|

5 Vérités Inattendues sur La Cybersécurité Systèmes Industriels en 2025

ParCyber Drôme

Cybersécurité Systèmes Industriels en 2025

5 vérités inattendues qui protègent nos usines

L’image d’une usine évoque souvent des machines imposantes, des chaînes de production en mouvement et la fabrication de biens tangibles. Pourtant, derrière cette façade mécanique se cache une réalité de plus en plus complexe et connectée. Ces systèmes industriels, autrefois isolés, sont désormais liés aux réseaux informatiques mondiaux, les exposant à des menaces cybernétiques bien réelles. Alors, que faut-il vraiment pour protéger nos infrastructures critiques à l’ère du numérique ? Cet article distille les cinq leçons les plus contre-intuitives et essentielles tirées d’un guide d’experts sur le sujet.

Le copier-coller ne fonctionne pas : la cybersécurité industrielle est un monde à part

Appliquer les règles de la cybersécurité informatique (IT) classique au monde industriel (technologie opérationnelle, ou OT) est une recette pour l’échec. Le contexte, les priorités et les contraintes sont si différents qu’une approche spécifique est indispensable. Ignorer ces particularités conduit souvent à des mesures de sécurité inadaptées, voire contre-productives.

Voici trois différences fondamentales qui changent tout :

  • Priorités inversées : Dans un bureau, la confidentialité des données est souvent reine. Dans une usine, la priorité absolue est la disponibilité des équipements et la sûreté (la sécurité physique des personnes et de l’environnement). Un arrêt de production ou un accident a des conséquences bien plus graves qu’une fuite de données.
  • Durées de vie incompatibles : Un ordinateur de bureau est remplacé tous les 3 à 5 ans. Un système de contrôle industriel peut fonctionner pendant plusieurs décennies. Cette longévité entraîne une obsolescence inévitable des composants informatiques intégrés, les rendant vulnérables et difficiles à mettre à jour.
  • L’impact d’une simple mise à jour : Ce qui est une routine en informatique de bureau – appliquer un correctif de sécurité – peut être une opération à haut risque dans l’industrie. En effet, contrairement à un simple redémarrage de PC, toute modification logicielle sur un système qualifié peut imposer de reprendre une partie du lourd cycle de validation en « V », un processus qui garantit la fiabilité mais rend la moindre mise à jour extraordinairement complexe et coûteuse.

Ceci complexifie l’application des mesures de sécurité en milieu industriel et se traduit donc par une non-compréhension de leur intérêt, et, parfois même, par leur pur et simple abandon.

La cybersécurité industrielle n’est pas une simple extension de l’informatique traditionnelle ; c’est une discipline à part entière. Mais avant même de pouvoir appliquer ces règles spécifiques, il faut faire face à un défi encore plus fondamental : savoir ce que l’on protège.

On ne peut pas protéger une usine fantôme : le défi fondamental de l’inventaire

La toute première étape de n’importe quelle démarche de sécurité est de savoir ce que l’on doit protéger. En cybersécurité industrielle, cela se traduit par un inventaire précis des équipements et une cartographie claire des réseaux. Pourtant, le fait le plus surprenant est que cette base fondamentale fait souvent défaut.

Dans de nombreux environnements industriels, les informations sur les équipements connectés sont « dispersées, obsolètes ou incomplètes ». Ce manque de visibilité n’est pas dû à la négligence, mais est souvent l’héritage de décennies d’évolutions, de projets menés par différents intégrateurs et d’une documentation qui peine à suivre le rythme de la réalité du terrain. C’est comme essayer de garantir la sécurité d’une machine-outil complexe sans posséder son schéma de montage ni la liste de ses composants. La moindre intervention devient un pari risqué.

Sans un inventaire à jour, il est impossible de :

La cybersécurité ne commence pas toujours par des technologies de pointe, mais souvent par ce travail fastidieux mais essentiel de documentation. Une fois que l’on sait quoi protéger, la question devient qui doit s’en charger. La réponse est bien plus vaste qu’on ne l’imagine.

Plus qu’une affaire de techniciens : la cybersécurité est d’abord une question d’organisation

Penser que la cybersécurité industrielle se résume à installer des pare-feux et des antivirus est une erreur commune. La technologie seule ne suffit pas ; la véritable clé du succès réside dans la gouvernance, c’est-à-dire l’organisation des acteurs et des processus. Un projet de sécurité sans soutien organisationnel fort est voué à l’échec.

Aucune initiative de cybersécurité industrielle ne survit sans un « sponsor » : une personne haut placée dans l’organisation qui donne le poids et la légitimité nécessaires à l’initiative, permettant de mobiliser les ressources et de faire appliquer les décisions.

La cybersécurité industrielle implique une collaboration transverse qui brise les silos habituels. Parmi les acteurs, parfois surprenants, qui doivent être impliqués, on trouve :

  • Le Responsable de maintenance et les automaticiens : les experts de terrain qui connaissent le fonctionnement réel des machines.
  • Le Responsable des risques industriels et les spécialistes en sûreté de fonctionnement : pour s’assurer que la sécurité numérique ne contredit pas la sécurité physique.
  • Les Responsables juridiques et les relations publiques : car une cyberattaque sur une usine n’est pas qu’un problème technique, c’est une crise potentielle de réputation et de conformité réglementaire qui doit être gérée avec précision.
  • Les Responsables en ressources humaines : car la cybersécurité commence et se termine avec les gens, du recrutement de personnel de confiance à la gestion des départs pour s’assurer qu’aucun accès ne subsiste.

Pour clarifier qui fait quoi, l’utilisation d’une matrice « RACI » (Responsable, Acteurs, Consultés et Informés) est essentielle. Elle permet de définir précisément les rôles et d’éviter que la sécurité ne devienne la responsabilité de tout le monde, et donc de personne. C’est un sport d’équipe qui exige une coordination sans faille. Et même avec une organisation parfaite, la forteresse reste vulnérable si l’on oublie les portes dérobées, souvent ouvertes par ceux en qui l’on a le plus confiance.

Votre plus grande faille pourrait être… votre prestataire de maintenance

La complexité des systèmes industriels modernes signifie qu’aucune entreprise ne fonctionne en vase clos. Elles dépendent d’un vaste écosystème de partenaires externes : fournisseurs d’équipements, intégrateurs de systèmes, et surtout, prestataires de maintenance. Si ces partenaires sont essentiels, ils représentent également une surface d’attaque étendue.

Chaque sous-traitant est une porte d’entrée potentielle pour une cyberattaque. Le risque est particulièrement élevé avec la maintenance à distance (télémaintenance). Un attaquant peut compromettre le système d’information du prestataire pour ensuite, « par rebond », utiliser son accès légitime pour s’introduire dans les systèmes de l’usine.

Face à cette menace, l’approche du « Zero Trust » (zéro confiance) devient particulièrement pertinente. Ce principe consiste à ne faire confiance à personne par défaut, même aux partenaires de longue date. Chaque accès, chaque connexion doit être vérifié, authentifié et autorisé de manière stricte.

La leçon est claire : le périmètre de sécurité ne s’arrête plus aux murs de l’usine ; il est devenu poreux, s’étendant à travers chaque connexion VPN et chaque contrat de service. La confiance n’est plus un acquis, c’est un privilège qui doit être vérifié en permanence. Cette redéfinition du périmètre nous amène à la question la plus complexe de toutes : que se passe-t-il lorsque protéger les données menace de blesser les gens ?

Le dilemme ultime : quand la sécurité informatique menace la sécurité physique

Dans le monde industriel, il est crucial de distinguer deux termes : la « sécurité » (la cybersécurité, qui protège les systèmes contre les actes malveillants) et la « sûreté » (qui protège les personnes, l’environnement et les installations contre les accidents physiques).

Le point le plus contre-intuitif est que, parfois, ces deux objectifs peuvent entrer en conflit direct. Une mesure conçue pour améliorer la sécurité peut dégrader la sûreté. Ici, l’objectif de sécurité (empêcher une intrusion physique) entre en conflit direct avec l’objectif de sûreté (permettre l’évacuation en cas d’incendie).

Le guide donne un exemple concret et parlant pour illustrer ce dilemme :

…des arbitrages ou des adaptations sont parfois nécessaires lorsque le traitement des risques de cybersécurité s’oppose à la sûreté de fonctionnement (par exemple, la porte coupe-feu qui devrait rester fermée mais qui devra plutôt être surveillée).

Cet exemple simple est lourd de sens : une porte coupe-feu qui se verrouillerait automatiquement pour empêcher un accès physique non autorisé pourrait piéger des employés en cas d’incendie. La solution n’est pas de choisir l’un ou l’autre, mais de trouver un arbitrage intelligent : dans ce cas, laisser la porte déverrouillée mais la placer sous surveillance pour détecter toute ouverture anormale.

La cybersécurité industrielle n’est donc pas une science exacte. Elle exige des arbitrages complexes et une collaboration étroite entre les experts cyber et les ingénieurs en sûreté pour s’assurer que la protection numérique ne se fasse jamais au détriment de la vie humaine.

En définitive, la cybersécurité industrielle nous enseigne une leçon d’humilité : la technologie la plus avancée ne vaut rien sans la cartographie méticuleuse d’un automaticien, la rigueur d’un processus RH et l’arbitrage éclairé d’un ingénieur en sûreté. La véritable forteresse n’est pas dans le pare-feu, mais dans l’organisation qui le pilote.

Alors que nos usines deviennent les centres névralgiques de notre société connectée, avons-nous la maturité organisationnelle pour regarder au-delà des pare-feux et bâtir une culture de la sécurité aussi robuste que nos machines ?

Plan d’Action : mise en œuvre de la Gouvernance de la Cybersécurité des Systèmes Industriels

Introduction : votre feuille de route stratégique

En tant que Responsable de la Sécurité des Systèmes Industriels (RSSI) nouvellement nommé, vous êtes au point de départ d’une initiative fondamentale pour la pérennité et la performance de notre entreprise. Ce document a été conçu comme une feuille de route structurée, un plan d’action pragmatique pour vous guider dans la mise en place d’une gouvernance de cybersécurité à la fois robuste et durable. Chaque étape, chaque action recommandée ici s’appuie exclusivement sur les meilleures pratiques issues du « Guide de la Cybersécurité des Systèmes Industriels ». Cette démarche n’est pas seulement technique ; elle est avant tout stratégique. Elle vise à protéger nos opérations critiques, à garantir notre conformité réglementaire et, surtout, à aligner la sécurité sur les objectifs métiers de l’entreprise, en la transformant d’un centre de coût perçu en un véritable partenaire de la performance.

Nous débuterons par la première phase, la plus essentielle : l’établissement des fondations solides sur lesquelles reposera l’ensemble de notre édifice de sécurité.

Phase 1 : établissement des fondations et de la stratégie

La réussite de l’ensemble du programme de cybersécurité dépend de la solidité de ses fondations. Cette première phase est donc d’une importance critique. Avant de déployer des outils ou de rédiger des procédures détaillées, il est impératif d’ancrer la démarche au plus haut niveau de l’organisation. Un sponsoring clair de la part de la direction, une compréhension approfondie de notre contexte métier et réglementaire, et la définition d’un périmètre d’action précis sont les trois piliers qui garantiront la pertinence et la pérennité de vos actions.

Obtenir le sponsoring et clarifier le mandat

Votre première action consiste à identifier et à officialiser le soutien d’un sponsor au sein de la direction. Ce sponsor est le garant de la mise à disposition des ressources humaines et matérielles indispensables pour atteindre les objectifs de sécurité. Son rôle est de vous conférer le poids nécessaire pour assurer la bonne implication de l’ensemble des parties prenantes, des responsables de site à l’informatique industrielle.

Vous devez capitaliser sur ce soutien pour établir formellement votre rôle et votre mandat de RSSI Industriel, en clarifiant votre positionnement et vos responsabilités au sein de l’organisation.

Analyser le contexte métier et réglementaire

Pour que la cybersécurité soit pertinente, elle doit servir le métier. Il est donc indispensable que vous acquériez une compréhension profonde des activités de l’entreprise, des risques inhérents à nos opérations et du cadre réglementaire qui nous gouverne.

Pour mener cette analyse, les actions suivantes sont à entreprendre :

  • Identifier les réglementations et normes applicables : Il est crucial de recenser l’ensemble des textes qui s’appliquent à notre contexte, qu’il s’agisse de la Loi de Programmation Militaire (LPM), des exigences GxP pour le secteur pharmaceutique, ou d’autres normes sectorielles.
  • Capitaliser sur la connaissance métier : Collaborez avec les responsables d’exploitation et de maintenance pour évaluer la criticité de chaque système. Cette évaluation doit se baser sur les impacts potentiels en cas d’incident : impacts sur les missions de l’entreprise, humains, financiers et environnementaux.
  • Initier une première appréciation des risques à haut niveau : Pour compléter cette analyse, il est recommandé de lancer une appréciation des risques préliminaire. Cet exercice a pour but d’esquisser les priorités initiales de votre plan d’action en se basant sur les menaces les plus évidentes et les impacts les plus critiques.

Cette compréhension fine du contexte organisationnel et technique mène naturellement à la Phase 2, qui consiste à découvrir, inventorier et cartographier précisément ces actifs, puis à évaluer les risques réels qui pèsent sur eux.

Phase 2 : découverte, cartographie et évaluation des risques

Cette phase constitue une étape fondamentale de connaissance. On ne peut sécuriser efficacement ce que l’on ne connaît pas. L’inventaire des actifs, la cartographie de leurs interconnexions et l’appréciation formelle des risques sont les piliers qui permettent de passer d’une approche réactive, subissant les incidents, à une stratégie de défense proactive et intelligemment priorisée en fonction des risques réels qui pèsent sur nos opérations.

Mener l’inventaire et la cartographie

L’objectif de cette action est d’obtenir une vision claire, détaillée et à jour de l’ensemble de nos systèmes industriels. Un inventaire précis et une cartographie fiable sont indispensables pour de nombreuses activités de cybersécurité, de la gestion des vulnérabilités à la réponse à incident.

Pour être efficace, l’inventaire doit collecter à minima les informations suivantes pour chaque actif :

  • Numéro d’actif ou référence unique
  • Type d’équipement (automate, HMI, serveur, commutateur, etc.)
  • Niveau de criticité de l’équipement
  • Nom de l’équipement (Netbios, etc.), adresse MAC, adresse IP
  • Marque, modèle ou référence constructeur
  • Propriétaire ou service responsable
  • Version de l’équipement et du firmware
  • Caractéristiques matérielles (RAM, CPU, etc.)
  • Emplacement physique ou géographique
  • Mainteneur (interne ou externe)

Conduire l’appréciation des risques

L’appréciation des risques est l’outil stratégique qui permet d’identifier, d’évaluer et de hiérarchiser les menaces pesant sur nos systèmes. Son objectif est d’établir les priorités du plan de traitement des risques de manière objective et de sensibiliser la direction avec des arguments factuels.

La démarche recommandée, inspirée de la méthode EBIOS et détaillée à la section 6.6 du guide, se déroule en quatre temps :

  1. Cadrage Général : L’analyse doit s’appuyer sur une méthode reconnue. Il est essentiel d’adapter les échelles d’impact à notre contexte industriel spécifique, en incluant des critères comme la perte de production aux côtés des impacts financiers ou humains.
  2. Appréciation du Risque : Ce processus consiste à établir des scénarios de menace pertinents (ex: « un rançongiciel se propage depuis le réseau bureautique et paralyse la supervision de la ligne de production X »). Pour chaque scénario, il faut évaluer la vraisemblance de sa survenue et l’impact qu’il aurait sur nos opérations.
  3. Traitement du Risque : Pour chaque risque jugé inacceptable, quatre options de traitement sont possibles :Accepter le risque en connaissance de cause.Réduire le risque en appliquant des mesures de sécurité.Éviter le risque en modifiant le processus ou le système.Transférer le risque, par exemple via une assurance ou une externalisation encadrée.
  4. Risques Résiduels : Après application des mesures, les risques qui ne peuvent être davantage réduits doivent faire l’objet d’une acceptation formelle par les responsables métiers et la direction.

Les résultats de cette analyse des risques sont le fondement sur lequel nous allons construire notre organisation, nos politiques et notre architecture de sécurité.

Phase 3 : définition de l’organisation et des politiques

Cette phase a pour but de traduire la stratégie et les conclusions de l’analyse des risques en un cadre de gouvernance formel et pérenne. C’est en définissant clairement les rôles, les responsabilités et les règles du jeu que la cybersécurité devient véritablement opérationnelle et intégrée aux processus quotidiens de l’entreprise. Sans ce cadre, les meilleures mesures techniques restent des initiatives isolées et fragiles.

Structurer l’organisation et les responsabilités (RACI)

Pour que la gouvernance soit durable, elle ne peut reposer sur une seule personne. Les rôles et responsabilités doivent être répartis entre les différentes parties prenantes. L’outil privilégié pour cette clarification est la matrice RACI (Responsable, Acteur, Consulté, Informé).

Ce modèle est un exemple illustratif à adapter. La définition finale doit être le fruit d’ateliers collaboratifs avec les parties prenantes.

  • Processus / Activité Clé
  • RSSI Industriel
  • Responsable de site
  • Responsable de maintenance
  • Informatique industrielle
  • Direction générale (Sponsor)
  • Gestion des incidents de sécurité
  • Appréciation des risques
  • Maintien en Condition de Sécurité (MCS)
  • Gestion de la sous-traitance
  • Audit de sécurité

Pour vous aider à remplir cette matrice, posez des questions concrètes aux différentes parties prenantes :

  • Lors d’un projet de création, modification conséquente, décommissionnement ou démobilisation :« Qui aura la responsabilité du respect par les sous-traitants des exigences de cybersécurité ? » »Qui aura la responsabilité de la conformité aux exigences réglementaires liées au client final ? »
  • Lors de la phase d’exploitation d’un système industriel :« Qui aura la responsabilité de la cybersécurité des équipements utilisant des produits bureautiques (stations Windows, etc.) et de leur maintien en condition de sécurité ? » »Qui aura la responsabilité de la mise à jour des produits de la partie industrielle ? » »Qui aura la responsabilité des choix opérationnels liés à la sécurité (réaction face à un incident, déploiement de correctifs, etc.) ? »

Définir et rédiger les politiques et procédures clés

Le cadre organisationnel doit être soutenu par un corpus documentaire formel qui énonce les règles et les attendus. Les politiques et procédures suivantes, citées à la section 4.6 du guide, sont essentielles pour structurer la démarche :

  • Politique de la Sécurité des Systèmes d’Information (PSSI) Objectif : Document fondateur qui définit la vision, la stratégie, les objectifs et les grands principes de la sécurité au niveau de l’entreprise, validé par la direction.
  • Procédure de Maintien en Condition de Sécurité (MCS) Objectif : Décrire l’ensemble des actions (veille, gestion des patchs, revues de configuration) visant à maintenir le niveau de sécurité des systèmes tout au long de leur cycle de vie.
  • Procédure d’Intégration de la Sécurité dans les Projets Objectif : Garantir que la cybersécurité est prise en compte dès la phase de conception de tout nouveau système industriel ou de toute évolution majeure (« security by design »).
  • Plan d’Assurance Sécurité (PAS) Objectif : Document contractuel, notamment avec les sous-traitants, qui décrit les exigences de sécurité spécifiques à un projet ou une prestation et les modalités de leur vérification.
  • Politique d’Exploitation Sécurité Objectif : Définir les règles que les opérateurs et administrateurs doivent respecter au quotidien pour l’exploitation sécurisée des systèmes (gestion des comptes, sauvegardes, surveillance, etc.).

Une fois ce cadre défini, il devient indispensable de mesurer son efficacité et de l’inscrire dans une dynamique d’amélioration continue.

Phase 4 : pilotage et amélioration continue

La gouvernance de la cybersécurité n’est pas un projet avec une date de fin, mais un processus vivant et continu. Cette dernière phase vise à mettre en place les mécanismes de contrôle et de mesure qui garantissent l’efficacité des actions menées, justifient les investissements et permettent d’ajuster la stratégie dans le temps en fonction de l’évolution des risques et du contexte de l’entreprise.

Mettre en place les Indicateurs de Performance (KPIs)

Pour piloter la performance de la gouvernance et communiquer efficacement avec la direction, il est nécessaire de définir des indicateurs clés (KPIs). Ces indicateurs doivent être simples, mesurables et pertinents.

Voici une série d’indicateurs à adapter à notre contexte :

  • Évolution de l’évaluation des risques sur le périmètre (ex: % de risques critiques traités).
  • État d’avancement sur le plan d’audit et de contrôle (ex: nombre d’audits réalisés vs planifiés).
  • État de conformité à un référentiel sélectionné (PSSI, IEC 62443, etc.).
  • État d’avancement dans le plan de sensibilisation (ex: % d’employés formés).
  • Nombre d’incidents dans l’année et nombre de violations des règles de sécurité constatées.

Instaurer un cycle d’audits réguliers

Un audit mené par un tiers indépendant est un outil puissant pour objectiver notre niveau de sécurité réel et construire une feuille de route d’amélioration basée sur des constats impartiaux. Loin d’être une simple vérification, l’audit est une opportunité de progrès.

Les audits doivent être planifiés et menés de manière périodique. Comme le précise la section 13.4 du guide, pour les Systèmes d’Information d’Importance Vitale (SIIV), « l’audit d’homologation à la loi de programmation militaire doit être réalisé a minima tous les 3 ans et après chaque modification majeure du SIIV. » Il est également indispensable de réaliser un audit suite à un incident de sécurité significatif pour en tirer les leçons.

Conclusion et prochaines étapes

Ce plan d’action vous fournit une trajectoire claire, décomposée en quatre phases logiques : l’établissement des Fondations stratégiques, la Découverte de notre périmètre et de nos risques, la définition de l’Organisation et des politiques, et enfin le Pilotage par la mesure et l’amélioration continue.

En menant à bien cette initiative, vous ne ferez pas que renforcer nos défenses. Vous positionnerez la cybersécurité industrielle comme un véritable partenaire stratégique du métier, un catalyseur de confiance et de résilience, et non plus comme une simple contrainte technique ou budgétaire.

La prochaine étape concrète est la présentation de cette feuille de route à votre sponsor. Utilisez cette feuille de route comme la structure de votre note de cadrage ou de votre présentation au comité de direction pour formaliser votre mandat et sécuriser le budget initial nécessaire au lancement de la Phase 1.

Publications similaires