Retour aux articles

SAINE : ce que laisse vraiment entrer une clé USB dans un réseau sensible

Thibaut Fontaine · sam. 27 juin 2026 · 8 min read ·
SAINE, sas de décontamination USB : une zone hostile à gauche, une frontière, un réseau de confiance à droite

Une station de décontamination que vous pouvez auditer, déployer chez vous et garder sous votre contrôle, pour qu’un support hostile n’atteigne jamais votre réseau de confiance.

Un prestataire arrive pour une démo et branche sa clé. Un stagiaire veut imprimer son rapport. Un agent récupère quelques photos sur le support d’un collègue. Le geste prend deux secondes et personne n’y pense : on branche, on copie, on repart.

On parle beaucoup d’intelligence artificielle et de cloud. Mais pour nous, professionnels de l’IT qui faisons tourner des réseaux sensibles, la menace reste souvent terriblement physique : elle arrive dans une poche. Entre cette clé et le réseau le plus sensible d’une collectivité, d’un hôpital ou d’un industriel, il n’y a souvent qu’une seule chose : la confiance accordée à un objet qu’on n’a pas fabriqué.

Alors posons la question que peu osent poser à voix haute : que laisse-t-on vraiment entrer, et qui en répondra le jour où ça tourne mal ?

C’est la question à laquelle nous essayons de répondre avec SAINE, Sas d’Analyse, d’Isolation et de Neutralisation des Entrants. Le principe tient en une phrase : un support USB hostile entre, des fichiers sains et tracés sortent, sans jamais toucher le réseau de confiance.

L’angle mort qui n’a jamais disparu

Le port USB reste l’une des portes d’entrée les plus efficaces vers un système d’information, précisément parce qu’il court-circuite tout le reste. Le pare-feu, la passerelle de messagerie, le filtrage web : on a investi des années et beaucoup d’argent dans ces défenses périmétriques, et elles ne voient rien quand la menace entre par la main, branchée sur un poste.

Les techniques sont documentées de longue date et restent d’actualité :

  • BadUSB : un périphérique qui se présente comme une simple clé de stockage mais agit comme un clavier, injectant des commandes plus vite qu’un opérateur ne peut réagir.
  • Charges autonomes : des codes malveillants conçus pour s’exécuter ou se propager sans interaction, exploitant l’exécution automatique ou la curiosité de l’utilisateur.
  • Exfiltration : le même canal qui fait entrer une menace fait sortir des données, discrètement, hors de tout journal réseau.
  • Air-gap jumping : pour des environnements volontairement déconnectés, le support amovible est souvent le seul pont praticable vers l’extérieur — et donc la cible privilégiée.

Et il y a là un paradoxe que tout administrateur d’un réseau cloisonné connaît : ce sont justement les organisations qui isolent leurs réseaux les plus critiques qui dépendent le plus des supports physiques pour les alimenter. La déconnexion réseau crée le besoin du support amovible, et le support amovible rouvre la brèche que la déconnexion voulait fermer. On a fermé la grande porte, et on laisse passer par la fenêtre tous les jours, par nécessité.

Le mur de la réalité

Le besoin est connu, et des réponses existent. Si elles ne sont pas déployées partout, ce n’est pas par ignorance : c’est qu’elles butent toutes sur le même mur opérationnel.

Le premier obstacle, c’est que ce qui ralentit se contourne. Une barrière n’a de valeur que si elle est réellement utilisée, et c’est l’ergonomie qui décide. Dès que décontaminer un fichier impose un détour de plusieurs minutes, un poste dédié à l’autre bout du bâtiment ou une manipulation fastidieuse, l’agent pressé branche directement sa clé sur son poste de travail. Une station qui n’est pas fluide ne protège personne : elle déplace simplement le risque vers le maillon le plus pressé. La sécurité qui se fait oublier est celle qu’on applique ; celle qui ralentit est celle qu’on apprend à esquiver.

Le deuxième, c’est la boîte noire. Une partie des stations du marché sont des appliances fermées, souvent étrangères, dont on ne peut ni inspecter le fonctionnement ni garantir l’absence de dépendances cachées. Pour une organisation régulée, c’est un paradoxe : on confie le filtrage de ce qui entre dans le réseau le plus sensible à un dispositif qu’on n’a pas le droit d’ouvrir. La confiance y remplace la preuve.

Le troisième, c’est la dépendance étrangère. Confier la décontamination de flux sensibles à un équipement dont la maintenance, les mises à jour et la maîtrise échappent au territoire national, c’est introduire sur le maillon le plus sensible une dépendance que ni NIS2, ni le bon sens souverain ne recommandent. Et à La Réunion, où le matériel arrive par bateau et où le support distant coûte cher en délais, dépendre d’un fournisseur hors de portée n’est pas qu’une question de principe : c’est une fragilité opérationnelle de plus.

La recherche publique française a pourtant déjà produit, en open source, les briques d’un sas capable d’isoler un support hostile. Ce qui manquait, ce n’était pas la science : c’était l’objet. Transformer ces briques en une appliance prête à l’emploi, durcie aux standards de l’État et conçue pour tenir dans la durée, c’est un travail d’ingénierie — pas un coup de communication. Les structures régulées en ont besoin maintenant, pas dans trois ans.

Ce que nous essayons de construire avec SAINE

SAINE ne cherche pas à faire confiance à un support inconnu. Il pose une frontière nette entre la zone hostile et la zone de confiance, et garantit que tout franchissement se fait dans un seul sens, sous contrôle. Protéger pour mieux échanger : le flux de travail continue, mais ce qui le traverse est désormais maîtrisé.

Au niveau des propriétés, sans entrer dans le « comment », SAINE vise à garantir :

  • Zéro lien entre le support hostile et le réseau de confiance. Le support n’est jamais en relation avec le système d’information protégé. La rupture est le principe de conception, pas une option de configuration. C’est l’indicateur qui résume tout : lien support hostile ↔ réseau de confiance = 0.
  • Une isolation par construction. Ce qui est analysé est traité dans un environnement séparé, pensé pour qu’une charge hostile n’ait aucun chemin vers la zone sensible.
  • Des fichiers qui ressortent sains et tracés. L’échange n’est pas bloqué : il est assaini. Ce qui sort est exploitable, et chaque sortie laisse une trace — pour répondre, le jour venu, à la question « qui en répond ? ».
  • Un dispositif auditable et souverain. Socle hérité de la recherche publique en open source, conçu à La Réunion, déployable chez vous. Pas de boîte noire, pas de dépendance étrangère sur le maillon le plus sensible. Vous pouvez l’inspecter, le déployer sur votre site et le garder sous votre contrôle.

Deux partis pris de conception se rejoignent ici, et ils répondent directement au mur décrit plus haut. Security by design : la rupture entre zone hostile et zone de confiance n’est pas un réglage, c’est le principe fondateur, présent dès la première esquisse. User-centric : parce qu’une décontamination pénible finit toujours contournée, passer par le sas doit être fluide, rapide et naturel — le chemin sûr doit être le chemin le plus simple. Une station qu’on n’a pas envie d’éviter protège bien plus qu’une procédure parfaite qu’on contourne.

Ce que SAINE n’expose pas — son architecture interne, ses mécanismes de durcissement, sa logique de traitement — relève précisément de ce qui doit rester maîtrisé. La transparence porte sur les garanties et sur le socle ouvert, pas sur un mode d’emploi offert à un attaquant.

Pourquoi maintenant

La directive NIS2 (Network and Information Security 2) élargit le périmètre des entités régulées et relève l’exigence sur la sécurité de la chaîne d’approvisionnement et la maîtrise des flux entrants. Dans le même mouvement, la pression sur la souveraineté numérique pousse les organisations publiques et critiques à reprendre le contrôle de leurs outils de sécurité : à savoir d’où ils viennent, à pouvoir les vérifier, à ne plus dépendre d’un fournisseur hors de portée.

Le besoin n’est plus un projet de R&D lointain. C’est une exigence opérationnelle immédiate partout où des réseaux sensibles côtoient des supports physiques : collectivités, établissements de santé soumis à l’hébergement de données de santé, industriels et environnements OT, acteurs de la défense, écoles. Le maillon USB est l’un des derniers angles morts sérieux de leur posture, et l’un des plus simples à exploiter.

On construit ça en France

SAINE est en construction. Nous l’assemblons à partir d’un socle issu de la recherche publique française, avec une obsession : livrer aux structures régulées une station qu’elles peuvent réellement auditer, déployer et tenir dans la durée — pas une promesse, un objet.

Entre le confort d’une porte qu’on laisse ouverte par habitude et l’effort d’une frontière qu’on choisit de maîtriser, la question n’est plus technique, elle est stratégique :

Sommes-nous prêts à reprendre le contrôle de ce qui entre dans nos réseaux les plus sensibles ?

Si votre organisation gère des réseaux cloisonnés et que la question du support amovible vous tient éveillé, nous serions heureux d’en parler. Pour suivre l’avancée du projet ou échanger sur votre contexte, l’équipe Kodetis est joignable via kodetis.com.

Un support hostile entre. Des fichiers sains et tracés sortent. Le reste ne franchit jamais la frontière.