Modbus (RTU comme TCP) n'embarque aucune sécurité native : pas d'authentification, pas de chiffrement, pas de signatures. La bonne pratique consiste en une isolation stricte VLAN OT + firewall industriel + absence d'exposition internet.

Modbus a été conçu en 1979 à une époque où la sécurité n'était pas envisagée. Sur un réseau expose, les risques sont multiples : spoofing (n'importe quel hôte sur le réseau peut émettre un WriteRegister), sniffing (le trafic est en clair) et DOS (un flood de requêtes sature les slaves). Il existe bien une variante Modbus Secure (TCP avec TLS, RFC adoptée en 2018) mais son déploiement est très limite car les équipements terrain ne le supportent pas. Le standard industriel reste donc l'isolation réseau (firewalls industriels Hirschmann, Phoenix Contact mGuard, Siemens SCALANCE), le refus de l'exposition internet et le monitoring par sondes OT (Claroty, Nozomi).

Recherche Shodan "modbus" : des milliers de slaves exposes sur internet en 2026. Vérifiez qu'aucun port forwarding 502 n'existe sur les firewalls de vos clients.