Pourquoi ce sujet m'est cher

Sur le terrain, j'ai vu trop d'installations industrielles où un routeur mal configuré devient la porte d'entrée d'une compromission étendue. Les routeurs Moxa sont largement utilisés en OT pour leur robustesse et leurs fonctionnalités, y compris le support VPN — ce qui en fait une cible intéressante pour des attaques si on néglige la sécurisation. Dans cet article, je partage une démarche concrète et pragmatique pour sécuriser un routeur industriel Moxa sur site OT et éviter qu'une connexion VPN distante ne devienne un vecteur d'intrusion.

Comprendre le risque : pourquoi un VPN peut être dangereux

Un VPN est souvent perçu comme la solution magique pour accéder à distance aux équipements industriels. Pourtant, mal configuré, il donne un accès au réseau OT quasi complet. Les risques principaux que j'ai rencontrés :

  • authentification faible (mots de passe par défaut ou faciles),
  • accès à des segments sensibles sans segmentation réseau,
  • services d'administration exposés (web management, SSH) sans restrictions d'origine,
  • firmware obsolète avec vulnérabilités connues,
  • mauvaise visibilité et journalisation insuffisante pour détecter une compromission.

    • Principes de base avant toute configuration

    Avant de toucher aux paramètres VPN, je recommande de valider ces points :

  • Inventaire : connaître précisément les modèles Moxa présents, leur version de firmware et les services activés.
  • Accès physique : protéger l'accès local au routeur (verrou, armoire sécurisée).
  • Sauvegarde : exporter la configuration actuelle et conserver un plan de restauration.
  • Maintenance : planifier les fenêtres de test pour appliquer mises à jour et modifications.

    • Configuration VPN recommandée pour un routeur Moxa

    Voici les mesures concrètes que j'applique systématiquement.

  • Privilégier les VPN basés sur certificats plutôt que sur simples mots de passe. OpenVPN ou IPsec avec authentification par certificats évite la réutilisation et le phishing des identifiants.
  • Mode tunnel minimal : n'ouvrir que les routes nécessaires vers des adresses IP/ports spécifiques (principe du moindre privilège). Évitez le "full-tunnel" qui ramène tout le trafic distant vers l'OT.
  • Filtrage d'accès par IP source : limiter les adresses publiques autorisées à établir le VPN (IP allowlist), si possible via un saut VPN concentrateur ou une appliance d'accès à distance sécurisée.
  • Durée de session et réauthentification : configurer des timeouts courts et exiger une réauthentification périodique.
  • Contrôler le split-tunneling : décider explicitement si certaines ressources cloud doivent transiter hors du tunnel pour éviter des exfiltrations involontaires.

    • Gestion des comptes et authentification

    Les comptes locaux sur routeurs sont une faiblesse fréquente.

  • Supprimer ou désactiver les comptes par défaut.
  • Utiliser des mots de passe complexes et uniques, gérés via un gestionnaire de mots de passe industriel ou une solution PAM (Privileged Access Management).
  • Activer l'authentification multifactorielle si le routeur/support le permet ou, mieux, intégrer l'authentification via un serveur RADIUS/LDAP avec MFA en front.
  • Limiter l'accès administratif à des plages IP précises (par exemple, uniquement depuis le réseau de supervision ou via un bastion).

    • Sécuriser les services d'administration

    Les interfaces web et SSH du Moxa doivent être verrouillées.

  • Changer les ports par défaut (sans se reposer uniquement sur l'obscurité).
  • Forcer l'usage d'HTTPS et installer un certificat signé (éviter les certificats auto-signés si possible).
  • Désactiver les services inutiles (Telnet, FTP, SNMP v1/v2 non sécurisés).
  • Restreindre l'accès SSH à des clés publiques plutôt qu'à des mots de passe, et n'autoriser que les algorithmes modernes (désactiver les anciennes ciphers).

    • Hardening du firmware et patch management

    Un firmware obsolète est une faille courante.

  • Maintenir une politique de gestion des correctifs : vérifier régulièrement les bulletins de sécurité Moxa et appliquer les patchs testés en pré-production.
  • Vérifier l'intégrité des images avant mise à jour (empreintes, sources officielles).
  • Documenter et versionner chaque mise à jour.

    • Segmentation réseau et modèle Zero Trust OT

    La segmentation est la meilleure barrière après l'authentification.

  • Mettre les routeurs VPN dans une DMZ dédiée, séparée du cœur OT.
  • Utiliser des VLANs et des ACLs pour limiter strictement les flux entre segments.
  • Appliquer le principe "micro-segmentation" pour que chaque machine ou cellule n'accepte que les flux indispensables.

    • Surveillance, journalisation et détection

    Sans visibilité, une compromission peut durer des mois.

  • Activer la journalisation complète des connexions VPN et des événements d'administration.
  • Centraliser les logs vers un SIEM ou un serveur sécurisé pour corrélation.
  • Mettre en place des alertes sur comportements anormaux : connexions en dehors des heures, brute force, transferts massifs.
  • Compléter avec des sondes réseau/IDS (Suricata, Zeek) adaptées à l'OT pour détecter les patterns malicieux.

    • Tests et validation

    Après configuration, j'exécute ces vérifications :

  • Test d'accès distant avec les profils d'utilisateur réels.
  • Scan de ports depuis l'extérieur pour s'assurer que seuls les services attendus sont visibles.
  • Tests de résilience : coupure du VPN, basculement, restauration de configuration depuis sauvegarde.
  • Audit périodique (internes ou externes) pour vérifier la conformité aux politiques de sécurité.

    • Bonnes pratiques opérationnelles

    Quelques règles opérationnelles que j'impose sur les sites :

  • Journaliser et réviser les sessions d'accès privilégiées.
  • Rotations régulières des clés et certificats.
  • Procédures claires pour l'accès d'urgence (bypass) avec approbation et journalisation.
  • Former les opérateurs à reconnaître tentatives de phishing et bonnes pratiques VPN.

    • Comparatif rapide des méthodes d'authentification

    Méthode Sécurité Complexité de mise en œuvre
    Mot de passe Moyenne (risque d'attaque par force brute, réutilisation) Faible
    Clés SSH / Certificats Élevée (si gestion correcte des clés) Moyenne
    RADIUS/LDAP + MFA Très élevée (centralisé, MFA possible) Élevée

    En pratique, pour un routeur Moxa en environnement OT, je recommande la combinaison suivante : certificats pour le VPN, intégration RADIUS/LDAP pour l'administration si possible, et MFA côté serveur d'authentification. Croiser plusieurs contrôles prévient les erreurs humaines et les attaques opportunistes.

    Si vous souhaitez, je peux vous fournir une checklist opérationnelle prête à l'emploi pour auditer un routeur Moxa sur site, ou un exemple de configuration OpenVPN/IPsec adapté aux modèles Moxa courants. Sur des projets concrets, j'accompagne aussi la mise en place d'un bastion d'accès (jump server) et l'intégration avec des solutions PAM pour sécuriser les accès distants à l'OT.