Operational Technology: définition, sécurité et référentiels

L’Operational Technology (OT) désigne l’ensemble des technologies matérielles et logicielles qui surveillent et contrôlent des équipements physiques, des processus et des infrastructures industrielles. Automates programmables, systèmes SCADA, capteurs, actionneurs, interfaces homme-machine : ces composants constituent le système nerveux des usines, des réseaux électriques, des infrastructures de transport et de distribution d’eau.

Pendant des décennies, ces systèmes industriels ont fonctionné de manière isolée, à l’écart des réseaux informatiques d’entreprise. La transformation numérique et l’Industrie 4.0 ont profondément changé cette réalité. La convergence IT/OT expose désormais les environnements industriels à des cybermenaces pour lesquelles ils n’avaient pas été conçus.

Les conséquences sont tangibles. Les ransomwares ciblant les organisations industrielles ont augmenté de 50 % en 2023 par rapport à 2022 (source : Dragos, OT Cybersecurity Year in Review, 2024), et le nombre de groupes de menace OT suivis par Dragos a progressé de 300 % entre 2017 et 2023 (source : Dragos, 2023). En Europe, 60 % des infrastructures critiques ont subi au moins une tentative d’intrusion en 2022 (source : Europol, 2023).

Face à ces risques, les réglementations européennes — NIS 2, Cyber Resilience Act, Règlement Machine — et les référentiels internationaux — ISA/IEC 62443, NIST, NERC CIP — structurent désormais des obligations de cybersécurité industrielle précises. Comprendre l’OT, ses composants, ses vulnérabilités et ses cadres de sécurité est devenu une nécessité pour tout industriel français ou européen souhaitant protéger ses installations et se conformer à la réglementation.

Cet article propose une présentation approfondie et didactique de l’Operational Technology : définition, architecture, menaces, référentiels de sécurité applicables et cadre réglementaire français et européen.

Table des matières

Qu'est-ce que l'Operational Technology (OT) ?
Comment fonctionne un système OT industriel ?
Pourquoi la cybersécurité OT est-elle un enjeu critique ?
Quels sont les principaux référentiels de cybersécurité OT ?
Sécuriser un environnement OT : contraintes et approches spécifiques
OT et conformité réglementaire : le cadre européen et français
Checklist opérationnelle : 10 actions clés pour sécuriser un environnement OT
FAQ
Conclusion
Pour aller plus loin

Qu’est-ce que l’Operational Technology (OT) ?

Définition et périmètre de l’OT

L’Operational Technology est définie par le cabinet Gartner comme « le matériel et les logiciels qui détectent ou provoquent des changements par la surveillance et/ou le contrôle directs d’équipements industriels, d’actifs, de processus et d’événements ». Cette définition couvre un périmètre très large, des systèmes de contrôle d’une centrale électrique jusqu’aux automates d’une ligne d’embouteillage.

Le terme OT s’oppose à l’IT (Information Technology), qui désigne les technologies de traitement de l’information à des fins de gestion, communication et stockage des données. Là où l’IT opère dans le monde virtuel des données, l’OT agit directement sur le monde physique : fermer une vanne, ajuster une température de four, déclencher un arrêt d’urgence.

L’OT englobe aujourd’hui également les technologies IoT industriels (IIoT), qui connectent des capteurs et actionneurs intelligents aux réseaux d’entreprise. L’ENISA estime que le nombre de dispositifs IoT industriels connectés atteindra 15 milliards d’unités en 2025 (source : ENISA, 2023), multipliant d’autant les surfaces d’exposition aux cybermenaces.

Les composants clés d’un environnement OT : de l’API au SCADA

Un environnement OT industriel regroupe une grande diversité de composants aux fonctions bien distinctes.

Les automates programmables industriels (API, ou PLC en anglais) constituent la brique élémentaire du contrôle-commande. Ils reçoivent des signaux de capteurs et commandent des actionneurs selon une logique programmée. Robustes, déterministes et conçus pour fonctionner en continu, les API sont présents dans la quasi-totalité des installations industrielles.

Les systèmes de contrôle et d’acquisition de données (SCADA) supervisent et contrôlent des processus répartis géographiquement — pipelines, réseaux électriques, stations de traitement des eaux. Un SCADA collecte les données terrain via les automates, les centralise et les présente aux opérateurs via des interfaces homme-machine (IHM ou HMI).

Les systèmes de contrôle distribués (DCS) assurent le contrôle continu de processus complexes au sein d’un même site industriel — raffinerie, usine chimique, centrale thermique. Contrairement au SCADA géographiquement distribué, le DCS est optimisé pour la gestion fine de boucles de régulation.

Les systèmes instrumentés de sécurité (SIS) constituent une couche indépendante dont la seule mission est de ramener l’installation en état sûr en cas d’anomalie détectée. Leur disponibilité et leur fiabilité sont absolument critiques.

Enfin, les logiciels de gestion de la production (MES, GPAO) assurent la liaison entre le terrain et les systèmes de gestion d’entreprise (ERP).

OT vs IT : quelles différences fondamentales ?

La distinction entre OT et IT va bien au-delà d’une simple différence technologique. Elle touche aux priorités fondamentales de chaque domaine.

Critère	IT (Information Technology)	OT (Operational Technology)
Priorité sécurité	Confidentialité → Intégrité → Disponibilité	Disponibilité → Sûreté → Intégrité
Durée de vie	3 à 5 ans	15 à 30 ans
Tolérance aux pannes	Redémarrage accepté	Arrêt souvent inacceptable ou dangereux
Mises à jour	Fréquentes, automatisées	Rares, planifiées, validées
Protocoles	TCP/IP, HTTP, TLS	Modbus, Profinet, DNP3, OPC-UA
Authentification	Systématique	Souvent absente sur les équipements anciens
Conséquence d’un incident	Perte de données, interruption de service	Accident physique, risque humain, environnemental

Cette divergence fondamentale explique pourquoi les mesures de cybersécurité IT ne peuvent pas être appliquées telles quelles en environnement OT. Un redémarrage serveur en IT prend quelques minutes ; l’arrêt d’un haut-fourneau ou d’une unité chimique peut avoir des conséquences irréversibles.

Comment fonctionne un système OT industriel ?

Le modèle de référence Purdue : architecture en niveaux

Le modèle Purdue (Purdue Enterprise Reference Architecture, PERA) est le cadre de référence historique pour décrire l’architecture des systèmes industriels. Développé à l’Université Purdue dans les années 1990, il organise les composants OT en niveaux hiérarchiques distincts, chacun ayant une fonction précise.

Le niveau 0 regroupe les équipements de terrain : capteurs, actionneurs, vannes, moteurs — les éléments qui interagissent directement avec le processus physique. Le niveau 1 rassemble les API/PLC qui contrôlent ces équipements en temps réel. Le niveau 2 correspond aux systèmes de supervision locale : HMI, stations d’ingénierie, DCS. Le niveau 3 héberge les systèmes de gestion des opérations : SCADA, MES, historiens de données. Les niveaux 4 et 5 correspondent aux systèmes d’entreprise : ERP, messagerie, services IT généraux.

Ce modèle sert de base à la segmentation réseau préconisée par la norme IEC 62443 et par l’ANSSI. La séparation physique et logique entre ces niveaux constitue la première ligne de défense contre la propagation des cyberattaques d’un domaine à l’autre.

Les protocoles industriels spécifiques à l’OT

Les protocoles de communication industriels constituent une spécificité majeure des environnements OT. Conçus pour la fiabilité et le déterminisme dans des conditions industrielles difficiles, ils ont été développés avant que la cybersécurité devienne un enjeu, et n’intègrent généralement pas de mécanismes d’authentification ni de chiffrement.

Le Modbus, créé par Modicon en 1979, reste l’un des protocoles les plus répandus dans l’industrie mondiale. Simple et robuste, il ne comporte aucune authentification native. Le DNP3 (Distributed Network Protocol) est utilisé principalement dans les secteurs de l’énergie et de la distribution d’eau. Le Profinet et le Profibus dominent les environnements de fabrication européens, notamment dans les écosystèmes Siemens. L’EtherNet/IP est très répandu en Amérique du Nord. L’OPC-UA (OPC Unified Architecture) représente la nouvelle génération de protocoles industriels, intégrant nativement des mécanismes de sécurité (authentification, chiffrement, signatures).

Cette hétérogénéité protocolaire rend la supervision et la sécurisation des réseaux OT particulièrement complexes. Les solutions de visibilité OT doivent comprendre des dizaines de protocoles propriétaires pour détecter les anomalies comportementales.

ICS, SCADA, DCS, SIS : les familles de systèmes de contrôle

Le terme générique ICS (Industrial Control Systems) désigne l’ensemble des systèmes de contrôle industriel, dont le SCADA et le DCS sont les deux grandes sous-familles. Il est important de maîtriser cette terminologie, car les référentiels de cybersécurité — notamment l’ISA/IEC 62443 — s’y réfèrent explicitement.

Les IACS (Industrial Automation and Control Systems) constituent le périmètre officiel de la norme IEC 62443. Ce terme englobe toutes les combinaisons de matériels, logiciels et procédures qui contrôlent des équipements industriels.

La distinction DCS/SCADA est importante pour dimensionner les mesures de sécurité : un DCS contrôlant un réacteur chimique en temps réel exige des niveaux de sécurité plus élevés qu’un SCADA de supervision à distance d’un réseau de distribution. Les SIS, quant à eux, font l’objet d’une attention particulière : leur compromission pourrait empêcher le déclenchement des sécurités en cas d’accident, avec des conséquences potentiellement catastrophiques.

Pourquoi la cybersécurité OT est-elle un enjeu critique ?

Des systèmes historiquement conçus sans cybersécurité

La grande majorité des systèmes OT actuellement en exploitation ont été conçus et déployés dans un contexte où la cybersécurité n’était pas un critère de conception. Les priorités étaient la fiabilité, la disponibilité et la sûreté fonctionnelle — pas la résistance aux cyberattaques.

Conséquence directe : une large part des automates industriels en Europe ont été conçus avant que la cybersécurité ne devienne un enjeu de conception, et fonctionnent avec des firmwares qui ne bénéficient plus de support sécuritaire de leur éditeur (source : ANSSI, guides cybersécurité des systèmes industriels). Ces équipements legacy ne peuvent souvent pas être mis à jour, ne supportent pas les mécanismes d’authentification moderne, et fonctionnent parfois avec des mots de passe par défaut connus.

La durée de vie des installations industrielles — de 15 à 30 ans — exacerbe ce problème. Un automate programmable installé en 2005 sera encore en production en 2030, bien que son firmware n’ait pas été conçu pour résister aux menaces actuelles.

La convergence IT/OT : nouvelles surfaces d’attaque

La transformation numérique de l’industrie a brisé l’isolement qui protégeait historiquement les systèmes OT. La connexion des équipements industriels aux réseaux d’entreprise, aux services cloud et à Internet crée de nouvelles surfaces d’attaque considérables.

Environ 70 % des incidents OT ont débuté par une compromission du côté IT (source : Dragos, OT Cybersecurity Year in Review, 2024). Les vecteurs d’intrusion les plus fréquents sont : les accès distants insuffisamment sécurisés, les supports amovibles utilisés par des prestataires de maintenance, les logiciels légitimes compromis (attaques supply chain), et les connexions directes entre réseaux IT et OT sans filtrage adéquat.

En 2023, Palo Alto Networks et Siemens ont identifié plus de 1,25 million d’appareils OT exposés directement sur internet (source : Palo Alto Networks / Siemens, 2023), illustrant l’ampleur de la surface d’attaque accessible.

Incidents marquants et panorama des menaces OT

L’histoire récente de la cybersécurité industrielle est jalonnée d’incidents démontrant la réalité et la gravité des cybermenaces OT.

Stuxnet (2010) a marqué un tournant historique : ce malware sophistiqué, ciblant des centrifugeuses d’enrichissement d’uranium iraniennes, a démontré qu’une cyberattaque pouvait provoquer des dommages physiques irréversibles sur des infrastructures industrielles. Industroyer/Crashoverride (2016-2022) a ciblé les réseaux électriques ukrainiens, provoquant des coupures de courant affectant des centaines de milliers de foyers. LockerGoga (2019) a paralysé le groupe Norsk Hydro, l’un des plus grands producteurs d’aluminium mondiaux, causant plus de 75 millions de dollars de pertes (source : Emerson, 2019).

L’attaque Colonial Pipeline (mai 2021) illustre quant à elle comment une attaque ransomware ciblant les systèmes IT d’un opérateur peut conduire à l’arrêt préventif du pipeline lui-même. Colonial Pipeline assurait 45 % de l’approvisionnement en carburant de la côte Est américaine (source : Wikipedia, Colonial Pipeline ransomware attack). L’arrêt a duré plusieurs jours, provoquant une pénurie dans plusieurs États.

En France, l’ANSSI a observé une multiplication par trois des tentatives d’intrusion attribuées à des acteurs étatiques entre 2021 et 2023 (source : ANSSI, Rapport annuel 2023).

Quels sont les principaux référentiels de cybersécurité OT ?

ISA/IEC 62443 : le standard technique de référence pour les IACS

La norme ISA/IEC 62443 constitue le référentiel technique international le plus complet et le plus reconnu pour la cybersécurité des systèmes d’automatisation et de contrôle industriels (IACS). Développée conjointement par l’ISA (International Society of Automation) et l’IEC (Commission Électrotechnique Internationale), cette série de normes couvre l’ensemble du cycle de vie des systèmes industriels : conception, intégration, exploitation et maintenance.

La série IEC 62443 est structurée en quatre groupes. Le groupe 1 (concepts généraux) définit la terminologie et introduit les 7 exigences fondamentales (FR1 à FR7) : contrôle d’identification et d’authentification, contrôle d’utilisation, intégrité des données, confidentialité, flux restreint, réponse aux événements, disponibilité. Le groupe 2 (politiques et procédures) s’adresse aux exploitants et guide la mise en place d’un programme de sécurité IACS via IEC 62443-2-1. Le groupe 3 (exigences système) fournit la méthodologie d’évaluation des risques (IEC 62443-3-2) et les exigences techniques système (IEC 62443-3-3). Le groupe 4 (exigences composants) est destiné aux fabricants : l’IEC 62443-4-1 cadre le cycle de vie de développement sécurisé (SDL), et l’IEC 62443-4-2 définit les exigences techniques par composant.

Le concept central est celui des niveaux de sécurité (Security Levels, SL) de SL 0 à SL 4, qui graduent le niveau de protection requis selon le profil de l’attaquant anticipé. Pour les industriels français soumis à NIS 2, le niveau SL 2 est recommandé comme minimum par l’ENISA (source : ENISA, 2024).

L’IEC 62443 est devenue le référentiel de référence pour les réglementations européennes : la Commission Européenne a mandaté le CENELEC pour développer des normes harmonisées CRA sur la base de l’IEC 62443.

NIST Cybersecurity Framework et SP 800-82 : l’approche américaine

Le NIST (National Institute of Standards and Technology), agence fédérale américaine, a développé deux référentiels majeurs qui influencent fortement la cybersécurité OT mondiale.

Le NIST Cybersecurity Framework (CSF), dont la version 2.0 a été publiée en février 2024, propose un cadre de gouvernance articulé autour de six fonctions : Gouverner (Govern), Identifier (Identify), Protéger (Protect), Détecter (Detect), Répondre (Respond), Récupérer (Recover). Sa flexibilité et son universalité en font un outil de gouvernance adopté bien au-delà des États-Unis, notamment par des industriels européens cherchant un langage commun avec leurs partenaires américains. Le NIST CSF est fréquemment utilisé comme cadre d’évaluation de la maturité cyber avant d’entrer dans des référentiels plus techniques comme l’IEC 62443.

La NIST Special Publication 800-82 (Guide to OT Security, révision 3, 2023) est le document de référence technique du NIST spécifiquement dédié aux systèmes de contrôle industriel. Librement accessible, elle couvre les architectures de référence, les menaces spécifiques aux environnements ICS/SCADA/DCS, et les contre-mesures recommandées.

La NIST SP 800-37 (Risk Management Framework, RMF) complète ce dispositif en fournissant un cadre structuré de gestion du risque applicable aux systèmes d’information et aux systèmes OT, notamment dans les contextes où des exigences de conformité gouvernementale américaine s’appliquent.

ISO/IEC 27001 : gouvernance globale et complémentarité avec l’OT

La norme ISO/IEC 27001 est le référentiel international de management de la sécurité de l’information par excellence. Applicable à tout type d’organisation et de système d’information, elle structure la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) basé sur une approche par les risques.

Pour les industriels, l’ISO 27001 couvre efficacement la gouvernance globale de la cybersécurité — politique de sécurité, gestion des risques, ressources humaines, audit interne — mais ne traite pas spécifiquement des contraintes des environnements OT : protocoles industriels, systèmes legacy, priorité à la disponibilité, sûreté fonctionnelle.

La bonne pratique, adoptée par les organisations industrielles les plus matures, consiste à articuler les deux référentiels de manière complémentaire : ISO 27001 pour la gouvernance transversale IT/OT, et IEC 62443 pour les exigences techniques spécifiques aux systèmes de contrôle industriel. L’IEC 62443-2-1 version 2024 inclut d’ailleurs un mapping détaillé vers l’ISO 27001 facilitant cette intégration (source : ISAGCA, 2025).

NERC CIP : la norme sectorielle pour le secteur électrique

Le NERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection) est un ensemble de standards de cybersécurité obligatoires spécifiquement développés pour les infrastructures électriques en Amérique du Nord. Bien que d’origine nord-américaine, le NERC CIP est de plus en plus cité en Europe comme référence sectorielle dans le domaine de l’énergie, notamment dans les discussions autour de NIS 2 pour les opérateurs du secteur électrique.

Les standards NERC CIP couvrent des domaines précis : CIP-002 (identification des actifs critiques), CIP-005 (sécurité périmétrique des systèmes électroniques), CIP-007 (gestion de la sécurité des systèmes), CIP-010 (gestion des changements et vulnérabilités), CIP-013 (gestion des risques de la chaîne d’approvisionnement). Cette dernière norme, CIP-013, est particulièrement pertinente dans le contexte des exigences de sécurité de la supply chain imposées par NIS 2.

La complémentarité NERC CIP / IEC 62443 est réelle pour les opérateurs européens du secteur électrique actifs sur les deux marchés : le NERC CIP apporte la profondeur sectorielle spécifique à l’énergie, tandis que l’IEC 62443 fournit le cadre technique générique IACS.

Guide ANSSI : le référentiel français pour les systèmes industriels

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a développé un corpus documentaire spécifique à la cybersécurité des systèmes industriels, incontournable pour les organisations françaises.

Le guide La cybersécurité des systèmes industriels propose une méthode de classification en quatre classes selon l’impact potentiel en cas de compromission : Classe 1 (impact faible), Classe 2 (impact modéré), Classe 3 (impact fort — entités essentielles NIS 2), Classe 4 (impact catastrophique — SIIV, systèmes d’information d’importance vitale). Ces classes et les niveaux SL de l’IEC 62443 sont deux référentiels distincts sans correspondance formelle officielle, mais poursuivent des objectifs analogues de graduation de la protection selon la criticité.

L’ANSSI a également publié des guides techniques spécifiques sur l’architecture des réseaux industriels, la gestion des accès, et la détection d’incidents. Pour les OIV français (Opérateurs d’Importance Vitale), le respect de ces recommandations s’inscrit dans le cadre du dispositif LPM (Loi de Programmation Militaire).

Autres référentiels sectoriels : IEC 62351, API STD 1164, IEC 61511

La IEC 62351 est une norme de sécurité spécifiquement développée pour les protocoles de communication des réseaux électriques (IEC 61850, ICCP/TASE.2, DNP3…). Elle définit des mécanismes de chiffrement et d’authentification adaptés aux contraintes de ces protocoles, comblant une lacune majeure des versions originales. Elle est particulièrement pertinente pour les opérateurs de réseaux électriques soumis aux obligations de NIS 2.

L’API STD 1164 (Pipeline SCADA Security) est le standard de référence pour la cybersécurité des systèmes SCADA dans le secteur pétrochimique et des pipelines. Développé par l’American Petroleum Institute, il est aligné avec l’IEC 62443 et apporte une profondeur sectorielle spécifique aux contraintes des infrastructures oil & gas.

L’IEC 61511 traite de la sûreté fonctionnelle des systèmes instrumentés de sécurité (SIS). Bien que principalement orientée vers la sûreté (safety) plutôt que la cybersécurité (security), elle est indissociable de l’IEC 62443 dans les industries à risque (chimie, pétrochimie, nucléaire) : la cybersécurité doit être gérée sans compromettre les fonctions de sûreté, et inversement.

Tableau comparatif des principaux référentiels OT

Référentiel	Émetteur	Périmètre	Secteur cible	Nature	Lien réglementaire UE
ISA/IEC 62443	ISA / IEC	IACS complet	Tous secteurs industriels	Technique + gouvernance	NIS 2, CRA, RM
NIST CSF 2.0	NIST (USA)	Gouvernance cyber	Tous secteurs	Gouvernance	Référence NIS 2
NIST SP 800-82	NIST (USA)	ICS/OT	Tous secteurs industriels	Technique	Référence NIS 2
ISO/IEC 27001	ISO / IEC	SMSI global	Tous secteurs	Gouvernance	NIS 2, CRA
NERC CIP	NERC (USA/CA)	Infrastructures électriques	Énergie	Obligatoire (NA)	Inspiration NIS 2 énergie
IEC 62351	IEC	Protocoles réseaux électriques	Énergie / Smart Grid	Technique	NIS 2 énergie
API STD 1164	API	SCADA pipelines	Oil & Gas	Sectoriel	NIS 2 énergie
IEC 61511	IEC	Sûreté fonctionnelle SIS	Chimie, pétrochimie, nucléaire	Sûreté / Sécurité	Réglementation SEVESO
Guide ANSSI SI	ANSSI	Systèmes industriels	France / OIV	Recommandation (FR)	LPM, NIS 2

Sécuriser un environnement OT : contraintes et approches spécifiques

Les contraintes opérationnelles propres aux systèmes OT

Sécuriser un environnement OT ne s’improvise pas. Les équipes de cybersécurité issues du monde IT se heurtent rapidement à des contraintes qui n’ont pas d’équivalent dans leur domaine.

La priorité absolue à la disponibilité est la contrainte maîtresse. Un scan de vulnérabilité réseau actif peut saturer la bande passante d’un automate et provoquer un arrêt de production. Un patch mal testé peut altérer le comportement d’un PLC et déclencher une alarme de sécurité. Dans certains secteurs (chimie, nucléaire, sidérurgie), un arrêt non planifié peut coûter plusieurs centaines de milliers d’euros par heure ou créer des risques physiques pour le personnel.

La multiplicité des interlocuteurs complique la gouvernance. Un projet de cybersécurité OT implique simultanément la direction générale, la DSI, les équipes de production, les automaticiens, les instrumentistes, les électrotechniciens et les prestataires de maintenance. Chacun a sa logique métier, ses priorités et son vocabulaire. La norme IEC 62443 apporte un langage commun structurant.

La présence massive de systèmes legacy impose des approches compensatoires. Remplacer un automate de 20 ans est souvent impossible : coût de remplacement, risque de régression, disponibilité des pièces, requalification réglementaire dans certains secteurs. La stratégie consiste alors à isoler ces équipements dans des zones dédiées avec des conduits strictement contrôlés — une approche directement inspirée de l’IEC 62443-3-2.

Architecture de défense en profondeur : zones, conduits et segmentation

Le principe de défense en profondeur (defense-in-depth) est le paradigme central de la sécurité OT. Plutôt que de compter sur une unique barrière périmétrique, cette approche multiplie les couches de protection de sorte qu’un attaquant ayant franchi une barrière se retrouve face à la suivante.

En pratique, la défense en profondeur OT repose sur plusieurs couches articulées. La segmentation réseau divise l’environnement OT en zones fonctionnelles selon les principes de l’IEC 62443-3-2 : zone bureautique, DMZ industrielle, zone de supervision, zone de contrôle, zone de terrain, zone SIS. Les conduits entre zones sont strictement contrôlés par des pare-feux industriels capables d’inspecter les protocoles OT (Modbus, Profinet, DNP3), des diodes réseau (communication unidirectionnelle), ou des passerelles protocolaires.

Le durcissement des systèmes (hardening) désactive les services non essentiels, supprime les comptes par défaut, impose des politiques de mots de passe, active le whitelisting applicatif sur les postes SCADA et les HMI. Les solutions de visibilité OT assurent une surveillance passive du trafic réseau industriel, détectant les anomalies comportementales sans injecter de trafic actif susceptible de perturber les processus.

L’air gap — isolation physique complète d’un réseau OT — représente le niveau de protection maximal. Utilisé pour les systèmes les plus critiques (SIS, certaines zones de contrôle), il réduit considérablement la surface d’attaque mais ne supprime pas tous les risques : les supports amovibles restent un vecteur d’intrusion possible.

Visibilité, détection et réponse aux incidents en environnement OT

La détection d’incidents en environnement OT présente des défis spécifiques. Les méthodes de détection IT classiques (scan actif, agents sur les endpoints) sont souvent inapplicables ou dangereuses en OT. La surveillance passive du trafic réseau industriel est l’approche privilégiée.

Les plateformes de visibilité OT analysent le trafic des protocoles industriels pour établir une baseline comportementale et détecter les écarts : une commande Modbus inhabituelle, une connexion vers un automate depuis un poste non autorisé, une modification de paramètres en dehors d’une fenêtre de maintenance.

La réponse aux incidents OT doit prendre en compte les contraintes de disponibilité. Isoler immédiatement un automate compromis peut être plus dangereux que de laisser une intrusion progresser de manière contrôlée pendant qu’une réponse coordonnée est organisée. La procédure de réponse doit être préparée et exercée à l’avance, en impliquant à la fois les équipes IT/cybersécurité et les équipes production/automatisme.

La norme IEC 62443 impose la mise en place d’un processus formalisé de gestion des incidents dans le cadre du programme de sécurité IACS (IEC 62443-2-1). La directive NIS 2 renforce cette obligation avec des délais stricts de notification : 24 heures pour l’alerte initiale à l’ANSSI, 72 heures pour la notification détaillée, un mois pour le rapport final.

OT et conformité réglementaire : le cadre européen et français

NIS 2 : obligations pour les opérateurs industriels français

La directive NIS 2 (directive (UE) 2022/2555), applicable depuis le 18 octobre 2024, représente la réglementation européenne la plus impactante pour les industriels français. Elle concerne environ 15 000 à 20 000 entités en France (source : ANSSI, 2024), réparties dans 18 secteurs critiques incluant l’énergie, les transports, la santé, l’alimentation et l’industrie manufacturière.

Pour les opérateurs industriels, NIS 2 impose des obligations directement applicables aux systèmes OT : analyse des risques couvrant l’ensemble des actifs numériques (IT et OT), segmentation réseau IT/OT, gestion des accès distants, sécurité de la chaîne d’approvisionnement incluant les fournisseurs de composants et d’équipements industriels. La directive reconnaît les spécificités des environnements OT et admet des mesures compensatoires lorsque les correctifs ne peuvent être appliqués immédiatement.

Les sanctions pour non-conformité peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles, et incluent la responsabilité personnelle des dirigeants. En France, l’ANSSI est l’autorité compétente chargée du contrôle.

La combinaison NIS 2 + IEC 62443 constitue la stratégie la plus efficace pour les industriels : NIS 2 impose le « quoi », l’IEC 62443 détaille le « comment » spécifique aux IACS.

Cyber Resilience Act et Règlement Machine : impacts pour les fabricants

Le Cyber Resilience Act (CRA), applicable à partir de décembre 2027, s’adresse aux fabricants de produits comportant des éléments numériques commercialisant dans l’UE. Pour les fabricants de composants OT (automates, capteurs connectés, interfaces HMI, passerelles industrielles), il introduit des obligations majeures : cybersécurité by design, gestion continue des vulnérabilités sur toute la durée de vie commerciale du produit, transparence via les Software Bill of Materials (SBOM), et notification des vulnérabilités exploitées activement.

L’IEC 62443-4-1 (Secure Development Lifecycle) et l’IEC 62443-4-2 (exigences techniques composants) sont les référentiels techniques naturels pour démontrer la conformité CRA. Le CENELEC travaille actuellement à leur adaptation comme normes harmonisées CRA (source : CEN-CENELEC, 2025).

Le Règlement Machine (RM), applicable depuis janvier 2027, étend les exigences de cybersécurité aux machines comportant des éléments numériques. Il impose notamment la prise en compte des risques cyber dans l’évaluation de la conformité CE et dans la documentation technique. Les fabricants de machines industrielles connectées — robots, centres d’usinage à commande numérique, lignes automatisées — sont directement concernés.

Comment articuler les référentiels pour une conformité intégrée ?

La multiplicité des référentiels applicables peut sembler décourageante. La bonne approche consiste à les articuler intelligemment pour éviter les redondances et optimiser les investissements.

Pour un industriel français soumis à NIS 2 et exploitant des systèmes OT : l’ISO 27001 structure la gouvernance globale et le SMSI ; l’IEC 62443 fournit le cadre technique spécifique IACS et les exigences par zone et composant ; le NIST CSF peut servir de cadre d’évaluation de la maturité et de communication avec des partenaires internationaux ; le guide ANSSI apporte la déclinaison française et les classes de criticité.

Pour un fabricant de composants OT commercialisant dans l’UE : l’IEC 62443-4-1 et 4-2 couvrent simultanément les exigences CRA et Règlement Machine ; l’ISO 27001 structure la gouvernance interne.

Cette approche intégrée permet de rationaliser les audits, de mutualiser la documentation et de réduire les coûts de conformité globaux.

Checklist opérationnelle : 10 actions clés pour sécuriser un environnement OT

Chaque action présentée ci-dessous doit faire l’objet d’une analyse de risque préalable spécifique à votre contexte organisationnel, technique et opérationnel. Les mesures de sécurité doivent être proportionnées aux risques identifiés et adaptées aux contraintes de votre environnement industriel.

1. Réaliser un inventaire exhaustif des actifs OT Cartographier tous les équipements industriels connectés : API/PLC, SCADA, DCS, HMI, capteurs, actionneurs, passerelles. Identifier leurs versions de firmware, leurs protocoles de communication et leurs interconnexions réseau. Utiliser des outils de découverte passive adaptés à l’OT pour ne pas perturber les processus en cours.

2. Conduire une analyse de risques selon une méthodologie reconnue Réaliser une évaluation des risques couvrant les domaines IT et OT selon IEC 62443-3-2 ou EBIOS Risk Manager. Identifier les scénarios de menaces pertinents pour votre secteur (sabotage, espionnage, ransomware), évaluer les impacts sur la production, la sûreté et l’environnement, et déterminer les niveaux de sécurité cibles (SL-T) pour chaque zone.

3. Définir et implémenter l’architecture de zones et conduits Segmenter le réseau OT en zones fonctionnelles selon l’IEC 62443-3-2 et le modèle Purdue. Identifier et contrôler tous les conduits entre zones via des pare-feux industriels, diodes réseau ou passerelles protocolaires. Limiter les flux au strict nécessaire selon le principe du moindre privilège réseau.

4. Sécuriser et contrôler tous les accès distants Éliminer les accès distants non contrôlés (modems, VPN personnels, outils grand public). Déployer une solution d’accès distant sécurisé avec authentification multifactorielle, traçabilité complète et gestion des sessions. Imposer des accès temporaires révocables pour les prestataires de maintenance, avec supervision en temps réel.

5. Durcir les systèmes SCADA, HMI et postes d’ingénierie Appliquer des guides de durcissement spécifiques aux systèmes industriels : désactiver les services non essentiels, supprimer les comptes par défaut, imposer des politiques de mots de passe, activer le whitelisting applicatif. Les postes de supervision constituent le vecteur d’intrusion le plus fréquent vers les réseaux OT.

6. Déployer une solution de visibilité OT Mettre en place une plateforme de monitoring passif capable d’analyser le trafic des protocoles industriels (Modbus, Profinet, DNP3, OPC-UA), de détecter les anomalies comportementales et d’alerter en temps réel. Cette visibilité est le prérequis indispensable à toute stratégie de détection et réponse aux incidents en environnement industriel.

7. Établir un processus de gestion des vulnérabilités adapté aux contraintes OT Mettre en place une veille sur les vulnérabilités affectant vos équipements industriels (ICS-CERT, CISA, bulletins constructeurs). Pour chaque vulnérabilité identifiée, évaluer la criticité dans votre contexte et décider entre patch (lors de la prochaine fenêtre de maintenance), mesure compensatoire ou acceptation documentée du risque selon l’IEC 62443-2-3.

8. Sécuriser la chaîne d’approvisionnement OT Intégrer des clauses de cybersécurité dans les contrats avec les fournisseurs d’équipements et de services industriels : obligations de notification des vulnérabilités, exigences IEC 62443-4-2 pour les composants, droit d’audit. Évaluer la maturité cyber de vos fournisseurs critiques avant sélection et de manière périodique.

9. Préparer et exercer le plan de réponse aux incidents OT Formaliser un plan de réponse aux incidents spécifique à l’environnement OT, prenant en compte les contraintes de disponibilité et les procédures de passage en mode dégradé. Identifier les canaux de notification réglementaires (ANSSI pour NIS 2 : 24h / 72h / 1 mois). Exercer ce plan régulièrement avec les équipes production, automatisme et cybersécurité.

10. Mettre en place la gouvernance et la formation OT Désigner un responsable de la cybersécurité OT disposant de l’autorité nécessaire. Former les équipes terrain (opérateurs, techniciens, automaticiens) aux risques cyber spécifiques à l’industrie. Assurer la formation des dirigeants, obligation explicite de NIS 2. Structurer les interfaces entre équipes IT et OT pour garantir la cohérence de la posture de sécurité.

FAQ

Quelle est la différence entre OT, IT, ICS et IACS ?

L’IT (Information Technology) désigne les technologies de traitement de l’information (serveurs, postes, réseaux d’entreprise). L’OT (Operational Technology) regroupe les technologies qui contrôlent des processus physiques industriels. L’ICS (Industrial Control Systems) est un terme générique désignant les systèmes de contrôle industriel, dont le SCADA et le DCS sont des sous-catégories. L’IACS (Industrial Automation and Control Systems) est le terme utilisé spécifiquement par la norme IEC 62443 pour désigner l’ensemble des systèmes d’automatisation et de contrôle industriels. Ces termes sont souvent utilisés de manière interchangeable, mais leurs périmètres précis varient selon les contextes.

Pourquoi ne peut-on pas appliquer les mêmes mesures de cybersécurité en OT et en IT ?

Les priorités fondamentales sont inversées. En IT, la confidentialité prime sur la disponibilité : en cas de doute, on coupe. En OT, la disponibilité et la sûreté priment : un arrêt non planifié d’un haut-fourneau, d’une centrale électrique ou d’une unité chimique peut être plus dangereux qu’une intrusion. Les outils IT classiques (scans actifs, agents sur les endpoints, redémarrages automatiques après patch) peuvent perturber ou endommager les systèmes industriels. Les protocoles OT (Modbus, Profinet) ne sont pas reconnus par les solutions de sécurité IT standard. Enfin, les équipements OT ont des durées de vie de 15 à 30 ans, contre 3 à 5 ans en IT, rendant les stratégies de renouvellement inapplicables à court terme.

Qu’est-ce que le modèle Purdue et pourquoi est-il important pour la cybersécurité OT ?

Le modèle Purdue (Purdue Enterprise Reference Architecture, PERA) est un cadre de référence hiérarchique qui organise les composants OT en niveaux fonctionnels distincts : terrain (niveau 0-1), contrôle (niveau 2), supervision (niveau 3), gestion opérationnelle et entreprise (niveaux 4-5). Son importance pour la cybersécurité OT est double. D’abord, il fournit un vocabulaire commun pour décrire l’architecture industrielle. Ensuite, il constitue la base de la segmentation réseau : chaque niveau doit être isolé du suivant par des contrôles d’accès stricts, ce qui est le fondement de l’approche par zones et conduits de l’IEC 62443-3-2 et des recommandations de l’ANSSI.

Comment choisir entre les différents référentiels OT (IEC 62443, NIST, ISO 27001) ?

Le choix dépend du contexte et des objectifs. Pour un industriel européen soumis à NIS 2, l’IEC 62443 est le référentiel privilégié par les autorités européennes (ENISA, ANSSI). Pour une organisation cherchant un cadre de gouvernance transversal IT/OT, l’ISO 27001 est le point de départ naturel, à compléter par l’IEC 62443 pour les spécificités OT. Le NIST CSF est utile comme outil d’évaluation de la maturité et comme cadre de communication avec des partenaires américains. La bonne pratique est de les articuler : ISO 27001 pour la gouvernance, IEC 62443 pour les exigences techniques OT, NIST CSF pour le pilotage de la performance. Les industriels français ajouteront systématiquement les recommandations de l’ANSSI.

Qu’est-ce que la convergence IT/OT et pourquoi représente-t-elle un risque ?

La convergence IT/OT désigne l’interconnexion croissante entre les réseaux informatiques d’entreprise (IT) et les systèmes de contrôle industriel (OT), autrefois isolés. Cette convergence est portée par la transformation numérique, l’Industrie 4.0 et la nécessité de connecter les données terrain aux systèmes de gestion. Elle représente un risque car elle expose les systèmes OT — non conçus pour résister aux cybermenaces — aux vecteurs d’attaque du monde IT : phishing, ransomware, exploitation de vulnérabilités logicielles. Environ 70 % des incidents OT ont débuté par une compromission du côté IT (source : Dragos, OT Cybersecurity Year in Review, 2024). La gestion de cette convergence, notamment via la segmentation réseau et une DMZ industrielle, est au cœur de toute stratégie de cybersécurité OT.

Les PME industrielles sont-elles concernées par la cybersécurité OT ?

Oui, à plusieurs titres. D’abord, directement : une PME de plus de 50 salariés dans un secteur critique peut être qualifiée d’entité importante au sens de NIS 2 et soumise à ses obligations. Ensuite, indirectement : les donneurs d’ordres grands comptes imposent de plus en plus des clauses contractuelles de cybersécurité à leurs sous-traitants, même non soumis directement à NIS 2. Enfin, économiquement : une cyberattaque sur une PME industrielle peut avoir des conséquences dévastatrices — arrêt de production, perte de données de fabrication, vol de secrets industriels. Les PME doivent adopter une approche proportionnée à leurs risques, en priorisant les mesures les plus efficaces (segmentation IT/OT, gestion des accès distants, sauvegardes hors ligne) avant d’engager des démarches de certification.

Comment gérer les équipements OT qui ne peuvent pas être mis à jour ou remplacés ?

C’est le défi central de la cybersécurité OT. La stratégie recommandée par l’IEC 62443 s’articule autour des mesures compensatoires : puisque l’équipement legacy ne peut pas atteindre le niveau de sécurité cible par ses propres capacités, on renforce les contrôles à son périmètre. Concrètement : isoler l’équipement dans une zone dédiée avec accès strictement contrôlé, déployer un pare-feu industriel en coupure filtrant les flux autorisés, activer la surveillance passive de son trafic, restreindre les accès physiques et logiques, et documenter formellement l’acceptation du risque résiduel. Le virtual patching — filtrage au pare-feu des exploits connus sans modifier l’équipement — est également une option efficace.

Conclusion

L’Operational Technology est aujourd’hui au cœur des enjeux de cybersécurité industrielle. La convergence IT/OT, l’exposition croissante des équipements industriels sur les réseaux et la montée en puissance des cybermenaces ciblant les infrastructures critiques ont transformé la sécurité des systèmes de contrôle industriel en priorité stratégique pour les industriels français et européens.

Les référentiels disponibles — ISA/IEC 62443, NIST CSF, NIST SP 800-82, ISO/IEC 27001, NERC CIP, IEC 62351, guides ANSSI — offrent des cadres complémentaires et articulables pour structurer une défense en profondeur adaptée aux spécificités des environnements OT : priorité à la disponibilité, systèmes legacy, protocoles sans sécurité native, contraintes opérationnelles fortes.

Le cadre réglementaire européen — NIS 2, Cyber Resilience Act, Règlement Machine — traduit désormais ces enjeux en obligations opposables, avec des sanctions significatives et une responsabilité des dirigeants clairement engagée.

La cybersécurité OT n’est plus une option technique réservée aux spécialistes : c’est une composante stratégique de la résilience industrielle, de la conformité réglementaire et de la compétitivité des entreprises françaises et européennes sur leurs marchés.