Sécurité OT & ICS : protéger les environnements industriels

Les cyberattaques contre les environnements industriels ont augmenté de 87 % en 2024 (Dragos Year in Review). Les ransomware Black Basta, LockBit et FrostyGoop ciblent désormais les SCADA, PLC et systèmes de supervision : usines, logistique, énergie, eau. Avec NIS2 qui s'applique à toute l'industrie manufacturière critique et IEC 62443 devenu standard de fait, sécuriser l'OT n'est plus optionnel. Ce guide vous présente la méthode, les contrôles et le plan d'action.
IT vs OT : pourquoi c'est différent
| Dimension | IT | OT / ICS |
|---|---|---|
| Priorité | Confidentialité | Disponibilité & sécurité physique |
| Durée de vie | 3–5 ans | 15–30 ans |
| Patching | Mensuel | Annuel (arrêts de prod planifiés) |
| Protocoles | HTTPS, SMB, LDAP | Modbus, OPC-UA, Profinet, DNP3 |
| Impact d'un arrêt | Productivité | Pertes massives, risque vies humaines |
Le modèle Purdue : la colonne vertébrale de l'architecture OT
Référence universelle pour segmenter IT et OT, repris par IEC 62443 :
Entreprise / Internet
Web, email, ERP corporate.
Système d'information
MES, planification, reporting.
DMZ industrielle
Passerelle obligatoire entre IT et OT. Jump servers, antivirus, patch management.
Supervision opérationnelle
Historian, serveurs MES, postes ingénieurs.
Supervision contrôle (SCADA / HMI)
Interfaces opérateurs, serveurs de supervision.
Contrôle (PLC, DCS, RTU)
Automates qui pilotent les actionneurs.
Process physique
Capteurs, moteurs, vannes, instruments.
Le standard IEC 62443
Famille de normes ISA/IEC dédiées à la sécurité des systèmes d'automatisation industriels. Articulée autour de 4 axes : général, politique & procédures, système, composant. Définit notamment les Security Levels SL1 à SL4 et la notion de zones et conduits pour la segmentation.
SL1
Protection contre la violation accidentelle.
SL2
Attaquant opportuniste, ressources limitées.
SL3
Attaquant ciblé avec compétences ICS.
SL4
Attaquant étatique, ressources étendues.
Plan d'action OT en 10 étapes
- Inventaire passif des assets OT (Nozomi, Claroty, Dragos, Tenable.ot)
- Cartographier les flux IT/OT et identifier les liaisons sauvages (USB, modems 4G, accès fournisseurs)
- Installer une DMZ industrielle (niveau 3.5 Purdue) avec firewall dédié
- Segmenter en zones & conduits selon IEC 62443
- Sécuriser les accès distants fournisseurs (jump server, MFA, journalisation vidéo)
- Monitoring passif des protocoles OT (Modbus, OPC-UA) — jamais d'active scan sans tests
- Hardening des HMI/serveurs SCADA (whitelisting applicatif, comptes nominatifs)
- Politique de patch adaptée : windows de maintenance, virtual patching via IPS
- Plan de continuité industriel : configurations PLC sauvegardées, pièces de rechange, runbooks
- Sensibilisation des automaticiens et exercices de crise (table-top + technique)
Pièges spécifiques à l'industriel
Sécurisez votre environnement industriel
15 minutes pour évaluer la maturité OT de votre site, votre exposition NIS2 et les premières actions prioritaires. Sans engagement.
Réserver mon audit gratuit