Avec l’essor de l’IoT industriel et la multiplication des attaques ciblant les infrastructures critiques, Advantech répond à une exigence croissante en lançant une nouvelle gamme de routeurs cellulaires : Secure S1.
Conformes aux bonnes pratiques de la norme IEC 62443-4-2, ces routeurs se distinguent par une meilleure architecture, un système d’exploitation sécurisé et des fonctionnalités réseau plus restreintes et donc des surfaces d’attaques plus maîtrisées.
Qu’est-ce que la gamme Secure S1 ?
Les routeurs Secure S1 sont conçus pour différents cas d’usages :
- Réseaux OT sécurisés (usines, SCADA, automatisation)
- Sites soumis à audit ou exigences IEC 62443
- Environnements Zéro Trust
- Déploiements exposés à des réseaux mobiles publics (4G/5G)
Ils s’intègrent dans des infrastructures exigeant des politiques de sécurité réseau strictes, avec une journalisation continue (syslog), configuration centralisée et authentification forte des administrateurs.
Ci-dessous un comparatif des routeurs Advantech S1 et des routeurs Advantech classiques.
| Fonctionnalité | Secure S1 | Routeur classique |
|---|---|---|
| Secure Boot | ✔ Oui | ✖ Non |
| Détection d’intrusion (AIDE) | ✔ Oui | ✖ Non |
| Interfaces FTP/Telnet | ✖ Bloquées | ✔ Disponibles |
| OpenVPN | Niveaux 2 à 5 | Niveaux 0 à 5 |
| Shell script natif | ✖ Bloqué | ✔ Autorisé |
| Authentification (forte) | ✔ Obligatoire | ✔ Faible par défaut |
| Accès root | ✖ Non | ✔ Via sudo |
| Syslog persistant | ✔ Activé | ❔ Optionnel |
| Firmware .bin chiffré | ✔ Oui | ✖ Non |
Le système ICR-OS S1 dispose de son propre cycle de mise à jour, distinct des routeurs standards. Les mises à jour corrigent régulièrement des vulnérabilités ou renforcent la conformité vis-à-vis des référentiels OT.
Une roadmap dédiée est disponible et nous pouvons, en tant que Premier partenaire Advantech, vous la partager.
Une sécurisation dès le boot
Les routeurs Secure S1 s’appuient sur les modèles de routeurs classiques d’Advantech (comme les ICR-2734 ou ICR-4453), mais disposent de composants matériels spécifiques, notamment une mémoire OTP (One-Time Programmable) indispensable au verrouillage de l’appareil.
Ils sont livrés avec un firmware différent : ICR-OS S1 qui intègre plusieurs couches de protection :
- Secure Boot avec signature numérique du firmware
- Filesystem en lecture seule, renforcé par un système de détection d’altération (AIDE)
- Authentification stricte : mot de passe fort obligatoire (> 12 caractères, ≥ 3 classes), verrouillage de compte après échecs
Un cloisonnement fonctionnel & restrictions réseau
Contrairement aux routeurs classiques, la version S1 applique le principe du moindre privilège :
- Interfaces désactivées : FTP, Telnet, mode IPsec agressif interdits
- Accès root bloqué : aucune élévation directe, usage restreint de sudo
- Protocoles limités : uniquement HTTPS pour l’interface Web, et OpenVPN en mode sécurisé (niveaux 2 à 5 uniquement)
La configuration de l’interface web reste identique, à l’exception de la couleur (orange au lieu de vert) pour signaler le mode sécurisé. Le pare-feu, les règles NAT et les tunnels VPN restent paramétrables.
Extensions via les Router Apps uniquement
L’exécution de scripts Shell personnalisés (sh, bash) est bloquée. En alternative, les Secure S1 acceptent l’installation de Router Apps spécifiques, packagées au format .raw et signées manuellement.
Cela permet de conserver une bonne flexibilité fonctionnelle, compatible avec les exigences sécurité. Les développeurs devront veiller à l’intégrité et au durcissement du niveau de sécurité de leurs propres applications.
Découvrez la liste des modules Router Apps officiels déjà disponibles.
Quels modèles sont disponibles ?
Les modèles S1 sont clairement identifiables par leur suffixe : Exemple : ICR-2734-S1 ou ICR-4453-S1
Attention : Il n’est pas possible de convertir un routeur standard en S1.
Besoin d’assistance sur la sélection d’un modèle Secure S1 ou sur l’intégration à votre infrastructure ?
Contactez Integral System, partenaire certifié Advantech, pour un accompagnement technique et commercial sur mesure.