Le data diode est un dispositif de sécurité réseau assurant une communication strictement unidirectionnelle entre deux domaines, généralement une zone dite “sécurisée” (IT) et une zone “isolée” ou sensible (OT, industriel, défense).
Contrairement aux mécanismes classiques de filtrage (firewall, ACL, segmentation VRF), il ne repose pas sur une logique de décision logicielle mais sur une contrainte physique (souvent optique) empêchant tout flux retour, ce qui rend impossible toute connexion initiée depuis la zone de destination vers la source.
Dans une architecture réseau, le data diode est généralement positionné en complément d’une DMZ de collecte afin de transporter uniquement des flux sortants tels que logs syslog, données de supervision SNMP trap, métriques applicatives ou réplications de bases vers un SI central.
L’enjeu principal réside dans l’adaptation des protocoles, car tout mécanisme nécessitant un ACK ou une session bidirectionnelle (TCP classique, SSH interactif, polling SNMP) doit être remplacé par des modèles push ou proxy/replicator côté zone sécurisée. On observe donc fréquemment l’usage de passerelles de transformation applicative en amont du diode pour reformater les flux vers des protocoles compatibles unidirectionnels (UDP encapsulé, files de messages, buffers store-and-forward).
Ces proxy jouent un rôle central pour compenser les limitations induites par la communication unidirectionnelle. Ils agissent comme des points de terminaison applicatifs capables de “casser” les protocoles bidirectionnels en amont du data diode et de les reconstruire de l’autre côté dans un format compatible avec un flux sortant uniquement. Concrètement, un proxy placé côté zone sécurisée va établir des connexions classiques avec les équipements (polling, authentification, sessions TCP complètes), puis transformer ces échanges en flux encapsulés et bufferisés envoyés à travers le diode. De l’autre côté, un proxy récepteur va reconstituer les messages et les injecter vers les systèmes cibles comme si la session était locale. Ce mécanisme est essentiel pour des fonctions comme la supervision (SNMP proxy, syslog relay enrichi, collectors), les mises à jour de données ou la réplication applicative.
Le data diode s’impose comme une brique de sécurité particulièrement robuste pour les environnements nécessitant une séparation stricte et non contournable entre deux domaines de confiance différents. En supprimant physiquement toute possibilité de flux retour, il dépasse les limites des architectures de segmentation classiques et des contrôles logiciels traditionnels.
Toutefois, cette approche impose une adaptation profonde des architectures réseau et applicatives, notamment autour des mécanismes de supervision, de collecte de données et de synchronisation, qui doivent être repensés autour de modèles unidirectionnels et de traitements asynchrones. L’introduction de proxy et de mécanismes de transformation de flux devient alors indispensable pour préserver l’exploitabilité opérationnelle sans compromettre le niveau de sécurité recherché.
Le succès d’un tel déploiement repose donc sur un équilibre entre contrainte de sécurité forte et adaptation des flux applicatifs, afin de garantir à la fois isolation stricte et continuité des besoins métiers.
