La convergence des environnements IT (technologies de l’information) et OT (technologies opérationnelles) expose les entreprises industrielles à des risques cyber inédits. Dans ce contexte, la directive européenne NIS2 impose désormais des exigences concrètes en matière de cybersécurité à un périmètre élargi d’organisations. Construire une stratégie cybersécurité IT/OT alignée avec NIS2 n’est plus une option : c’est une nécessité stratégique.
Comprendre la convergence IT/OT et ses enjeux
Pendant des décennies, les systèmes industriels (SCADA, automates programmables, capteurs, systèmes de contrôle-commande) ont fonctionné en silo, isolés des réseaux d’entreprise. Cette séparation constituait en elle-même une forme de protection. Avec la transformation numérique, l’Industrie 4.0 et l’essor de l’IIoT (Internet Industriel des Objets), ces frontières ont disparu.
Aujourd’hui, une usine connectée partage des données en temps réel entre son ERP, ses lignes de production, ses fournisseurs et ses partenaires logistiques. Cette interconnexion crée une surface d’attaque considérable : une cyberattaque qui pénètre le réseau IT peut désormais atteindre les systèmes OT, avec des conséquences physiques potentiellement graves — arrêt de production, dommages matériels, voire mise en danger de personnes.
NIS2 : ce que la directive exige réellement
La directive NIS2 (Network and Information Security 2), entrée en vigueur en octobre 2024, étend significativement le champ d’application de son prédécesseur. Elle concerne désormais des secteurs comme la fabrication industrielle, l’alimentation, la gestion des déchets, les infrastructures numériques et bien d’autres. Les organisations sont classées en deux catégories — entités essentielles et entités importantes — avec des obligations proportionnées.
Parmi les exigences clés imposées par NIS2, on retrouve la gestion des risques cyber avec une approche structurée et documentée, la sécurisation de la chaîne d’approvisionnement (incluant les fournisseurs OT), la gestion des incidents avec notification obligatoire dans des délais stricts (72h pour le signalement initial), la continuité d’activité et la résilience opérationnelle, ainsi que des politiques de chiffrement, d’authentification et de contrôle d’accès. Les sanctions en cas de non-conformité peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
Les 5 piliers d’une stratégie IT/OT alignée NIS2
1. Cartographier et évaluer les risques IT/OT
La première étape est une cartographie exhaustive des actifs : serveurs, postes de travail, automates, capteurs, équipements réseau industriels. Cette cartographie doit identifier les interdépendances entre les couches IT et OT, les flux de données critiques et les points de vulnérabilité. Sur cette base, une analyse de risques selon une méthodologie reconnue (EBIOS Risk Manager, ISO 27005) permet de prioriser les investissements de sécurité.
2. Segmenter les réseaux et cloisonner les environnements
La segmentation réseau est le socle technique de toute stratégie IT/OT. Elle consiste à isoler les réseaux OT des réseaux IT par des zones de démilitarisation (DMZ industrielles), des pare-feux dédiés et des contrôles stricts des flux autorisés. Le modèle Purdue reste une référence pour structurer les niveaux d’architecture industrielle, mais il doit être adapté aux réalités des architectures cloud et hybrides modernes.
3. Gérer les accès et les identités de manière rigoureuse
Les accès aux systèmes OT sont souvent mal maîtrisés : comptes génériques partagés, mots de passe par défaut, accès distants des prestataires non encadrés. NIS2 exige des politiques d’authentification robustes, incluant l’authentification multifacteur (MFA) pour tous les accès sensibles. La gestion des identités privilégiées (PAM) et des accès tiers (fournisseurs, intégrateurs) est particulièrement critique dans les environnements industriels.
4. Détecter les menaces et répondre aux incidents
Un environnement IT/OT sécurisé ne peut se contenter d’une posture défensive statique. La détection des anomalies en temps réel, via des solutions de monitoring réseau adaptées aux protocoles industriels (Modbus, PROFINET, DNP3, OPC-UA), est indispensable. Cette capacité de détection doit s’articuler avec un plan de réponse aux incidents documenté, testé régulièrement, et conforme aux obligations de notification NIS2.
5. Sécuriser la chaîne d’approvisionnement
NIS2 place la sécurité de la supply chain au cœur de ses exigences. Pour les environnements industriels, cela signifie évaluer la maturité cybersécurité des intégrateurs, des fournisseurs d’équipements OT et des éditeurs de logiciels industriels. Des clauses contractuelles, des audits fournisseurs et une politique de gestion des vulnérabilités sur les composants tiers sont désormais incontournables.
Les défis spécifiques de la cybersécurité OT
Intégrer les systèmes OT dans une stratégie de cybersécurité globale se heurte à des contraintes techniques propres à ce domaine. Les équipements industriels ont souvent des cycles de vie de 15 à 30 ans, rendant impossible l’application des correctifs de sécurité classiques. Beaucoup fonctionnent sous des systèmes d’exploitation obsolètes (Windows XP, voire MS-DOS) et ne supportent pas les agents de sécurité traditionnels. La disponibilité prime sur tout : impossible d’arrêter une ligne de production pour appliquer un patch.
Ces contraintes imposent une approche spécifique, fondée sur la surveillance passive (sans impact sur les systèmes), la compensation des risques par des contrôles compensatoires (segmentation, surveillance renforcée), et une collaboration étroite entre les équipes IT, OT et sécurité — des cultures professionnelles qui ne se parlaient historiquement pas.
Construire une gouvernance unifiée IT/OT
La réussite d’une stratégie cybersécurité IT/OT alignée NIS2 dépend en grande partie de la gouvernance mise en place. Il s’agit de créer des structures de pilotage transverses qui réunissent la DSI, les équipes de production, la direction des risques et la direction générale. Le RSSI (Responsable de la Sécurité des Systèmes d’Information) doit voir son périmètre étendu aux environnements OT, ou être accompagné d’un homologue spécialisé en sécurité industrielle.
Un programme de formation et de sensibilisation adapté aux opérateurs industriels, aux techniciens de maintenance et aux responsables de production est également essentiel. La cybersécurité OT ne peut pas reposer uniquement sur des outils technologiques : elle doit s’ancrer dans les processus et les comportements quotidiens.
Par où commencer : une feuille de route pragmatique
Face à l’ampleur des exigences NIS2 et à la complexité des environnements IT/OT, une approche progressive est recommandée. Dans un premier temps, il convient de réaliser un diagnostic de maturité cybersécurité IT/OT, d’identifier les écarts par rapport aux exigences NIS2 et de produire un plan d’action priorisé. Dans un second temps, les actions les plus critiques doivent être adressées en priorité : cartographie des actifs, segmentation réseau, gestion des accès et plan de réponse aux incidents. Enfin, la conformité NIS2 s’inscrit dans une démarche d’amélioration continue, avec des évaluations régulières, des exercices de crise et une veille sur les menaces émergentes.
Conclusion
NIS2 constitue une opportunité pour les organisations industrielles de structurer enfin leur cybersécurité IT/OT de manière cohérente et durable. Au-delà de la conformité réglementaire, c’est la résilience opérationnelle et la confiance des partenaires qui sont en jeu. Les entreprises qui engageront cette démarche avec sérieux ne se contentent pas de cocher des cases : elles se dotent d’un avantage concurrentiel réel dans un contexte de menaces en constante évolution.
