OT

Seclab Xport s’interpose physiquement entre le périphérique USB et le port du système critique.

Le périphérique n’est jamais branché directement : le dispositif matériel Seclab Xport crée une rupture totale du lien USB direct. Le système protégé voit uniquement une clé USB virtuelle présentant les fichiers conformes à la politique de sécurité. Seclab Xport ne nécessite ni installation, ni modification du système hôte.

>>Les stations blanches ne suffisent pas : elles analysent le contenu des fichiers en amont, mais ne contrôlent pas ce qui se passe réellement au point d’usage, au niveau de l’actif.

>> Les dispositifs de scellement de poste ou de protection logicielle sont trop intrusifs et peuvent impacter le bon fonctionnement du système.

Pour une sécurité des échanges USB adaptée à l’OT

Seclab propose une approche innovante d’isolation physique des ports USB avec son boîtier amovible Xport, basé sur la technologie Electronic AirGap.

ELECTRONIC AIRGAP

Technologie hardware brevetée qui offre une séparation physique étanche entre le port et le périphérique USB, tout en permettant l’échange sécurisé de fichiers.

RUPTURE PROTOCOLAIRE ÉLECTRONIQUE

  • Résistance aux attaques 0-day
  • Séparation physique des environnements
  • Fonctionnement immuable

ELECTRONIC AIRGAP

Technologie hardware brevetée qui offre une séparation physique étanche entre le port et le périphérique USB, tout en permettant l’échange sécurisé de fichiers.

RUPTURE PROTOCOLAIRE ÉLECTRONIQUE

  • Résistance aux attaques 0-day
  • Séparation physique des environnements
  • Fonctionnement immuable
Icône présentant la bidirectionnalité de la politique de protection USB OT

Politique de protection USB OT

Configurable en entrée seule (mise à jour, fichier de configuration), sortie seule (extraction de logs), ou bidirectionnelle, la politique de sécurité permet le filtrage des extensions de fichier.

Confiance OT pérenne 

Dès que le boîtier est branché dans le port USB, le système hôte est protégé. Aucune installation n’est nécessaire, aucune opération de maintenance n’est à prévoir.  Plug-and-Protect.

Icône représentant le maintien de la protection USB OT dans le temps
Icône représentant une signature électronique vérifiée par l'isolation USB

Contrôle de signature

En complément d’une station de décontamination comme Tyrex, seuls les fichiers disposant d’une signature valide et émise par la station peuvent être présentés au système. Un fichier non signé ou modifié après signature sera refusé.

Compatibilité multi-systèmes

Compatible Windows, Linux et macOS, le boîtier peut également être connecté à des systèmes Legacy verrouillés fonctionnant sur Windows XP ou sur des OS propriétaires.

Icône représentant quatre pièces de puzzle pour évoquer la compatibilité de la protection USB OT
Icône représentant la maîtrise du process industriel de fabrication de la protection USB OT

Solution maîtrisée

Sourcing, design, routage, développement logiciel et assemblage réalisés par Seclab en France. Fabrication des cartes électroniques en Europe.

Prévention des attaques USB

Couverture de l’ensemble des menaces liées au support physique USB, y compris les attaques BadUSB et boot sector que les antivirus et stations de sanitisation ne détectent pas.

Icône représentant une attaque bloquée pour illustrer l'efficacité de la protection USB OT

Les principaux cas d’usage de la protection USB OT par isolation électronique

Pour protéger les actifs vitaux pour la continuité de fonctionnement de votre organisation (Minimum Viable Digital Industry).

Les mises à jour de firmware des automates (PLC), des équipements de terrain et des systèmes embarqués sont fréquemment réalisées par support USB. Seclab Xport garantit que seuls les fichiers de mise à jour disposant d’une signature cryptographique valide et d’une extension autorisée peuvent être présentés au système, tout en isolant physiquement le port USB contre les attaques liées au media USB.

Les systèmes Legacy obsolètes représentent une menace avérée pour toute l’infrastructure OT. Ces équipements, qui tournent sur des systèmes d’exploitation obsolètes comme Windows XP ou sur des OS propriétaires verrouillés, ne peuvent plus bénéficier de mises à jour de sécurité ou accueillir un logiciel de protection. Seclab Xport permet d’isoler ces machines, tout en maintenant les échanges de fichiers avec l’extérieur.

Seclab Xport impose la conformité à la politique de sécurité USB quel que soit l’utilisateur, technicien interne ou sous-traitant externe. Le dispositif matériel ne laisse passer que les fichiers conformes, sans dépendre de la sensibilisation ou de la bonne volonté individuelle.

Configuré en mode sortie seule, Seclab Xport autorise uniquement l’extraction de données depuis le système protégé vers le support USB, empêchant toute écriture de fichier sur le système dans le sens inverse.

En complément d’un Seclab Xchange sur le chemin réseau principal, Seclab Xport constitue la voie de secours. En cas de défaillance réseau, les échanges basculent sur la voie USB avec le même niveau de sécurité électronique. Le basculement ne dégrade pas le niveau de confiance.

En complément d’un Seclab Xchange sur le chemin réseau principal, Seclab Xport constitue la voie de secours. Secure Xport peut être utilisé pour assurer la sécurité des échanges de fichier via USB en cas de défaillance réseau. Le basculement ne dégrade pas le niveau de confiance et la continuité d’activité est préservée.

Dans les environnements volontairement isolés du réseau (air gap), les supports USB sont souvent le seul moyen d’échange de données. Seclab Xport isole physiquement et protège le seul point d’entrée restant, tout en fonctionnant de manière autonome, sans connectivité réseau.

Seclab Xport répond directement aux exigences de contrôle des supports amovibles prescrites par les principaux référentiels de cybersécurité OT.

NERC CIP : contrôles stricts sur les supports amovibles dans les environnements de contrôle industriel du secteur de l’énergie.

IEC 62443 : isolation physique du port USB, contrôle par signature cryptographique, blocage des menaces avancées et application du principe de moindre privilège sur les échanges USB.

NIST 800-53 : restriction des types de fichiers autorisés, contrôle de direction des transferts et protection contre les menaces introduites par support amovible.

NIST 800-82 : sécurité des systèmes de contrôle industriel : contrôles sur l’utilisation des supports amovibles, implémentés de manière matérielle et non contournable.

Protégez dès à présent ce qui est vital pour votre activité

COMPARATIF

Alternative matérielle aux solutions de sécurité USB

Capacités opérationnelles Station de sanitisation USB seule Désactivation logicielle (DLP/GPO) Antivirus sur poste Seclab Xport
Isolation physique du port USB Non Non Non Oui
Protection contre les attaques USB Non Partiel Non Oui
Protection boot sector Non Oui Partiel Oui
Garantie fichier analysé avant usage Non Non Non Oui (signature crypto)
Absence d’installation sur le système hôte Oui Non Non Oui
Protection des systèmes legacy Partiel Non Non Oui
Opérations USB légitimes préservées Oui Non Oui Oui
Non contournable par logiciel malveillant Non Non Non Oui
Contrôle de direction (entrée / sortie) Non Partiel Non Oui
Analyse anti-malware dans les fichiers Oui Partiel Oui Non (délégué en amont)
Contournement par l’utilisateur Non Non Non Oui
Filtrage des extensions de fichier non autorisées Oui Non Oui Oui

RESSOURCES ADDITIONNELLES

Lien vers la fiche produit de Seclab Xport pour la protection USB OT

Fiche produit

Seclab Xport

Lien vers le livre blanc sur l'isolation réseau OT

Livre blanc

Principe d'isolation électronique

Lien vers l'article de blog sur la technologie Electronic AirGap

Article

Technologie Electronic AirGap

Votre environnement OT mérite une sécurité en profondeur

> Pour l’isolation physique des réseaux OT, découvrez Seclab Xchange.

> Pour la découverte de votre infrastructure OT et la détection des menaces ou anomalies, découvrez Seclab Xplore.

> Les produits Xchange, Xport et Xplore font partie de la plateforme Seclab Xcore, pour une confiance pérenne dans la cybersécurité des environnements opérationnels et industriels.

> Découvrez Seclab Xcore Platform, la plateforme de cybersécurité pensée par l’OT pour l’OT.

Protégez dès à présent ce qui est vital pour votre entreprise.

Questions fréquentes

Qu’est-ce que l’isolation électronique du port USB par Electronic AirGap?2026-03-27T10:09:18+01:00

L’Electronic AirGap USB est un dispositif matériel breveté par Seclab qui crée une rupture physique totale entre un périphérique USB et le système protégé. Le périphérique n’est jamais connecté au port du système critique — la sécurité repose sur l’électronique, pas sur du logiciel.

Un principe fondamental : le périphérique ne touche jamais le système

Contrairement à une désactivation logicielle du port USB (GPO, agent endpoint), Seclab Xport s’interpose physiquement entre le périphérique et le système hôte. Le périphérique USB est connecté au dispositif Seclab, qui analyse et filtre les fichiers selon la politique de sécurité définie. Le système protégé interagit uniquement avec une clé USB virtuelle présentée par Xport, contenant exclusivement les fichiers autorisés.

Pourquoi l’isolation physique surpasse le contrôle logiciel

Un contrôle logiciel (antivirus, agent USB, whitelist applicative) peut être contourné, désactivé ou rendu obsolète par une vulnérabilité zero-day. L’isolation physique élimine ces risques par conception : aucune communication directe n’est possible entre le périphérique et le système, quel que soit l’état du logiciel côté hôte. La protection ne se dégrade pas avec le temps et ne dépend d’aucune mise à jour.

À retenir — Seclab Xport assure une isolation électronique du port USB : le périphérique n’a jamais accès au système protégé. Seuls les fichiers autorisés par la politique de sécurité sont présentés au système via une clé USB virtuelle.

Comment Seclab Xport protège-t-il contre les attaques BadUSB ?2026-03-27T10:08:45+01:00

Seclab Xport neutralise les attaques BadUSB par conception. Le périphérique malveillant n’ayant aucun accès direct au port du système protégé, l’attaque est rendue physiquement inopérante — quelle que soit la sophistication du firmware compromis.

Qu’est-ce qu’une attaque BadUSB ?

Une attaque BadUSB exploite le firmware d’un périphérique USB pour le transformer en dispositif malveillant : simulation de clavier pour injecter des commandes, émulation d’interface réseau pour intercepter le trafic, exécution de code arbitraire. Ces attaques agissent au niveau du protocole USB, en dessous de la couche fichier. Elles sont indétectables par les antivirus et les stations d’analyse de fichiers, car aucun fichier malveillant n’est impliqué.

Pourquoi l’isolation électronique est la seule parade fiable

Les solutions logicielles (whitelisting de périphériques, filtrage par classe USB) reposent sur des informations déclarées par le périphérique lui-même — des informations qu’un firmware compromis peut falsifier. Seclab Xport adopte une approche radicalement différente : le périphérique est connecté au dispositif Seclab, jamais au système cible. Le système ne voit qu’une clé USB virtuelle présentée par Xport. Aucune émulation de clavier, d’interface réseau ou d’autre classe USB ne peut atteindre le système protégé, car la rupture physique empêche toute communication directe.

À retenir — Les attaques BadUSB sont indétectables par les antivirus car elles exploitent le firmware, pas les fichiers. L’isolation électronique par Seclab Xport est la seule parade qui les neutralise par conception, en supprimant tout accès direct du périphérique au système.

Faut-il installer un logiciel ou un driver pour l’isolation USB par Electronic AirGap ?2026-03-27T10:08:13+01:00

Non, aucune installation n’est nécessaire. Le système protégé voit Seclab Xport comme une simple clé USB standard. Aucun logiciel, aucun driver, aucune modification du système hôte ne sont requis.

Plug & Play sur tous les OS, y compris les systèmes legacy

Seclab Xport fonctionne nativement sur Windows, Linux et macOS, sans configuration côté hôte. Il est également compatible avec les systèmes legacy verrouillés — Windows XP, OS propriétaires industriels — sur lesquels l’installation d’un agent ou d’un driver est impossible ou interdite. C’est un avantage décisif en environnement OT, où les systèmes critiques tournent souvent sur des OS obsolètes mais non remplaçables.

Une sécurité qui ne se dégrade pas avec le temps

La protection étant assurée par le matériel (rupture physique + contrôle d’accès électronique), elle ne dépend ni de mises à jour de signatures, ni de correctifs logiciels, ni de la maintenance du système hôte. Un Seclab Xport déployé aujourd’hui offre le même niveau de protection dans cinq ou dix ans, sans intervention.

À retenir — Zéro installation, zéro driver, zéro modification du système hôte. Seclab Xport fonctionne en Plug & Play sur Windows, Linux, macOS et les systèmes legacy verrouillés. La protection matérielle ne se dégrade pas avec le temps.

Comment fonctionne l’interopérabilité entre les stations TYREX et Seclab Xport?2026-03-27T10:07:31+01:00

L’interopérabilité repose sur un mécanisme de signature cryptographique : la station TYREX analyse et signe les fichiers sains, Seclab Xport vérifie cette signature et n’autorise le passage que des fichiers validés. Un fichier non signé ou modifié après analyse est systématiquement refusé.

Le mécanisme de signature en détail

Lorsqu’un fichier passe par une station TYREX (ou par un autre Seclab Xport en mode transfert de fichiers), il est analysé puis signé cryptographiquement. Ce fichier de signature atteste que le fichier d’origine a été contrôlé et jugé sain à un instant donné. Seclab Xport reconnaît cette signature et autorise le transfert vers le système protégé. Tout fichier dépourvu de signature — qu’il ait été ajouté après l’analyse ou qu’il n’ait jamais transité par la station — est refusé.

Transparence pour le système hôte

Le dispositif retire le fichier de signature avant de présenter le fichier d’origine au système hôte, assurant une compatibilité native avec les applications industrielles.

À retenir — TYREX analyse et signe, Xport vérifie et autorise. Les fichiers non signés sont refusés. La signature est supprimée avant présentation au système hôte, garantissant une compatibilité native avec les applications industrielles.

Comment l’isolation USB contribue-t-elle à la conformité IEC 62443 et NERC CIP ?2026-03-27T10:07:04+01:00

Seclab Xport répond aux exigences de contrôle des supports amovibles imposées par IEC 62443 et NERC CIP grâce à une isolation électronique du port USB, un contrôle d’accès matériel non contournable et des preuves d’audit intégrées.

Conformité IEC 62443 : contrôle des supports amovibles

La norme IEC 62443 identifie les supports amovibles comme vecteur d’attaque potentiel dans les environnements industriels. Elle exige un contrôle strict de leur utilisation, incluant la restriction des types de fichiers autorisés, le contrôle d’accès aux ports et l’application du principe de moindre privilège. Seclab Xport y répond par :
  • Isolation physique du port USB : le périphérique n’a aucun accès direct au système.
  • Contrôle d’accès par signature cryptographique : seuls les fichiers validés en amont transitent.
  • Blocage des attaques protocolaires (BadUSB) : neutralisées par la rupture physique.
  • Principe de moindre privilège : seuls les types de fichiers et les directions de transfert explicitement autorisés sont acceptés.

Conformité NERC CIP : isolation matérielle et auditabilité

Pour les opérateurs d’infrastructures électriques soumis à NERC CIP, Seclab Xport fournit un mécanisme matériel d’isolation et de contrôle d’accès non contournable — y compris par un utilisateur disposant de privilèges administrateur. Le dispositif produit des traces auditables de chaque transfert (fichier autorisé, fichier refusé, horodatage, identité du périphérique), exploitables pour démontrer la conformité lors des audits réglementaires.

À retenir — Seclab Xport couvre les exigences IEC 62443 et NERC CIP sur les supports amovibles : isolation physique, contrôle d’accès matériel, blocage BadUSB, moindre privilège et traçabilité d’audit complète.

Comment sécuriser efficacement les infrastructures OT face aux menaces USB ?2026-03-27T10:06:28+01:00

La sécurisation des ports USB en environnement OT repose sur trois étapes : cartographier les actifs et identifier la présence des ports USB, isoler physiquement les ports critiques, puis surveiller en continu les écarts et anomalies. Cette démarche progressive permet de monter en maturité sans compromettre la disponibilité.

Étape 1 — Cartographier les actifs et les ports (visibilité)

On ne protège que ce que l’on connaît. Seclab Xplore cartographie les actifs connectés et identifie les ports USB disponibles. Cette visibilité permet d’identifier les systèmes critiques disposant de ports USB exposés et de prioriser les actions de protection.

Étape 2 — Isoler les ports USB critiques (protection)

Une fois les actifs sensibles identifiés, Seclab Xport est déployé sur les systèmes les plus critiques. L’isolation physique du port USB ferme la boucle de confiance avec les solutions de décontamination en amont, comme les stations TYREX : seuls les fichiers analysés et signés cryptographiquement atteignent le système protégé. Les attaques BadUSB sont neutralisées par conception.

Étape 3 — Détecter en continu les écarts (surveillance)

Seclab Xplore assure une surveillance continue de l’environnement : détection de nouveaux actifs, de nouveaux ports, comportements inhabituels. En OT, les changements réseau et système sont peu fréquents — l’approche par détection des écarts est plus efficace et génère moins de faux positifs que la recherche exhaustive de menaces. Xplore peut également détecter si des machines ont été connectées à des périphériques USB qui ne sont pas des Seclab Xport

Cette approche par étapes, portée par la plateforme Seclab Xcore Platform (Xplore pour la découverte et la détection, Xchange pour l’isolation réseau, Xport pour la protection USB), permet de monter en maturité cyber progressivement, en respectant les contraintes opérationnelles de chaque environnement industriel.

À retenir — Sécuriser les ports USB en OT : détecter les ports (Xplore), isoler physiquement (Xport + TYREX), surveiller les écarts (Xplore). Cette démarche progressive portée par Seclab Xcore Platform respecte les contraintes de disponibilité industrielle.

Solutions

Partenaires

Ressources

Contact

Siège social
205 impasse John Locke
34470 Perols
France

Bureaux Parisiens
Liberty Tower
17 place des reflets
92400 Courbevoie
France

Atelier 42

© Seclab. 2026

Siège social
205 impasse John Locke
34470 Perols
France

Bureaux Parisiens :
Liberty Tower
17 place des reflets
92400 Courbevoie

Siège social
205 impasse John Locke
34470 Perols
France

Bureaux Parisiens :
Liberty Tower
17 place des reflets
92400 Courbevoie

Atelier 42

© Seclab. 2026

Go to Top