Le Modèle Purdue constitue depuis plus de trente ans le cadre architectural de référence pour organiser et sécuriser les systèmes de contrôle industriels (ICS). Conçu à l’origine pour structurer les flux d’information entre les différentes couches d’une installation industrielle, il est aujourd’hui au cœur des stratégies de cybersécurité OT (Operational Technology) dans le monde entier.
Face à l’explosion des cyberattaques ciblant les infrastructures critiques — en hausse de 110% entre 2020 et 2023 selon Dragos (source : Dragos, 2023) — et à l’entrée en vigueur de réglementations européennes majeures comme la directive NIS 2, le Cyber Resilience Act et le Règlement Machine, la maîtrise du Modèle Purdue devient un impératif pour les industriels français et européens. L’ANSSI y fait référence dans ses guides de sécurisation des systèmes industriels comme architecture de segmentation reconnue (source : ANSSI, Guide de la sécurité des systèmes industriels, 2022).
Pourtant, l’essor de l’Industrie 4.0, de l’IIoT (Industrial Internet of Things) et de la convergence IT/OT bouscule les certitudes. Le modèle originel, pensé avant l’ère de la connectivité généralisée, doit aujourd’hui être interprété et adapté. Comprendre ses fondements, ses forces et ses limites est essentiel pour construire une architecture de sécurité industrielle robuste et conforme aux exigences réglementaires actuelles.
Cet article propose une présentation approfondie du Modèle Purdue : son histoire, son architecture détaillée, ses applications pratiques, ses limites face aux nouveaux usages, et son articulation avec les référentiels normatifs et réglementaires qui structurent la cybersécurité industrielle en France et dans l’Union européenne.
- Qu'est-ce que le Modèle Purdue ?
- Quelle est l'architecture du Modèle Purdue ? Les niveaux 0 à 5 et la DMZ industrielle
- Pourquoi la segmentation Purdue protège-t-elle mieux les installations industrielles ?
- Modèle Purdue en pratique : cas d'usage sectoriels
- Quelles sont les limites du Modèle Purdue face à l'Industrie 4.0 ?
- Comment le Modèle Purdue s'articule-t-il avec ISA/IEC 62443, ISO/IEC 27001 et les réglementations européennes ?
- Checklist opérationnelle : 10 actions pour implémenter le Modèle Purdue
- FAQ
- Conclusion
- Pour aller plus loin
Qu’est-ce que le Modèle Purdue ?
Origine et contexte historique
Le Modèle Purdue, officiellement désigné Purdue Enterprise Reference Architecture (PERA), a été développé à la fin des années 1980 et au début des années 1990 par Theodore J. Williams et les membres de l’Industry-Purdue University Consortium for Computer Integrated Manufacturing, un consortium réunissant dix grandes entreprises industrielles et informatiques autour du laboratoire de contrôle industriel de l’Université Purdue dans l’Indiana (États-Unis) (source : Purdue University Consortium, 1992).
Les travaux débutent formellement en 1989 avec la création du consortium, puis sont formalisés lors du Purdue Workshop on Enterprise Integration de 1992. Cette même année paraît l’ouvrage de référence de Williams : The Purdue Enterprise Reference Architecture: A Technical Guide for CIM Planning and Implementation, publié par l’Instrument Society of America (source : Williams, T.J., ISA, 1992).
À l’époque, l’industrie manufacturière amorce sa transformation numérique. Les automates programmables industriels (API) se généralisent dans les ateliers de production, mais leur intégration avec les systèmes de gestion d’entreprise reste fragmentée et non standardisée. Le modèle répond à ce besoin en proposant une hiérarchie fonctionnelle claire, organisée en niveaux distincts, qui structure les systèmes industriels depuis les équipements de terrain jusqu’aux applications de gestion d’entreprise.
Il est ensuite adopté par le comité ISA99 de l’International Society of Automation — créé en 2002 — comme cadre conceptuel de la série de normes ISA/IEC 62443, devenue le référentiel international de la cybersécurité des systèmes d’automatisation et de contrôle industriels (IACS) (source : Wikipedia, IEC 62443, 2025).
Définition et objectifs fondamentaux
Le Modèle Purdue est une architecture de référence hiérarchique qui organise les composants d’un système industriel en niveaux fonctionnels distincts, chacun ayant des responsabilités, des équipements, des protocoles et des exigences de sécurité spécifiques.
Son objectif originel est double. D’une part, structurer les flux d’information entre les différentes couches de l’entreprise industrielle — de la machine à l’ERP — afin d’optimiser la production et la prise de décision. D’autre part, créer des frontières claires entre ces couches, permettant de contrôler précisément quelles données transitent d’un niveau à l’autre.
Il est important de souligner que le Modèle Purdue n’a pas été conçu initialement à des fins de sécurité : son objectif premier était l’intégration fonctionnelle du Computer Integrated Manufacturing (CIM). C’est la communauté de la cybersécurité industrielle qui a progressivement reconnu dans ses principes de cloisonnement hiérarchique une base solide pour la défense en profondeur et la segmentation réseau IT/OT (source : Forescout, 2025 ; SANS Institute, 2021).
Quelle est l’architecture du Modèle Purdue ? Les niveaux 0 à 5 et la DMZ industrielle
Niveau 0 — Le terrain : capteurs et actionneurs
Le niveau 0 représente la couche la plus basse du modèle : celle du procédé physique lui-même. Il regroupe tous les équipements qui interagissent directement avec le monde physique : capteurs (température, pression, débit, position), actionneurs (vannes, moteurs, vérins), analyseurs en ligne et transmetteurs.
Ces équipements ne disposent généralement d’aucune intelligence embarquée autonome. Ils produisent ou reçoivent des signaux physiques — analogiques (4-20 mA, 0-10 V) ou numériques — qui remontent vers le niveau 1 pour être interprétés et traités.
Du point de vue de la cybersécurité OT, le niveau 0 constitue un angle mort historique : les capteurs et actionneurs traditionnels ne disposent d’aucun mécanisme d’authentification ni de chiffrement. Avec l’essor des dispositifs IoT industriels (IIoT), ces équipements acquièrent des capacités de communication IP, élargissant significativement la surface d’attaque. L’ENISA estime que 60% des dispositifs IoT industriels présentent au moins une vulnérabilité critique non corrigée (source : ENISA, 2023).
Niveau 1 — Le contrôle des procédés : PLC, DCS, RTU
Le niveau 1 est la couche de contrôle-commande : c’est ici que résident les cerveaux de l’installation industrielle. On y trouve les automates programmables industriels (API ou PLC — Programmable Logic Controller), les systèmes numériques de contrôle-commande (SNCC ou DCS — Distributed Control System) et les unités terminales distantes (UTD ou RTU — Remote Terminal Unit).
Ces équipements exécutent en temps réel les programmes de contrôle qui pilotent les processus physiques du niveau 0. Ils collectent les mesures des capteurs, les comparent aux consignes définies par les opérateurs, et envoient les ordres correspondants aux actionneurs.
Le niveau 1 est soumis à des contraintes de déterminisme et de disponibilité absolues : un automate doit répondre dans des délais garantis, souvent de l’ordre de la milliseconde. Cette contrainte rend l’application des mesures de sécurité IT classiques particulièrement délicate. En Europe, 65% des automates industriels utilisent des systèmes ne bénéficiant plus de support sécuritaire (source : ANSSI, 2022), exposant ce niveau à des vulnérabilités non corrigées durables.
Niveau 2 — La supervision : SCADA et HMI
Le niveau 2 est celui de la supervision des processus industriels. Il regroupe les systèmes SCADA (Supervisory Control and Data Acquisition), les interfaces homme-machine (IHM ou HMI — Human-Machine Interface), les serveurs d’historisation (historians) et les postes de supervision.
Ces systèmes offrent aux opérateurs une vision en temps réel de l’état de l’installation, permettant de visualiser, surveiller et, dans certains cas, contrôler manuellement les processus. Ils collectent les données des niveaux 0 et 1, les stockent et les présentent sous forme de synoptiques, courbes de tendance et alarmes.
Le niveau 2 constitue souvent un point d’entrée privilégié des cyberattaques ciblant l’OT : les postes de supervision fonctionnent fréquemment sous des systèmes d’exploitation Windows, sont accessibles depuis le réseau d’entreprise pour la maintenance à distance, et s’appuient sur des protocoles industriels historiquement non sécurisés. Le malware Industroyer (aussi désigné CRASHOVERRIDE), utilisé lors de l’attaque contre le réseau électrique ukrainien en décembre 2016, était précisément conçu pour envoyer des commandes directement via des protocoles de communication ICS (IEC 104, IEC 61850, OPC DA) afin de contrôler des équipements de sous-stations électriques (source : ESET, 2017 ; Dragos, 2017).
Niveau 3 — La gestion de production : MES et historians
Le niveau 3 assure la gestion des opérations de production. Il héberge les systèmes d’exécution de la fabrication (MES — Manufacturing Execution System), les serveurs d’historians de site, les outils de planification de production et les systèmes de gestion de la qualité.
Ce niveau fait la jonction entre la réalité opérationnelle des niveaux inférieurs — les données brutes de production — et les besoins de pilotage de l’entreprise exprimés par les niveaux supérieurs. Il traduit les ordres de fabrication en instructions pour les systèmes de contrôle, et remonte vers l’ERP les indicateurs de performance (OEE, taux de rebuts, consommations).
Du point de vue de la sécurité, le niveau 3 est une zone de tension : il doit communiquer vers le bas (avec les niveaux 1 et 2) et vers le haut (avec le réseau d’entreprise), ce qui en fait un point de transit critique. Sans cloisonnement rigoureux, une compromission du réseau IT peut se propager directement jusqu’aux automates via le niveau 3.
La DMZ industrielle (niveau 3,5) : la zone tampon critique
La DMZ industrielle — parfois désignée niveau 3,5, IDMZ (Industrial DMZ) ou zone tampon — n’est pas présente dans le modèle originel de Williams. Elle a été ajoutée progressivement par la communauté des praticiens de la cybersécurité industrielle, en réponse à la nécessité de contrôler les échanges entre le domaine OT et le domaine IT. Sa représentation graphique entre les niveaux 3 et 4 a été popularisée notamment par le SANS Institute dans ses formations sur la sécurité ICS (source : SANS Institute, 2021).
La DMZ industrielle est une zone intermédiaire, isolée des réseaux OT (niveaux 0 à 3) et IT (niveaux 4 et 5) par des pare-feux industriels ou des diodes réseau. Elle héberge les équipements qui nécessitent de communiquer avec les deux univers : serveurs de saut (jump servers), passerelles protocolaires, serveurs de fichiers partagés, systèmes de gestion des correctifs pour l’OT, et éventuellement les solutions de monitoring OT ou de détection d’intrusion (IDS industriel).
Son rôle est fondamental : aucun flux direct ne doit traverser la frontière entre le réseau OT et le réseau IT sans transiter par cette zone tampon. C’est le principe du « never directly connect IT to OT », universellement reconnu comme bonne pratique par l’ANSSI dans ses guides de sécurité des systèmes industriels (source : ANSSI, 2022).
Niveaux 4 et 5 — Le réseau d’entreprise : ERP et IT
Les niveaux 4 et 5 constituent le domaine de l’informatique de gestion (IT). Le niveau 4 regroupe les serveurs d’entreprise — ERP (Enterprise Resource Planning), outils de business intelligence, systèmes de supply chain management — qui exploitent les données remontées depuis la production pour la planification et la gestion globale de l’entreprise.
Le niveau 5 représente le réseau d’entreprise étendu : accès à Internet, messagerie, outils collaboratifs, systèmes de gestion clients (CRM) et, pour les groupes industriels, les interconnexions entre sites et filiales.
Ces niveaux sont soumis aux pratiques de sécurité IT traditionnelles, mais leur connexion — même indirecte — avec les niveaux OT constitue le principal vecteur de propagation des cyberattaques vers les systèmes industriels. Selon Dragos, 73% des incidents OT ont débuté par une compromission IT (source : Dragos, 2023). En mai 2017, le ransomware WannaCry a contraint Renault à suspendre la production dans plusieurs de ses usines en France (notamment Flins et Douai) après avoir infecté des systèmes Windows interconnectés avec l’environnement industriel (source : NBC News, 2017). Le cloisonnement strict entre les niveaux IT et OT, via la DMZ industrielle, est donc une priorité absolue.
Tableau récapitulatif des niveaux du Modèle Purdue
| Niveau | Nom | Équipements types | Protocoles courants | Priorité sécurité |
| 0 | Terrain / Procédé | Capteurs, actionneurs, transmetteurs | Signaux 4-20 mA, HART, IO-Link | Disponibilité, sûreté |
| 1 | Contrôle des procédés | PLC, DCS, RTU, SIS | Modbus, Profibus, HART, propriétaires | Disponibilité, déterminisme |
| 2 | Supervision | SCADA, HMI, historians | Modbus TCP, OPC DA, DNP3 | Disponibilité, intégrité |
| 3 | Gestion de production | MES, planification, qualité | OPC UA, SQL, interfaces propriétaires | Intégrité, disponibilité |
| 3,5 | DMZ industrielle | Jump servers, passerelles, IDS OT | Filtrage strict, protocoles sécurisés | Contrôle des flux, cloisonnement |
| 4 | Gestion d’entreprise | ERP, BI, supply chain | Protocoles IT standards, HTTPS | Confidentialité, intégrité |
| 5 | Réseau d’entreprise | Internet, messagerie, CRM | TCP/IP, HTTPS, TLS | Confidentialité, disponibilité |
Pourquoi la segmentation Purdue protège-t-elle mieux les installations industrielles ?
Défense en profondeur et cloisonnement des zones
Le principe fondamental du Modèle Purdue appliqué à la cybersécurité industrielle est celui de la défense en profondeur (defense-in-depth) : aucune mesure de sécurité unique n’est suffisante, et la compromission d’une couche ne doit pas entraîner la compromission de l’ensemble du système.
En organisant les équipements en niveaux fonctionnels distincts avec des points de contrôle entre chaque niveau, le modèle impose un chemin obligatoire pour toute communication. Un attaquant ayant compromis le réseau d’entreprise (niveaux 4-5) ne peut atteindre les automates (niveau 1) sans franchir successivement la DMZ industrielle, le niveau 3 et le niveau 2 — chaque franchissement requérant de surmonter des contrôles de sécurité supplémentaires.
Cette architecture de zones et conduits — reprise et formalisée par la norme ISA/IEC 62443 — rend les mouvements latéraux des attaquants considérablement plus complexes. Elle offre également du temps de détection : une anomalie dans les flux entre deux niveaux peut être identifiée et bloquée avant que l’attaque n’atteigne les systèmes critiques.
Un cloisonnement rigoureux selon le Modèle Purdue impose des règles strictes entre chaque niveau : flux limités au strict nécessaire, pare-feux industriels comprenant les protocoles OT (Modbus, Profinet, OPC), et journalisation exhaustive de tous les échanges. Le principe du moindre privilège s’applique à chaque interface : un MES n’a pas besoin d’envoyer des ordres directs à un automate ; il communique ses instructions au niveau 3, qui les transmet selon les règles définies.
Réduction de la surface d’attaque OT/IoT
La surface d’attaque d’un système industriel non segmenté est considérable. Sans cloisonnement, l’ensemble des équipements — des capteurs aux serveurs ERP — forment un réseau plat où toute compromission peut se propager librement.
Le Modèle Purdue réduit cette surface d’attaque en rendant les équipements industriels critiques non accessibles directement depuis les réseaux IT ou Internet. Un automate du niveau 1 ne doit avoir aucune communication directe avec le réseau d’entreprise : toute tentative d’accès doit être interceptée par les contrôles des niveaux intermédiaires.
Cette segmentation est particulièrement précieuse pour les équipements legacy — automates, DCS et systèmes SCADA anciens — qui ne peuvent pas être mis à jour pour intégrer des mécanismes de sécurité modernes. En les isolant dans leur zone fonctionnelle avec des contrôles d’accès stricts, le Modèle Purdue permet d’appliquer des mesures compensatoires efficaces sans modifier les équipements eux-mêmes, conformément aux recommandations de la norme ISA/IEC 62443. Ce concept de mesures compensatoires est particulièrement pertinent dans un contexte où la durée de vie des équipements OT s’étend typiquement de 15 à 30 ans (source : ANSSI, 2022).
Modèle Purdue en pratique : cas d’usage sectoriels
Industrie manufacturière et agroalimentaire
Dans une usine de production manufacturière — automobile, électronique, agroalimentaire — l’implémentation du Modèle Purdue se traduit concrètement par une segmentation physique et logique de l’environnement de production.
Au niveau terrain (0-1), les lignes de production automatisées sont organisées en cellules isolées. Chaque cellule dispose de ses propres automates et ne communique avec le niveau supérieur que par des interfaces strictement contrôlées. Dans le secteur agroalimentaire soumis à des exigences de traçabilité réglementaire, le niveau 3 héberge le MES qui enregistre les paramètres de fabrication de chaque lot, accessibles à l’ERP du niveau 4 uniquement via la DMZ industrielle.
La gestion des accès distants pour la maintenance des équipements — un vecteur d’attaque majeur, 47% des compromissions OT en 2022 ayant exploité des accès distants insuffisamment sécurisés (source : Dragos, 2023) — est centralisée dans la DMZ industrielle via un jump server avec authentification multifacteur. Le technicien de maintenance d’un fournisseur d’automates n’accède jamais directement au niveau 1 depuis Internet : il passe nécessairement par ce point de contrôle unique, dont les sessions sont enregistrées et auditables.
Énergie, eau et infrastructures critiques
Dans les infrastructures critiques — centrales de production d’énergie, stations de pompage d’eau, réseaux de distribution — l’application du Modèle Purdue répond à des enjeux de sûreté fonctionnelle (safety) en plus de la cybersécurité.
Les systèmes instrumentés de sécurité (SIS — Safety Instrumented System), qui pilotent les dispositifs d’arrêt d’urgence, sont systématiquement isolés dans une zone dédiée au niveau 1, séparée des automates de production standard. Cette isolation, recommandée par la norme IEC 61511 (sûreté fonctionnelle pour le secteur des procédés), est renforcée par les principes de cloisonnement du Modèle Purdue : tout flux entre le réseau SCADA de supervision et les SIS doit faire l’objet d’un contrôle explicite.
Dans le contexte de la directive NIS 2, les opérateurs de réseaux d’eau et d’énergie qualifiés d’entités essentielles doivent justifier leur architecture de sécurité auprès de l’ANSSI. Le Modèle Purdue, documenté et cartographié par niveaux, constitue un cadre de présentation reconnu qui facilite ces démarches de conformité. Une station de pompage d’eau organisée selon ce modèle peut démontrer que son système SCADA de contrôle des pompes est physiquement et logiquement séparé du réseau de gestion administrative, limitant le risque de propagation d’une compromission administrative vers les équipements de terrain.
Quelles sont les limites du Modèle Purdue face à l’Industrie 4.0 ?
L’impact de la convergence IT/OT et de l’IIoT
Le Modèle Purdue originel a été conçu dans un contexte où les systèmes industriels étaient largement isolés et les communications entre niveaux rares et bien définies. L’Industrie 4.0 remet en question ces fondements : la promesse de la digitalisation industrielle repose précisément sur la fluidité des échanges de données entre tous les niveaux, en temps réel.
L’essor de l’IIoT multiplie les équipements connectés aux niveaux 0 et 1 qui transmettent des données vers des plateformes analytiques hébergées en cloud — c’est-à-dire au-delà du niveau 5. Cette transmission contourne structurellement la logique hiérarchique ascendante du modèle. Selon le World Economic Forum, les entreprises industrielles ayant réussi leur transformation digitale collectent en moyenne 15 fois plus de données que leurs concurrents (source : WEF, 2023), rendant le maintien d’une hiérarchie stricte de plus en plus difficile.
Le concept d’Unified Namespace (UNS) — présenté en détail dans notre article dédié à l’UNS et ses applications aux systèmes industriels — propose une alternative architecturale basée sur le principe publish-subscribe, qui s’écarte de la logique verticale du Modèle Purdue pour offrir plus d’agilité dans les échanges de données. Ces deux approches ne sont pas nécessairement opposées mais doivent être articulées avec soin.
Cloud industriel, accès distants et architectures alternatives
Trois évolutions technologiques majeures fragilisent l’application stricte du Modèle Purdue et imposent des adaptations.
Le cloud industriel permet d’héberger des fonctions autrefois présentes au niveau 3 (MES, historians) dans des environnements cloud publics ou hybrides. Cette délocalisation crée des flux entre le réseau OT et Internet qui n’ont pas de place naturelle dans le modèle originel. Des architectures adaptées, intégrant des passerelles cloud sécurisées dans la DMZ industrielle, permettent de maintenir le cloisonnement tout en bénéficiant des services cloud.
Les accès distants pour la maintenance — nécessité opérationnelle majeure dans un contexte de pénurie de techniciens spécialisés — créent des flux entrants vers les niveaux 1 et 2, en tension avec la logique descendante contrôlée du modèle. Les solutions de type PAM industriel (Privileged Access Management), hébergées dans la DMZ industrielle, permettent de gérer ces accès de manière sécurisée et auditée.
Enfin, le modèle Zero Trust — dont le principe est « ne jamais faire confiance, toujours vérifier » — remet en cause la notion même de zones de confiance sur lesquelles repose le Modèle Purdue. Des architectures Zero Trust OT émergent, qui maintiennent la logique de segmentation par zones tout en ajoutant une couche d’authentification continue et de microsegmentation indépendante de la position réseau. Ces approches ne remplacent pas le modèle mais le complètent.
Ces limites ne signifient pas que le Modèle Purdue est obsolète. Comme le note le SANS Institute : même si ses couches hiérarchiques ne peuvent plus être uniformément appliquées aux architectures modernes, trier les équipements ICS et IT selon ses principes reste une étape fondamentale de la sécurisation des environnements industriels (source : SANS Institute, 2021). Ses principes fondamentaux — segmentation par fonctions, défense en profondeur, contrôle des flux entre zones — sont repris par tous les référentiels normatifs contemporains.
Comment le Modèle Purdue s’articule-t-il avec ISA/IEC 62443, ISO/IEC 27001 et les réglementations européennes ?
ISA/IEC 62443 : la déclinaison normative du Modèle Purdue
La norme ISA/IEC 62443 s’appuie explicitement sur le Modèle Purdue comme cadre de description des flux de données dans les réseaux industriels. Comme le précise la norme ISA/IEC 62443-1-1, le Purdue Reference Model est utilisé pour décrire comment l’information circule à travers les réseaux industriels, en les décomposant en niveaux hiérarchiques distincts selon leur temps de réponse et leur fonction (source : ISA/IEC 62443-1-1, 2007 ; Dragos, 2025).
L’apport majeur de l’ISA/IEC 62443 par rapport au Modèle Purdue originel est le concept de zones et conduits (zones and conduits). Là où le modèle définit des niveaux fonctionnels verticaux, l’ISA/IEC 62443 introduit une segmentation fonctionnelle complémentaire : une même installation peut contenir plusieurs zones au sein d’un même niveau Purdue, chacune regroupant des équipements présentant des exigences de sécurité homogènes. Les conduits sont les chemins de communication contrôlés entre ces zones.
À chaque zone est associé un niveau de sécurité cible (SL-T — Security Level Target), déterminé par une analyse de risques formalisée selon l’ISA/IEC 62443-3-2. Les niveaux vont de SL 1 (protection contre les erreurs non intentionnelles) à SL 4 (protection contre les attaques étatiques). Pour les entités essentielles françaises soumises à la directive NIS 2, l’ENISA recommande un minimum de SL 2 pour les zones de contrôle (source : ENISA, 2023).
Il est important de noter que le Modèle Purdue et l’ISA/IEC 62443 ne sont pas équivalents : le premier est un cadre de référence fonctionnel, le second est un référentiel de sécurité normatif. Ils sont complémentaires : on utilise le Modèle Purdue pour établir la clarté structurelle, puis l’ISA/IEC 62443 pour y appliquer des mesures de sécurité spécifiques via les zones et conduits (source : Forescout, 2025 ; Cisco, 2023).
Complémentarité avec ISO/IEC 27001 pour une gouvernance unifiée IT/OT
La norme ISO/IEC 27001 et le Modèle Purdue opèrent à des niveaux différents mais complémentaires. L’ISO/IEC 27001 est une norme de management applicable à l’ensemble du système d’information de l’organisation — IT et OT confondus. Elle définit le cadre de gouvernance global : politique de sécurité, analyse des risques, gestion des incidents, audits internes.
Le Modèle Purdue, appliqué à travers l’ISA/IEC 62443, fournit le cadre technique et architectural spécifique aux environnements industriels que l’ISO/IEC 27001 ne couvre pas dans le détail. Une organisation industrielle mature articule les deux : ISO/IEC 27001 pour la gouvernance globale de la sécurité de l’information (incluant les niveaux 4 et 5 du modèle), ISA/IEC 62443 pour les exigences techniques spécifiques aux niveaux 0 à 3.
Cette complémentarité est formalisée dans l’ISA/IEC 62443-2-1 (édition 2024), qui inclut un mapping détaillé entre ses exigences et celles de l’ISO/IEC 27001 (source : ISAGCA, 2025). Un industriel certifié ISO/IEC 27001 dispose d’une base solide pour sa démarche ISA/IEC 62443, mais doit compléter celle-ci par les exigences spécifiques OT — notamment la segmentation par zones selon le Modèle Purdue, la gestion des équipements legacy et les protocoles industriels.
NIS 2, Cyber Resilience Act et Règlement Machine : le Modèle Purdue comme réponse réglementaire
Les trois réglementations européennes qui structurent aujourd’hui la cybersécurité des industriels français et européens font toutes référence, directement ou indirectement, aux principes du Modèle Purdue.
La directive NIS 2, applicable depuis octobre 2024, impose aux entités essentielles et importantes des mesures techniques de segmentation des réseaux entre les environnements IT et OT. Son article 21 exige notamment la mise en place de politiques de contrôle d’accès et de segmentation réseau. La segmentation par niveaux du Modèle Purdue, matérialisée par une DMZ industrielle et des pare-feux industriels, constitue une réponse directe à ces obligations. L’ANSSI y fait référence dans ses ressources de mise en conformité NIS 2 pour les opérateurs industriels.
Le Cyber Resilience Act (CRA) cible les fabricants de produits numériques commercialisant dans l’UE. Pour les fabricants d’équipements industriels connectés — automates, DCS, capteurs IIoT — il impose la cybersécurité by design et une gestion continue des vulnérabilités. Ces exigences s’appliquent précisément aux composants des niveaux 0, 1 et 2 du Modèle Purdue. L’ISA/IEC 62443-4-1 (processus de développement sécurisé) et 4-2 (exigences techniques composants) servent de référentiels d’implémentation, le CENELEC travaillant à leur alignement avec le CRA (source : CEN-CENELEC, 2025).
Le Règlement Machine (RM), applicable aux fabricants de machines intégrant des éléments numériques commercialisés dans l’UE, impose la prise en compte de la cybersécurité dans la conception des machines. Pour une machine intégrant un automate, un IHM et une connectivité réseau — typiquement des composants des niveaux 0, 1 et 2 du Modèle Purdue — le fabricant doit démontrer que la conception limite les risques cyber. Le modèle fournit le cadre architectural de référence pour structurer cette démonstration.
| Réglementation | Cible | Lien avec le Modèle Purdue | Référentiel technique associé |
| NIS 2 | Opérateurs de services essentiels / importants | Segmentation IT/OT, DMZ industrielle | ISA/IEC 62443-2-1, -3-2, -3-3 |
| Cyber Resilience Act | Fabricants de produits numériques (UE) | Sécurité by design des composants niveaux 0-2 | ISA/IEC 62443-4-1, -4-2 |
| Règlement Machine | Fabricants de machines avec éléments numériques (UE) | Intégration sécurisée des composants industriels | ISA/IEC 62443-4-2, ISO/IEC 27001 |
Checklist opérationnelle : 10 actions pour implémenter le Modèle Purdue
Chaque action présentée ci-dessous doit faire l’objet d’une analyse de risque préalable spécifique à votre contexte organisationnel, technique et opérationnel. Les mesures de sécurité doivent être proportionnées aux risques identifiés et adaptées aux contraintes de votre environnement industriel.
1. Cartographier exhaustivement vos actifs industriels par niveau Purdue
Identifiez et documentez chaque équipement : capteurs, actionneurs, automates, DCS, HMI, serveurs SCADA, MES, ERP. Assignez chaque actif à son niveau fonctionnel dans le modèle. Cette cartographie est la condition préalable à toute segmentation et constitue également une obligation réglementaire sous NIS 2.
2. Identifier et documenter tous les flux de communication inter-niveaux
Établissez une matrice des flux : qui communique avec qui, sur quel protocole, pour quelle finalité opérationnelle ? Toute communication entre un niveau OT et le réseau IT doit être explicitement justifiée. Cette cartographie révèle souvent des connexions non documentées créant des risques non maîtrisés.
3. Implémenter une DMZ industrielle entre les domaines OT et IT
Déployez une zone tampon physiquement et logiquement isolée des réseaux OT (niveaux 0-3) et IT (niveaux 4-5). Installez des pare-feux industriels capables d’inspecter les protocoles OT en profondeur (Modbus, Profinet, OPC UA). Hébergez dans cette DMZ les équipements nécessitant de communiquer dans les deux directions. Aucun flux direct entre OT et IT ne doit exister en dehors de ce point de contrôle.
4. Appliquer le principe du moindre privilège à chaque interface inter-niveaux
Définissez des règles de filtrage strictes : autorisez uniquement les flux explicitement nécessaires aux opérations, en termes de protocoles, d’adresses sources et destinations, et de ports. Bloquez tout le reste par défaut. En environnement OT, la granularité des règles doit descendre jusqu’au niveau des commandes de protocoles industriels (ex : autoriser la lecture Modbus mais interdire l’écriture).
5. Segmenter les systèmes de sécurité fonctionnelle (SIS) dans une zone dédiée
Les systèmes instrumentés de sécurité (SIS) pilotant les dispositifs d’arrêt d’urgence doivent être isolés des réseaux de contrôle standard, conformément à la norme IEC 61511. Cette isolation est non négociable : toute compromission d’un SIS peut avoir des conséquences physiques graves sur la sécurité des personnes et de l’environnement.
6. Sécuriser les accès distants via la DMZ industrielle
Centralisez tous les accès distants de maintenance dans un jump server ou une solution PAM industrielle hébergée dans la DMZ industrielle. Imposez l’authentification multifacteur pour tout accès aux niveaux OT. Limitez les sessions dans le temps, journalisez-les intégralement et révoquez automatiquement les accès temporaires des prestataires à l’issue de l’intervention. Supprimez tout accès direct non contrôlé (modems, VPN personnels, accès constructeurs oubliés).
7. Appliquer des mesures compensatoires aux équipements legacy non patchables
Pour les automates et systèmes SCADA anciens ne pouvant pas être mis à jour, déployez des mesures compensatoires : renforcement de la segmentation autour de la zone concernée, restriction maximale des accès, déploiement d’une solution de monitoring comportemental, et activation du virtual patching au niveau des pare-feux industriels lorsque disponible.
8. Déployer une solution de visibilité et de détection d’anomalies OT
Installez une plateforme de monitoring passif des réseaux OT, capable d’analyser les protocoles industriels sans perturber les équipements. Configurez des alertes sur les comportements anormaux : nouvelles connexions entre niveaux non attendues, commandes inhabituelles envoyées aux automates, modifications non planifiées de configurations. Cette visibilité est indispensable pour respecter les obligations de détection et de notification d’incidents de la directive NIS 2.
9. Conduire une analyse de risques formalisée par zone fonctionnelle
Pour chaque zone fonctionnelle identifiée, réalisez une analyse de risques selon une méthodologie reconnue (ISA/IEC 62443-3-2, EBIOS Risk Manager). Déterminez le niveau de sécurité cible (SL-T) approprié selon le profil de menace et les conséquences potentielles d’un incident. Documentez les écarts entre la sécurité existante et le niveau cible, et établissez un plan de remédiation priorisé.
10. Intégrer la cybersécurité dans la gestion des changements OT
Toute modification de l’architecture — ajout d’un équipement, création d’un nouveau flux, connexion d’un nouveau prestataire — doit faire l’objet d’une évaluation de son impact sur la segmentation par niveaux. Le Modèle Purdue n’est efficace que si sa cohérence est maintenue dans le temps : un seul flux non contrôlé entre l’IT et l’OT peut compromettre des années d’investissement en segmentation. Formalisez un processus de gestion des changements OT impliquant systématiquement l’équipe de cybersécurité.
FAQ
Qu’est-ce que le Modèle Purdue exactement, et pourquoi est-il important en cybersécurité industrielle ?
Le Modèle Purdue (ou PERA — Purdue Enterprise Reference Architecture) est une architecture de référence hiérarchique développée à l’Université Purdue au début des années 1990 pour organiser les systèmes d’information industriels en niveaux fonctionnels distincts. Il structure les composants d’une installation industrielle — des capteurs de terrain jusqu’aux applications de gestion d’entreprise — en cinq niveaux principaux (0 à 4-5), auxquels la pratique a ajouté une DMZ industrielle entre les domaines OT et IT.
Bien qu’il n’ait pas été conçu initialement pour la sécurité, son importance en cybersécurité industrielle tient à sa logique de cloisonnement : en organisant les équipements en zones séparées avec des points de contrôle aux interfaces, il pose les bases de la défense en profondeur adaptée aux environnements OT. Il constitue aujourd’hui le cadre conceptuel de référence de la norme ISA/IEC 62443 et est cité par l’ANSSI dans ses guides de sécurisation des systèmes industriels.
Quelle est la différence entre le Modèle Purdue et la norme ISA/IEC 62443 ?
Le Modèle Purdue et la norme ISA/IEC 62443 sont complémentaires : le premier est un cadre fonctionnel de description, le second est le référentiel normatif qui y applique des exigences de sécurité. Le modèle originel définit une hiérarchie fonctionnelle verticale en niveaux. L’ISA/IEC 62443 reprend ce cadre et y ajoute le concept de zones et conduits — une segmentation qui peut découper chaque niveau Purdue en plusieurs zones selon les exigences de sécurité — et y associe des niveaux de sécurité (SL 0 à SL 4) déterminés par une analyse de risques.
Comme l’indique la norme elle-même (ISA/IEC 62443-1-1), le Purdue Reference Model est utilisé pour décrire les flux de données dans les réseaux industriels, tandis que les zones et conduits ISA/IEC 62443 en constituent la déclinaison orientée sécurité. En pratique : on utilise le Modèle Purdue pour établir la clarté structurelle, puis l’ISA/IEC 62443 pour y appliquer les mesures de sécurité.
Le Modèle Purdue est-il encore pertinent avec l’Industrie 4.0 ?
Le Modèle Purdue dans sa version originale ne prévoyait pas la connectivité cloud, l’IIoT ou les accès distants généralisés. Ces évolutions créent des flux qui court-circuitent la logique hiérarchique stricte du modèle. Pour autant, ses principes fondamentaux — segmentation par fonctions, défense en profondeur, contrôle des flux entre zones — restent valides et sont repris par tous les référentiels contemporains.
Le SANS Institute précise (2021) que même si ses couches hiérarchiques ne peuvent plus être uniformément appliquées aux architectures modernes, trier les équipements ICS et IT selon ses principes reste une étape fondamentale. La bonne pratique consiste à l’interpréter comme un cadre de référence plutôt qu’un plan rigide. Les connexions cloud, les accès distants et les architectures UNS peuvent s’y intégrer, à condition de maintenir le principe de contrôle explicite de tous les flux aux frontières entre zones fonctionnelles.
Comment le Modèle Purdue aide-t-il à se conformer à la directive NIS 2 ?
La directive NIS 2 impose aux entités essentielles et importantes des mesures de segmentation réseau entre les environnements IT et OT. La segmentation par niveaux du Modèle Purdue, matérialisée par une DMZ industrielle et des pare-feux industriels, constitue une réponse directe à ces obligations.
La cartographie de l’architecture par niveaux Purdue produit la documentation requise pour démontrer la conformité aux autorités de supervision (l’ANSSI en France). Elle structure également l’analyse de risques obligatoire, en fournissant un cadre pour identifier les zones critiques et évaluer les mesures de protection en place. Combinée à l’ISA/IEC 62443, elle facilite les audits de conformité NIS 2.
Qu’est-ce que la DMZ industrielle et pourquoi est-elle indispensable ?
La DMZ industrielle (Industrial DMZ ou IDMZ) est une zone tampon interposée entre le réseau OT (niveaux 0 à 3 du Modèle Purdue) et le réseau IT (niveaux 4 et 5). Elle héberge les équipements nécessitant de communiquer dans les deux directions — jump servers, passerelles protocolaires, systèmes de gestion des correctifs OT — et est protégée de chaque côté par des pare-feux industriels.
Son caractère indispensable tient à un constat documenté : 73% des incidents OT débutent par une compromission IT (source : Dragos, 2023). Sans DMZ industrielle, toute compromission du réseau d’entreprise peut se propager librement jusqu’aux automates de production. La DMZ interpose une barrière de contrôle qui force tout flux entre les deux domaines à transiter par des points vérifiables et auditables. Elle n’est pas présente dans le modèle originel de Williams, mais est aujourd’hui considérée comme un élément indispensable de toute implémentation sécurisée.
Comment gérer les équipements industriels anciens (legacy) dans le cadre du Modèle Purdue ?
Les équipements legacy — automates anciens, systèmes SCADA dépassés, protocoles sans mécanismes de sécurité — représentent un défi majeur : ils ne peuvent souvent pas être mis à jour sans arrêt de production prolongé. La durée de vie des équipements OT s’étendant typiquement de 15 à 30 ans (source : ANSSI, 2022), ce problème est structurel.
Le Modèle Purdue offre une réponse pragmatique : un équipement legacy est isolé dans une zone dédiée avec des règles de filtrage très strictes sur les conduits qui y donnent accès. La segmentation autour de la zone est renforcée. Un monitoring comportemental détecte toute activité anormale. Les accès sont strictement limités et journalisés. Ce concept de mesures compensatoires, formalisé par l’ISA/IEC 62443, permet d’atteindre le niveau de sécurité cible pour la zone, même si l’équipement lui-même ne dispose pas des capacités de sécurité requises.
Le Modèle Purdue s’applique-t-il aux fabricants de machines soumis au Cyber Resilience Act ?
Pour les fabricants de machines intégrant des éléments numériques et commercialisant dans l’UE, le Cyber Resilience Act impose la cybersécurité by design. Bien que le CRA ne cite pas explicitement le Modèle Purdue, ses exigences portent sur les composants des niveaux 0, 1 et 2 du modèle : automates, capteurs connectés, IHM.
Les fabricants doivent démontrer que leurs produits intègrent des mécanismes de sécurité adaptés à leur position dans l’architecture client. Un automate destiné à opérer au niveau 1 doit, par exemple, supporter des mécanismes d’authentification et de restriction d’accès conformes aux exigences ISA/IEC 62443-4-2. Le Modèle Purdue fournit le contexte architectural dans lequel le produit sera déployé, orientant les choix de conception de sécurité dès la phase de développement.
Conclusion
Le Modèle Purdue demeure, plus de trente ans après sa création, un cadre de référence incontournable pour la cybersécurité des systèmes industriels. Sa logique de segmentation hiérarchique, sa distinction claire entre les domaines OT et IT, et l’intégration pratique d’une DMZ industrielle constituent des principes fondamentaux que toutes les organisations industrielles — dans les secteurs de l’énergie, de l’industrie manufacturière, de l’eau ou des transports — devraient maîtriser.
Son adoption n’est plus seulement une bonne pratique : c’est une réponse aux exigences réglementaires européennes et françaises qui se structurent rapidement. La directive NIS 2, le Cyber Resilience Act et le Règlement Machine convergent vers une même exigence : démontrer que les systèmes industriels sont architecturés pour limiter la propagation des cybermenaces entre les domaines fonctionnels.
La clé du succès réside dans une interprétation pragmatique du modèle : l’appliquer comme un cadre de principes plutôt que comme un plan rigide, l’articuler avec les référentiels normatifs reconnus — ISA/IEC 62443 pour les aspects techniques OT, ISO/IEC 27001 pour la gouvernance globale — et l’adapter aux réalités de l’Industrie 4.0 sans en sacrifier les garanties de cloisonnement. Les industriels et fabricants français qui investissent dès aujourd’hui dans cette maîtrise se positionnent avantageusement pour répondre aux obligations réglementaires actuelles et à venir, tout en renforçant concrètement la résilience de leurs installations.
Pour aller plus loin
Guide ANSSI : Maîtriser la SSI pour les systèmes industriels
ISA/IEC 62443 : série de normes pour la cybersécurité industrielle
Directive NIS 2 – Espace dédié de l’ANSSI
ENISA – Good Practices for Security of Industrial Control Systems
NIST SP 800-82 Rev. 3 : Guide to Operational Technology (OT) Security
IEC – Cybersecurity for Industrial Automation and Control Systems