Air gap : sécurisez vos environnements sensibles ou déconnectés avec Cyberwatch

cyberwatch
juillet 16, 2026

Alors que les cybermenaces gagnent en sophistication et que les attaques à distance se multiplient, certaines organisations font un choix qui peut sembler radical, mais qui gagne du terrain : isoler totalement leurs systèmes critiques du reste du monde numérique.

Cette stratégie repose sur un principe simple : supprimer toute communication réseau externe afin de réduire la surface d’attaque. On parle alors d’un environnement isolé physiquement, ou “air-gapped”.

De quoi s’agit-il exactement ? Pourquoi cette approche devient-elle peu à peu la norme dans certains secteurs ? Et quelles solutions concrètes sont disponibles dans Cyberwatch pour analyser les machines sensibles ou isolées et réaliser des évaluations de vulnérabilités malgré l’absence de connectivité réseau ?

On vous dit tout dans cet article.

Comprendre l’air gap : définition, intérêt et cas d’usage

Qu’est-ce qu’un environnement air-gapped ?

Un environnement air-gapped désigne un système d’information volontairement isolé de tout autre réseau non maîtrisé, en particulier d’Internet.

Dans sa définition la plus stricte, un système isolé ne dispose :

  • D’aucune connexion Internet,
  • D’aucun routage vers un réseau externe,
  • D’aucun tunnel VPN,
  • D’aucune interconnexion persistante avec un système tiers.

L’isolement est généralement physique, et non pas simplement logique.

Qu’est-ce que cela signifie ? Eh bien que les machines concernées ne sont pas reliées par câble, Wi-Fi, fibre ou autre technologie réseau à des environnements externes.

Il est important de noter que :

  • Un réseau privé isolé par firewall n’est pas nécessairement air-gapped,
  • Un VLAN cloisonné n’est pas nécessairement air-gapped,
  • Un système sans accès Internet mais connecté à d’autres réseaux n’est pas non plus nécessairement air-gapped.

Ce qu’il faut surtout retenir, c’est qu’un véritable air gap implique l’absence de communication réseau active vers l’extérieur.

Quel est l’intérêt de mettre en place un air gap ?

L’air gap permet de réduire drastiquement la surface d’attaque distante. Non pas en corrigeant les vulnérabilités une à une, mais en supprimant l’exposition elle-même.

Pour comprendre pourquoi, il faut regarder comment les attaquants opèrent concrètement.

Les attaques les plus courantes exploitent ce qui est accessible depuis l’extérieur :

  • Services exposés,
  • Vulnérabilités applicatives,
  • Erreurs de configuration,
  • Failles d’authentification,
  • Accès distants compromis.

Selon le rapport d’analyse d’incidents de Kaspersky publié en 2025, les applications publiques ont par exemple constitué le premier vecteur d’attaque initial (39,2% des cas), et les comptes compromis ont servi de point d’entrée dans 31,4% des incidents. Ces deux vecteurs ont un point commun : ils supposent qu’il existe quelque chose d’accessible depuis l’extérieur.

C’est exactement ce qu’un air gap supprime. En coupant toute connectivité réseau externe, on retire aux attaquants la surface sur laquelle ces techniques s’appuient.

Cela dit, l‘isolation physique n’est pas une protection absolue.

Les supports amovibles, les accès physiques non contrôlés ou les compromissions par la chaîne d’approvisionnement restent des vecteurs valides, et c’est précisément pourquoi la gestion des vulnérabilités reste indispensable, même dans un environnement air gap.

Dans quels contextes l’air gap est-il souvent utilisé ?

L’isolation physique ne s’improvise pas : elle répond à des contraintes réglementaires ou sécuritaires précises.

On la retrouve principalement dans les environnements où une compromission aurait des conséquences critiques :

  • Systèmes industriels (ICS/SCADA),
  • Infrastructures critiques (énergie, transport, santé),
  • Systèmes classifiés ou militaires,
  • Environnements de signature cryptographique,
  • Certains environnements de production sensibles.

Pour certains acteurs, cette exigence est aussi réglementaire. Les OIV (Opérateurs d’Importance Vitale) et les OSE (Opérateurs de Services Essentiels) sont soumis à des obligations strictes de cloisonnement : toute communication avec un réseau externe y est interdite ou soumise à contrôle.

Dans tous ces contextes, le risque acceptable est proche de zéro, et l’air gap s’impose comme une réponse architecturale évidente.

Les défis opérationnels de l’air gap

En contrepartie d’une surface d’attaque quasi nulle, l’air gap génère des contraintes opérationnelles importantes. Les systèmes isolés ne peuvent en effet ni recevoir de mises à jour automatiques, ni être supervisés par des outils de sécurité connectés, ni transmettre leurs logs vers un SIEM centralisé.

Cela pose un défi structurel pour la gestion des vulnérabilités : comment analyser en effet des machines qui ne peuvent pas communiquer directement avec une plateforme de sécurité ? Comment maintenir un niveau de patch à jour sans flux réseau ? Comment détecter un risque sans télémétrie ?

C’est précisément pour répondre à ces contraintes que Cyberwatch a développé un mode de fonctionnement adapté aux environnements isolés. Voici comment.

Comment scanner et remonter des vulnérabilités via Cyberwatch sur des environnements isolés ?

Les principes du scan air gap avec Cyberwatch

Contrairement à un scan classique qui s’effectue via une connexion directe entre Cyberwatch et la machine cible, le scan air gap repose sur un modèle offline :

→ Des scripts d’analyse exécutables localement sur la machine isolée sont fournis par Cyberwatch, ils sont les mêmes que ceux utilisés pour les scans Agent et Sans Agent.

→ Ces scripts vont collecter les informations techniques nécessaires à l’identification des composants logiciels présents (OS, packages, versions, configurations).

→ Les résultats générés peuvent être exportés sous forme de fichiers texte structurés grâce à des données déclaratives.

→ Ces fichiers peuvent ensuite être importés manuellement dans l’instance Cyberwatch connectée, ou via des outils automatisés (API / CLI) et permettant potentiellement une rupture protocolaire.

Ce processus ne nécessite aucun flux de communication entre l’environnement isolé et Cyberwatch.

Les données collectées sont exportées puis transférées selon les modalités définies par l’organisation.

Cette méthode permet ainsi d’intégrer des données issues de machines déconnectées dans une gestion centralisée des vulnérabilités, tout en respectant les contraintes d’isolement de l’infrastructure.

Voyons à présent comment mettre cela en place, étape par étape.

Mettre en œuvre le scan air gap avec Cyberwatch : le processus étape par étape

Téléchargement et copie des scripts d’analyse

Le premier pas pour un scan air-gap consiste à télécharger les scripts fournis. Deux options s’offrent à vous :

  1. Depuis l’interface Cyberwatch, dans la rubrique Gestion des actifs > Actifs air gap > Ajouter, un package ZIP contenant les scripts d’analyse peut être récupéré.
  1. Depuis l’api Cyberwatch disponible sur GitHub installable en python et en utilisant la commande suivante : cyberwatch-cli airgap download-scripts.

Si vous optez pour la 2ème solution, il vous faudra avoir généré une clé API depuis votre utilisateur dans l’interface et une connexion entre une machine et la solution Cyberwatch.

Quelque soit la méthode utilisée il conviendra ensuite de transférer les scripts téléchargés vers l’équipement hors ligne (via le fichier ZIP ou le dossier).

Exécution des scripts sur la machine isolée

Les scripts sont organisés selon les familles de systèmes pris en charge. Sur la machine isolée il faudra exécuter le script correspondant au système d’exploitation :

  • Exemple Windows: execution via PowerShell (.\run.ps1).
  • Exemple Linux : exécution via le script Bash fourni. (.\run.sh)

Le script va produire une sortie textuelle pouvant être envoyé vers un fichier (> output.txt) qui contiendra les informations système structurées sous la forme de données déclaratives (système d’exploitation, liste des composants, versions, etc.).

C’est ce fichier qui servira de base à l’analyse de vulnérabilités dans Cyberwatch.

Transfert des résultats et import dans Cyberwatch

Une fois le script exécuté, le fichier de sortie doit être transféré hors de l’environnement isolé selon les moyens autorisés par votre politique de sécurité, puis importé dans Cyberwatch.

Deux options là encore :

  1. Via l’interface : Gestion des actifs > Actifs air gap > Ajouter, puis importez le fichier texte généré.
  2. Via l’API, avec la commande cyberwatch-cli airgap upload. Cette option permet d’automatiser les scans et d’éviter l’installation d’un agent sur les actifs critiques.

À noter lors de l’import : si un actif avec le même hostname existe déjà dans le même projet, Cyberwatch met à jour ses informations. Sinon, un nouvel actif est créé. L’historique est conservé dans les deux cas.

Formats supportés :

Cyberwatch accepte plusieurs formats selon les usages :

FormatUsage
Fichier texteSorties de scripts, création manuelle d’actifs
JSON / SBOM (CycloneDX, SPDX)Inventaire logiciel, images Docker
XLSXImport simultané de plusieurs machines, équipements réseau ou industriels
XML (Burp)Résultats de scans applicatifs Burp Suite

Vous trouverez une description plus détaillée de l’utilisation du mode air gap, ainsi que des différentes sources et des méthodes disponibles, dans notre documentation dédiée.

Cartographie de vos actifs isolés avec la découverte déclarative

Une fois vos machines scannées et importées, une question se pose : avez-vous une vue complète de votre parc isolé ?

C’est là qu’intervient la découverte déclarative.

Dans Cyberwatch, les découvertes permettent de cartographier vos actifs selon différents périmètres (réseau, fournisseurs d’infrastructure, etc.) et de mesurer la proportion d’actifs effectivement supervisés.

Pour les environnements comportant plusieurs machines isolées, la découverte déclarative permet d’ajouter une liste d’actifs à partir de leurs noms d’hôtes, adresses IP ou noms de domaine. L’import se fait depuis un fichier texte (.txt), un CSV ou un Excel (.xlsx), sans aucune connexion réseau nécessaire.

Cyberwatch fait ensuite le lien avec les actifs déjà supervisés et affiche la proportion de machines uniquement découvertes par rapport à celles déjà enregistrées, vous donnant ainsi une vision précise de votre couverture réelle, y compris les éventuels angles morts sur vos machines hors ligne.

Vous maîtrisez maintenant l’essentiel. Voici quelques ressources complémentaires si vous souhaitez approfondir.

Pour aller plus loin

Prioriser les vulnérabilités dans un environnement air gap

Identifier des vulnérabilités sur un système isolé est une première étape. Encore faut-il savoir lesquelles corriger en priorité.

Dans un environnement connecté, les équipes s’appuient souvent sur les scores de criticité standards (CVSS, EPSS, etc.) pour orienter leurs efforts de remédiation. Mais dans un contexte air gap, cette approche atteint rapidement ses limites.

Une vulnérabilité classée critique parce qu’elle est exploitable à distance via le réseau n’a pas nécessairement le même niveau de risque sur une machine totalement déconnectée d’Internet et de tout réseau externe. À l’inverse, certaines vulnérabilités exploitables localement ou via des supports amovibles peuvent conserver un impact important malgré l’isolation du système.

Cette problématique est d’autant plus importante que les opérations de mise à jour sont souvent plus complexes dans les environnements isolés : fenêtres de maintenance limitées, arrêts de production, procédures de validation spécifiques ou contraintes réglementaires. Dans ces conditions, l’objectif n’est pas de corriger le plus grand nombre de vulnérabilités possible, mais d’identifier précisément celles qui représentent un risque réel pour l’actif concerné.

Pour répondre à cet enjeu, Cyberwatch permet de définir une politique de priorisation adaptée au contexte de l’équipement supervisé. Le score de risque est alors recalculé selon la méthode BTE (Base, Menace, Environnement) en tenant compte des caractéristiques propres de l’actif, notamment son niveau d’exposition.

Dans le cas d’un environnement air gap, les vulnérabilités critiques dont l’exploitation repose exclusivement sur un accès réseau peuvent ainsi être déclassées, tandis que les failles réellement pertinentes dans un contexte isolé remontent automatiquement dans les priorités de traitement.

Résultat : une priorisation plus fidèle au risque réel, une meilleure allocation des ressources de maintenance et des efforts de correction concentrés là où ils apportent le plus de valeur en matière de réduction du risque.

La gestion de la conformité en air gap avec Cyberwatch

Le scan de vulnérabilités n’est pas la seule analyse réalisable sur un équipement isolé : Cyberwatch permet également d’y effectuer des analyses de conformité, en suivant le même principe offline.

Le processus se déroule en trois temps, via l’API REST et la CLI Cyberwatch :

1. Téléchargement des scripts de conformité depuis un équipement connecté au serveur : cyberwatch-cli airgap download-compliance-scripts

2. Transfert et exécution des scripts sur l’équipement isolé, localement.

3. Envoi des résultats vers le serveur Cyberwatch : cyberwatch-cli airgap upload-compliance

À noter : l’actif correspondant doit avoir été créé au préalable dans Cyberwatch — comme expliqué dans la section précédente.

Vous préférez PowerShell ? La procédure complète est disponible dans notre documentation dédiée.

Syntaxe des données déclaratives

Vous souhaitez comprendre en détail le format des données collectées lors d’un scan air gap, ou créer manuellement un actif sans passer par les scripts ? La documentation dédiée à la syntaxe déclarative est faite pour ça.

Elle présente la liste complète des clés utilisables en air gap et couvre deux cas d’usage : comprendre la structure des données exportées depuis vos actifs, et créer manuellement un actif depuis la page d’ajout air gap.

Dans ce second cas, plutôt que d’importer un fichier, vous disposez d’une zone de texte éditable pour déclarer directement les propriétés de l’actif en respectant la syntaxe déclarative, particulièrement utile pour les équipements non pris en charge nativement par les scripts, comme certains équipements industriels ou des terminaux mobiles Android et iOS.

Enfin, vous pouvez consulter la liste complète des équipements supportés par Cyberwatch, dont ceux supervisés via la méthode air gap.

Pour conclure

Les environnements air gap répondent à des enjeux de cybersécurité bien spécifiques, mais ils sont loin d’être rares : dans la défense, l’industrie, l’énergie ou la santé, ils constituent souvent la norme.

Cyberwatch accompagne depuis plusieurs années des organisations évoluant dans ces environnements.

Cette expérience terrain, accumulée auprès d’acteurs aux contraintes de sécurité parmi les plus élevées, nous a conduits à développer des mécanismes concrets et éprouvés pour répondre aux défis spécifiques de l’air gap : scripts d’analyse offline, import multi-formats, gestion centralisée des vulnérabilités sans flux réseau.

Si vous gérez des environnements isolés et souhaitez en savoir plus sur la façon dont Cyberwatch peut vous accompagner. Notre équipe est disponible pour en discuter.

Demandez une démo gratuite

FAQ

Qu’est-ce qu’un environnement air gap ?

Un environnement air gap est un système d’information volontairement isolé de tout réseau externe, y compris Internet. L’isolation est physique : aucun câble, Wi-Fi ou autre connexion réseau ne relie ces machines à l’extérieur.

Quelle est la différence entre un réseau isolé par firewall et un vrai air gap ?

Un firewall filtre le trafic, mais la connexion réseau existe toujours. Un vrai air gap supprime cette connexion par construction : il n’y a tout simplement rien à intercepter ou à compromettre à distance.

L’air gap protège-t-il contre toutes les cyberattaques ?

Non. Il neutralise la grande majorité des attaques distantes, mais des vecteurs comme les supports amovibles (clés USB), les accès physiques non contrôlés ou les compromissions par la chaîne d’approvisionnement restent des menaces réelles.

Comment scanner des vulnérabilités sur une machine air gap ?

Cyberwatch fournit des scripts d’analyse exécutables localement sur la machine isolée. Les résultats sont exportés dans un fichier, transféré manuellement puis importé dans Cyberwatch, sans aucun flux réseau requis.

Est-il possible d’effectuer des analyses de conformité en air gap ?

Oui. Cyberwatch propose des scripts de conformité téléchargeables, à exécuter localement sur l’équipement isolé, puis à réimporter dans la plateforme via CLI ou PowerShell.

Vous avez des questions ?

Vous souhaitez une démonstration ?

Contactez-nous et nos experts reviendront vers vous sous 24h.