En bref
Le cloisonnement IT/OT consiste à séparer physiquement ou logiquement vos réseaux informatiques classiques (IT) de vos systèmes industriels (OT). Dans la vraie vie, ça évite qu’un ransomware entré par la messagerie ne paralyse vos chaînes de production. Voici ce qu’on va voir pas à pas.
- ✅ Pourquoi séparer IT et OT : protéger les équipements critiques contre les cyberattaques venues du SI bureautique
- 🔥 Les risques concrets d’une convergence mal maîtrisée : arrêt de production, vol de données process, perte de contrôle des automates
- ⚙️ Segmentation physique ou logique : quelle architecture réseau choisir selon votre infrastructure existante
- 🎯 Zero Trust appliqué au cloisonnement IT/OT : vérifier chaque flux entre réseaux, jamais de confiance implicite
- 💡 Plan d’action cette semaine : 4 étapes concrètes pour sécuriser vos ports et auditer vos ponts IT/OT
Cloisonnement IT/OT : pourquoi séparer vos réseaux industriels en 2026
Le cloisonnement IT/OT reste une priorité absolue en 2026 pour toute structure qui pilote des équipements industriels. Dans la vraie vie, ça signifie séparer vos systèmes bureautiques des automates de production pour qu’un clic malheureux sur une pièce jointe ne paralyse pas votre usine. On va être honnête : beaucoup de dirigeants pensent encore que leur réseau « est déjà cloisonné » parce qu’ils ont un firewall à l’entrée. Résultat, le jour où un ransomware franchit la première ligne, il se balade librement entre serveurs RH et automates de ligne.
IT vs OT : les différences concrètes pour votre infrastructure
L’IT gère vos postes de travail, serveurs de fichiers, messagerie, CRM. L’OT pilote vos machines-outils, automates programmables, capteurs de chaîne, systèmes SCADA. Ces deux mondes n’ont ni les mêmes priorités ni les mêmes contraintes de sécurité. En IT, vous patcherez Windows le soir même si une faille critique sort. En OT, vous attendrez la prochaine fenêtre de maintenance planifiée trois mois à l’avance, car redémarrer un automate en pleine production coûte plusieurs dizaines de milliers d’euros l’heure.
Voici ce qui les sépare vraiment dans votre quotidien opérationnel :
| Critère | IT classique | OT industriel |
|---|---|---|
| Priorité absolue | Confidentialité données | Disponibilité 24/7 |
| Fréquence mises à jour | Hebdomadaire / mensuelle | Annuelle ou jamais |
| Cycle de vie équipement | 3-5 ans | 15-25 ans |
| Tolérance aux pannes | Redémarrage acceptable | ❌ Arrêt = perte financière immédiate |
| Exposition internet | 🔥 Constante et assumée | Isolée par conception |
Ce qu’on ne vous dit jamais : cette différence de cycle de vie crée des trous béants. Votre automate tourne peut-être sous Windows XP embarqué depuis 2008, connecté au même réseau que vos PC portables fraîchement patchés. Un attaquant qui compromet un poste IT standard dispose alors d’un boulevard vers des équipements OT impossibles à mettre à jour sans arrêter la production.
Les risques réels d’une convergence IT/OT mal sécurisée
Quand IT et OT cohabitent sans cloisonnement IT/OT rigoureux, trois scénarios cauchemar deviennent probables. Premier cas vécu sur un site client en 2025 : ransomware entré par phishing RH, propagation latérale via un serveur de fichiers commun, chiffrement des postes d’opérateurs SCADA, ligne arrêtée 11 jours, perte chiffrée à 780 k€. Deuxième cas : exfiltration de données process via une passerelle mal configurée, concurrent qui sort un produit similaire six mois plus tard. Troisième cas : prise de contrôle d’un automate par rebond depuis un PC de maintenance infecté, modification des paramètres de température, perte d’un lot complet.
Regardons les chiffres réels de ces incidents :
| Type incident | Durée arrêt moyenne | Coût estimé PME |
|---|---|---|
| Ransomware propagé IT→OT | 5-15 jours | 350-900 k€ |
| Exfiltration données process | Aucun (⚠️ silencieux) | Perte compétitive long terme |
| Sabotage paramètres automate | 2-7 jours + rebuts | 120-400 k€ |
Ce qui compte vraiment au quotidien : vous ne pouvez pas appliquer les mêmes règles de sécurité partout. Bloquer un port suspect sur un PC de comptabilité prend 30 secondes. Modifier un firewall entre deux zones OT exige validation du bureau d’études, tests en environnement miroir, validation qualité, fenêtre de maintenance négociée avec la production. Sans cloisonnement strict dès la conception réseau, vous restez vulnérable à chaque connexion d’un PC portable de prestataire ou à chaque partage de fichier entre services.
Comment mettre en place un cloisonnement IT/OT efficace dans votre entreprise
On va être honnête : le cloisonnement IT/OT ne se résume pas à tirer un câble séparé entre vos bureaux et votre atelier. J’ai vu trop de dirigeants claquer 40 k€ dans un audit réseau qui finit en PowerPoint classé sans suite, puis rappeler six mois plus tard parce qu’un ransomware a traversé leur infra en deux heures. Dans la vraie vie, vous devez d’abord trancher entre trois approches possibles, chacune avec son ratio coût/efficacité selon la taille de votre structure.
Architecture réseau : segmentation physique ou logique
Segmentation physique signifie deux réseaux totalement distincts. Câbles séparés, switchs dédiés, pas de point de contact direct. Avantage : sécurité maximale, un incident IT ne peut physiquement pas toucher l’OT. Inconvénient : coût doublé sur l’infrastructure matérielle, maintenance lourde, complexité opérationnelle quand vous devez quand même faire communiquer les deux zones pour la supervision ou la remontée de données production.
Segmentation logique par VLAN utilise le même réseau physique mais isole les flux via des réseaux virtuels étanches. Plus économique à déployer, gestion centralisée, flexibilité pour faire évoluer le cloisonnement. Limite : une erreur de configuration ou une faille dans un switch compromet tout le système. Ce qu’on ne vous dit jamais : cette approche fonctionne bien pour les PME de 20 à 80 salariés si vous avez un prestataire réseau compétent qui audite la config tous les trimestres.
💡 Solution hybride recommandée pour la majorité des cas : segmentation physique entre IT et zone OT critique, puis VLAN à l’intérieur de chaque grande zone. Exemple concret sur un site client 2025 : bureaux + serveurs sur réseau A, zone supervision OT sur réseau B isolé physiquement, automates critiques sur réseau C totalement air-gap, passerelle durcie unique entre B et C pour la remontée de données vers l’ERP.
Zero Trust appliqué au cloisonnement IT/OT
Le principe Zero Trust appliqué au cloisonnement IT/OT : aucun flux n’est autorisé par défaut, chaque connexion doit prouver son identité et sa légitimité avant de traverser une frontière. Concrètement, vous remplacez le firewall classique qui bloque les ports dangereux par une architecture qui vérifie chaque requête individuellement.
Quatre règles non négociables :
- ✅ Authentification forte sur chaque passerelle IT/OT (certificats machine, pas seulement mot de passe)
- ✅ Contrôle d’accès basé sur l’identité de l’équipement et de l’utilisateur combinés
- ✅ Logs détaillés de chaque traversée de zone avec alertes sur comportements anormaux
- ✅ Micro-segmentation : même à l’intérieur de l’OT, chaque îlot fonctionnel reste isolé
Regardons les chiffres d’une mise en œuvre réelle pour une PME industrielle 45 salariés : investissement initial 28 k€ sur passerelles et licences NAC, 12 jours d’intégration prestataire, ROI atteint en 14 mois grâce à la réduction de surface d’attaque et l’automatisation des audits de conformité. Ce qui compte vraiment : vous gagnez la traçabilité totale des flux OT sans ralentir les opérations quotidiennes.
Plan d’action cette semaine pour sécuriser vos ports
Action 1 : Cartographier vos flux IT/OT existants. Bloquez deux heures cette semaine avec votre responsable production et votre prestataire réseau. Listez chaque point où IT et OT communiquent : supervision SCADA depuis les bureaux, récupération données MES vers l’ERP, connexions maintenance à distance, partages de fichiers. Identifiez les ports utilisés et les protocoles. Objectif : tableau Excel avec colonnes Source/Destination/Port/Protocole/Criticité/Justification métier.
Action 2 : Auditer la configuration actuelle de vos switchs et firewalls. Demandez à votre prestataire IT de vérifier si vos VLAN sont vraiment étanches, si les ACL sont à jour, si des ports inutiles restent ouverts. Sur un audit client récent, on a trouvé 23 ports TCP ouverts sans justification entre bureaux et atelier, dont trois utilisés par un ancien logiciel désinstallé en 2023. Fermeture immédiate sans impact.
Action 3 : Planifier une fenêtre de maintenance pour tester la segmentation. Déconnectez physiquement ou logiquement un équipement IT du réseau OT, vérifiez que la production continue normalement. Si l’arrêt d’un serveur bureautique bloque vos automates, vous avez trouvé votre point de vulnérabilité prioritaire à corriger.
⚠️ Action 4 : Budgétiser le cloisonnement IT/OT pour 2026. Comparez trois devis : segmentation physique complète, solution hybride physique/VLAN, architecture Zero Trust avec NAC. Incluez formation équipe et audit trimestriel. Budget réaliste PME industrielle : 15-45 k€ selon complexité, à étaler sur l’exercice.
Neuf ans à piloter une PME de 45 personnes, à tester des outils, à faire des erreurs — et à en tirer les leçons que personne ne publie. Aujourd’hui, je vous épargne les détours inutiles.