Sécuriser l’OT : pourquoi il faut arrêter de cloisonner IT et industrie

Temps de lecture : 4 min

Le vrai problème : ce n’est pas l’OT qu’on attaque

On va être honnête : dans la plupart des entreprises industrielles que j’ai accompagnées, la cybersécurité OT est abordée comme une forteresse à défendre. On blinde les automates, on isole les réseaux de terrain, on met des pare-feux entre l’IT et l’OT. Et on coche la case « sécurité ». Mais ce qu’on ne vous dit jamais, c’est que 90 % des impacts sur les systèmes industriels viennent d’attaques IT dont ils dépendent. Les chiffres sont clairs : le dernier rapport Waterfall indique que seules 13 % des attaques touchent directement l’OT. Le reste, c’est l’ERP, le MES, les serveurs Windows, les bases de données – tout ce que vous avez placé en dehors du périmètre OT.

Regardons les chiffres de plus près. Un rapport Rockwell/Cyentia confirme que 84 % des points d’entrée initiaux sont côté IT. Ça signifie que votre production peut s’arrêter non pas parce qu’un pirate a pris le contrôle d’un automate, mais parce qu’il a chiffré les données d’un serveur qui alimente les machines. Je l’ai vu arriver dans une PME de 60 salariés : une attaque sur l’Active Directory a bloqué la mise à jour des ordres de fabrication. Résultat : 3 jours d’arrêt, 120 000 € de perte. Ce qu’on vous vend comme une attaque OT était en fait une attaque IT qui a tué l’OT.

Pourquoi la frontière OT/IT est un mirage

Dans la vraie vie (pas sur LinkedIn), la distinction entre technologies opérationnelles (OT) et systèmes d’information (IT) est devenue une fiction commode. D’un côté, vous avez les automates, les protocoles Modbus, Ethernet/IP, S7, les superviseurs historiques. De l’autre, tout le reste : bureautique, ERP, applications financières, et surtout les technologies IT à l’intérieur même du système industriel : Windows ou Linux sur les machines, Active Directory, virtualisation, sauvegardes.

Ce que j’ai appris à la dure, c’est que cette couche IT dans l’OT est un angle mort. Les normes comme l’IEC 62443 ou les référentiels de cybersécurité OT ne la traitent pas vraiment. On la place au-dessus du modèle Purdue, on la considère comme une zone de moindre confiance, et on espère que les flux seront sécurisés. Mais si la seule compromission de cet IT externe arrête votre process industriel, tout le reste est inutile.

L’exemple qui fait mal : Renault, Wannacry et les autres

Certains se souviennent de l’attaque Wannacry en 2017. Chez Renault, ce n’est pas un automate qui a été touché, mais le réseau IT qui servait à piloter les ordres de fabrication. Résultat : plusieurs sites arrêtés, des pertes estimées à des centaines de millions. Ce qu’on ne vous dit jamais, c’est qu’il n’y a pas eu d’attaque directe sur l’OT – juste une dépendance non maîtrisée.

Dans les analyses de risque cyber OT, on n’intègre pas cette couronne de dépendances. On quantifie le risque pour les automates, on mesure l’impact sur les process, mais on oublie que l’ERP, le MES, ou même le serveur de mise à jour des machines sont des « tueurs d’OT » potentiels. L’institut TakePoint Research insiste : il faut élargir le périmètre OT et ne plus le limiter au système strictement fonctionnel.

Deux solutions concrètes (et une troisième à éviter)

Alors, que faire ? On coupe le bullshit et on regarde ce qui marche vraiment.

Solution n°1 : réduire les dépendances à la racine. Les opérationnels le savent : dès qu’une machine doit aller chercher une info en dehors du réseau OT, ils sont au recul. Mais demander à un fabricant de machine de réécrire son logiciel pour fonctionner hors-ligne, c’est souvent un chantier de plusieurs années. Ce n’est pas réaliste pour une PME/TPE de 20 à 80 salariés.

Solution n°2 : identifier et surveiller cette couche externe comme un asset critique. Pas en la traitant comme un serveur IT banal, mais en la considérant comme un point de dépendance vital pour l’OT. Ça implique d’utiliser des outils de sécurité IT (EDR, NDR, SIEM) configurés avec une perspective OT, et de les compléter par des solutions spécifiques OT pour surveiller les flux. Il existe aujourd’hui des produits adaptés – pas besoin de réinventer la roue.

Ce qui ne marche pas : continuer à cloisonner. J’ai vu une entreprise embaucher un RSSI OT qui ne parlait pas au DSI IT. Résultat : deux univers parallèles, des alertes non traitées, et une faille ouverte sur un serveur de sauvegarde. La cybersécurité OT ne peut plus être un sujet isolé. La collaboration IT/OT est aujourd’hui une nécessité opérationnelle, pas un luxe.

Plan d’action pour cette semaine

Concrètement, voici ce que vous pouvez faire dès demain matin dans votre boîte :

• Faites l’inventaire de vos dépendances IT/OT. Listez tous les systèmes informatiques (ERP, MES, serveurs de fichiers, AD, outils de supervision) qui, si ils étaient compromis, stopperaient votre production. Vous serez surpris de voir à quel point la liste est longue.
• Évaluez le niveau de risque pour chacun. Un simple patch manqué sur un serveur Windows qui alimente une machine, c’est un risque majeur. Documentez-le dans votre analyse de risque OT – ne le laissez pas dans la zone grise.
• Déployez des mesures de sécurité sur cette couche : segmentation réseau renforcée, mises à jour automatiques, solutions de détection d’intrusion (NDR) configurées pour les flux OT, et un plan de réponse aux incidents incluant ce périmètre.

Ce qui compte vraiment au quotidien, c’est de sortir du mythe de la forteresse OT. Vous ne protégerez pas votre production en blindant les automates si l’ensemble de vos dépendances IT reste vulnérable. Le progrès, ici, passe par un élargissement de la vision – et par une collaboration honnête entre équipes IT et OT.

Rappel : si vous voulez aller plus loin, je vous recommande de consulter la norme IEC 62443, mais aussi de regarder du côté des rapports Waterfall ou Rockwell. Et surtout, mettez en place un plan d’action concret cette semaine. Votre trésorerie vous remerciera.