Kodetis Logo <Kodetis.Blog/>
Retour aux articles

SAINE : ce que laisse vraiment entrer une clé USB dans un réseau sensible

#Décontamination #Air-gap #Souveraineté #NIS2 #Cybersécurité #R&D
Thibaut Fontaine · sam. 27 juin 2026 · 7 min read ·
SAINE, sas de décontamination USB : une zone hostile à gauche, une frontière, un réseau de confiance à droite

Une station de décontamination que vous pouvez auditer, déployer chez vous et garder sous votre contrôle, pour qu’un support hostile n’atteigne jamais votre réseau de confiance.

Un prestataire arrive pour une démo et branche sa clé. Un stagiaire veut imprimer son rapport. Un agent récupère quelques photos sur le support d’un collègue. Le geste prend deux secondes et personne n’y pense : on branche, on copie, on repart.

Pourtant, entre cette clé et le réseau le plus sensible d’une collectivité, d’un hôpital ou d’un industriel, il n’y a souvent qu’une seule chose : la confiance accordée à un objet qu’on n’a pas fabriqué. Et quand la seule barrière coûte trop cher ou ralentit trop, on finit toujours par la contourner.

Reste alors la question que peu osent poser à voix haute : que laisse-t-on vraiment entrer, et qui en répondra le jour où ça tourne mal ?

C’est à cette question que répond SAINE, Sas d’Analyse, d’Isolation et de Neutralisation des Entrants. Le principe tient en une phrase : un support USB hostile entre, des fichiers sains et tracés sortent, sans jamais toucher le réseau de confiance.

Le support amovible, surface d’attaque qui n’a jamais disparu

On parle d’intelligence artificielle et de cloud, mais le port USB reste l’une des portes d’entrée les plus efficaces vers un système d’information, précisément parce qu’il court-circuite les défenses périmétriques. Le pare-feu, la passerelle de messagerie, le filtrage web : tout cela ne voit rien quand la menace arrive physiquement, dans une poche.

Les techniques sont documentées de longue date et restent d’actualité :

  • BadUSB : un périphérique qui se présente comme une simple clé de stockage mais agit comme un clavier, injectant des commandes plus vite qu’un opérateur ne peut réagir.
  • Charges autonomes : des codes malveillants conçus pour s’exécuter ou se propager sans interaction, exploitant l’exécution automatique ou la curiosité de l’utilisateur.
  • Exfiltration : le même canal qui fait entrer une menace fait sortir des données, discrètement, hors de tout journal réseau.
  • Air-gap jumping : pour des environnements volontairement déconnectés, le support amovible est souvent le seul pont praticable vers l’extérieur — et donc la cible privilégiée.

Dans les environnements cloisonnés (collectivités, santé, industriels, éducation), ce risque n’est pas théorique. Ce sont justement les organisations qui isolent leurs réseaux les plus critiques qui dépendent le plus des supports physiques pour les alimenter. La déconnexion réseau crée le besoin du support amovible, et le support amovible rouvre la brèche que la déconnexion voulait fermer.

Pourquoi les réponses actuelles ne tiennent pas

Le besoin est connu, et des réponses existent. Elles butent toutes sur le même mur opérationnel.

Quand la sécurité n’est pas user-friendly, elle finit contournée. Une barrière n’a de valeur que si elle est réellement utilisée, et c’est l’ergonomie qui décide. Dès que décontaminer un fichier impose un détour de plusieurs minutes, un poste dédié à l’autre bout du bâtiment ou une manipulation fastidieuse, l’agent pressé branche directement sa clé sur son poste de travail. Une station qui n’est pas fluide, rapide et sans friction inutile ne protège personne : elle déplace simplement le risque vers le maillon le plus pressé. La sécurité qui se fait oublier est celle qu’on applique ; celle qui ralentit est celle qu’on apprend à esquiver.

Les boîtes noires ne se vérifient pas. Une partie des stations de décontamination du marché sont des appliances fermées, souvent étrangères, dont on ne peut ni inspecter le fonctionnement ni garantir l’absence de dépendances cachées. Pour une organisation régulée, c’est un paradoxe : on confie le filtrage de ce qui entre dans le réseau le plus sensible à un dispositif qu’on n’a pas le droit d’ouvrir. La confiance y remplace la preuve.

La dépendance étrangère est un risque en soi. Confier la décontamination de flux sensibles à un équipement dont la maintenance, les mises à jour et la maîtrise échappent au territoire national, c’est introduire une dépendance que ni NIS2, ni le bon sens souverain ne recommandent.

La recherche publique française a pourtant déjà produit, en open source, les briques d’un sas capable d’isoler un support hostile. Ce qui manquait, ce n’était pas la science : c’était l’objet. Personne n’avait transformé ces briques en une appliance prête à l’emploi, durcie aux standards de l’État et conçue pour tenir dans la durée. Les structures régulées en ont besoin maintenant, pas dans trois ans.

L’approche SAINE : des garanties, pas une boîte noire

SAINE ne cherche pas à faire confiance à un support inconnu. Il pose une frontière nette entre la zone hostile et la zone de confiance, et garantit que tout franchissement se fait dans un seul sens, sous contrôle. Protéger pour mieux échanger : le flux de travail continue, mais ce qui le traverse est désormais maîtrisé.

Au niveau des propriétés, sans entrer dans le « comment », SAINE garantit :

  • Zéro lien entre le support hostile et le réseau de confiance. Le support n’est jamais en relation avec le système d’information protégé. La rupture est le principe de conception, pas une option de configuration. C’est l’indicateur qui résume tout : lien support hostile ↔ réseau de confiance = 0.
  • Une isolation par construction. Ce qui est analysé est traité dans un environnement séparé, pensé pour qu’une charge hostile n’ait aucun chemin vers la zone sensible.
  • Des fichiers qui ressortent sains et tracés. L’échange n’est pas bloqué : il est assaini. Ce qui sort est exploitable, et chaque sortie laisse une trace — pour répondre, le jour venu, à la question « qui en répond ? ».
  • Un dispositif auditable et souverain. Socle hérité de la recherche publique en open source, conçu en France, déployable chez vous. Pas de boîte noire, pas de dépendance étrangère sur le maillon le plus sensible. Vous pouvez l’inspecter, le déployer sur votre site et le garder sous votre contrôle.

Deux partis pris de conception se rejoignent ici. Security by design : la rupture entre zone hostile et zone de confiance n’est pas un réglage, c’est le principe fondateur, présent dès la première esquisse, pas une protection ajoutée après coup. User-centric : parce qu’une décontamination pénible finit toujours contournée, SAINE est conçu pour que passer par le sas soit fluide, rapide et naturel : le chemin sûr doit être le chemin le plus simple. Une station qu’on n’a pas envie d’éviter protège bien plus qu’une procédure parfaite qu’on contourne.

Ce que SAINE n’expose pas (son architecture interne, ses mécanismes de durcissement, sa logique de traitement) relève précisément de ce qui doit rester maîtrisé. La transparence porte sur les garanties et sur le socle ouvert, pas sur un mode d’emploi offert à un attaquant.

Pourquoi maintenant

La directive NIS2 (Network and Information Security 2) élargit le périmètre des entités régulées et relève l’exigence sur la sécurité de la chaîne d’approvisionnement et la maîtrise des flux entrants. Dans le même mouvement, la pression sur la souveraineté numérique pousse les organisations publiques et critiques à reprendre le contrôle de leurs outils de sécurité : à savoir d’où ils viennent, à pouvoir les vérifier, à ne plus dépendre d’un fournisseur hors de portée.

Le besoin n’est plus un projet de R&D lointain. C’est une exigence opérationnelle immédiate partout où des réseaux sensibles côtoient des supports physiques : collectivités, établissements de santé soumis à l’hébergement de données de santé, industriels et environnements OT, acteurs de la défense, écoles. Le maillon USB est l’un des derniers angles morts sérieux de leur posture, et l’un des plus simples à exploiter.

On construit ça en France

SAINE est en construction. Nous l’assemblons à partir d’un socle issu de la recherche publique française, avec une obsession : livrer aux structures régulées une station qu’elles peuvent réellement auditer, déployer et tenir dans la durée : pas une promesse, un objet.

Si votre organisation gère des réseaux cloisonnés et que la question du support amovible vous tient éveillé, nous serions heureux d’en parler. Pour suivre l’avancée du projet ou échanger sur votre contexte, l’équipe Kodetis est joignable via kodetis.com.

Un support hostile entre. Des fichiers sains et tracés sortent. Le reste ne franchit jamais la frontière.