Retour aux actualités
    Guide

    Sécurité OT & ICS : protéger les environnements industriels

    Cybersécurité industrielle OT ICS SCADA

    Les cyberattaques contre les environnements industriels ont augmenté de 87 % en 2024 (Dragos Year in Review). Les ransomware Black Basta, LockBit et FrostyGoop ciblent désormais les SCADA, PLC et systèmes de supervision : usines, logistique, énergie, eau. Avec NIS2 qui s'applique à toute l'industrie manufacturière critique et IEC 62443 devenu standard de fait, sécuriser l'OT n'est plus optionnel. Ce guide vous présente la méthode, les contrôles et le plan d'action.

    IT vs OT : pourquoi c'est différent

    DimensionITOT / ICS
    PrioritéConfidentialitéDisponibilité & sécurité physique
    Durée de vie3–5 ans15–30 ans
    PatchingMensuelAnnuel (arrêts de prod planifiés)
    ProtocolesHTTPS, SMB, LDAPModbus, OPC-UA, Profinet, DNP3
    Impact d'un arrêtProductivitéPertes massives, risque vies humaines

    Le modèle Purdue : la colonne vertébrale de l'architecture OT

    Référence universelle pour segmenter IT et OT, repris par IEC 62443 :

    L5

    Entreprise / Internet

    Web, email, ERP corporate.

    L4

    Système d'information

    MES, planification, reporting.

    L3.5

    DMZ industrielle

    Passerelle obligatoire entre IT et OT. Jump servers, antivirus, patch management.

    L3

    Supervision opérationnelle

    Historian, serveurs MES, postes ingénieurs.

    L2

    Supervision contrôle (SCADA / HMI)

    Interfaces opérateurs, serveurs de supervision.

    L1

    Contrôle (PLC, DCS, RTU)

    Automates qui pilotent les actionneurs.

    L0

    Process physique

    Capteurs, moteurs, vannes, instruments.

    Le standard IEC 62443

    Famille de normes ISA/IEC dédiées à la sécurité des systèmes d'automatisation industriels. Articulée autour de 4 axes : général, politique & procédures, système, composant. Définit notamment les Security Levels SL1 à SL4 et la notion de zones et conduits pour la segmentation.

    SL1

    Protection contre la violation accidentelle.

    SL2

    Attaquant opportuniste, ressources limitées.

    SL3

    Attaquant ciblé avec compétences ICS.

    SL4

    Attaquant étatique, ressources étendues.

    Plan d'action OT en 10 étapes

    1. Inventaire passif des assets OT (Nozomi, Claroty, Dragos, Tenable.ot)
    2. Cartographier les flux IT/OT et identifier les liaisons sauvages (USB, modems 4G, accès fournisseurs)
    3. Installer une DMZ industrielle (niveau 3.5 Purdue) avec firewall dédié
    4. Segmenter en zones & conduits selon IEC 62443
    5. Sécuriser les accès distants fournisseurs (jump server, MFA, journalisation vidéo)
    6. Monitoring passif des protocoles OT (Modbus, OPC-UA) — jamais d'active scan sans tests
    7. Hardening des HMI/serveurs SCADA (whitelisting applicatif, comptes nominatifs)
    8. Politique de patch adaptée : windows de maintenance, virtual patching via IPS
    9. Plan de continuité industriel : configurations PLC sauvegardées, pièces de rechange, runbooks
    10. Sensibilisation des automaticiens et exercices de crise (table-top + technique)

    Pièges spécifiques à l'industriel

    Lancer un scan Nessus actif sur un PLC : crash garanti, arrêt de production
    Brancher un EDR Windows classique sur une HMI XP/7 industrielle : instabilité
    Connecter l'OT à l'AD Windows IT : compromission IT = compromission OT immédiate
    Oublier les accès maintenance fournisseurs (TeamViewer, AnyDesk) — vecteur n°1 d'intrusion
    Penser que « l'air gap » suffit : la plupart des sites prétendument isolés ont des liaisons cachées

    Sécurisez votre environnement industriel

    15 minutes pour évaluer la maturité OT de votre site, votre exposition NIS2 et les premières actions prioritaires. Sans engagement.

    Réserver mon audit gratuit

    Articles liés

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.