IndustryHub
TECHNOLOGIES / SÉCURITÉ

Cybersécurité OT (Operational Technology)

OT

Cybersécurité OT (Operational Technology)

Sécuriser les systèmes de contrôle industriel — PLC, DCS, SCADA, RTU, IIoT. IEC 62443, NIS2, Cyber Resilience Act. Modèle Purdue, segmentation, détection d'intrusion ICS, gestion des incidents OT — les bases pour protéger un site industriel contre les Stuxnet, Triton et Industroyer.

IT et OT : 2 mondes, 2 logiques

On ne sécurise pas une usine comme un datacenter. La cybersécurité OT a ses propres règles, héritées des contraintes industrielles : continuité, sécurité physique, équipements legacy non-patchables.

Dimension IT OT
Priorité Confidentialité > Intégrité > Disponibilité Disponibilité > Intégrité > Confidentialité
Durée de vie 3–5 ans 15–30 ans
Patching Mensuel, automatisé Annuel, fenêtres planifiées d'arrêt
Disponibilité requise 99 % 99,9–99,999 %
Conséquence d'incident Perte de données, vol Arrêt de production, accident physique, blessure
Protocoles HTTPS, SMTP, SSH Modbus, PROFIBUS, EtherNet/IP, OPC UA
Authentification Forte (MFA, SSO, IAM) Souvent absente sur les protocoles legacy

Modèle Purdue — la cartographie de référence

Hiérarchie en 6 niveaux qui structure tout réseau industriel. Sert de base à l'architecture cybersécurité : chaque niveau a ses propres exigences, et les flux entre niveaux passent obligatoirement par des points de contrôle (DMZ industrielle, firewall, diode).

5

Réseau d'entreprise

ERP, mail, internet

4

Réseau de site

MES, historian, asset management

3.5

DMZ industrielle

Jump server, patch server, proxy

3

Opérations site

Supervision, historien, ingénierie

2

Contrôle de cellule

SCADA, HMI

1

Contrôle basique

PLC, DCS, RTU

0

Procédé physique

Capteurs, actionneurs, moteurs

Incidents majeurs — l'histoire qui éclaire

Ces 5 attaques ont chacune redéfini la perception du risque OT. Toutes ont une leçon technique encore d'actualité.

2010

Stuxnet

Centrifugeuses Natanz (Iran)

Premier malware ciblant des PLC Siemens S7. A détruit ~1000 centrifugeuses d'enrichissement uranium en modifiant la vitesse de rotation.

2015

BlackEnergy / Industroyer

Réseau électrique Ukraine

230 000 personnes sans électricité pendant 6 h. Cyberattaque d'un État-nation visant des sous-stations via SCADA.

2017

Triton / Trisis

Pétrochimie Arabie Saoudite

Première attaque visant un SIS (système instrumenté de sécurité) — Triconex Schneider. Tentative de désactivation du shutdown qui aurait pu causer une explosion.

2021

Colonial Pipeline

Oléoduc USA

Ransomware DarkSide. Arrêt de 5 jours d'un pipeline de 8 800 km. Pénurie sur la côte Est. Démission du CEO. 4,4 M$ de rançon.

2022

Industroyer2

Sous-stations Ukraine

Successeur d'Industroyer 2015. Détecté et neutralisé avant impact par les défenseurs ukrainiens. Cible directement les protocoles IEC 60870-5-104.

Couches de défense — defense in depth

Aucune mesure unique ne suffit. La cyber OT empile les barrières — qu'un attaquant en franchisse une ne lui donne pas accès au procédé.

Inventaire et visibilité

Premier niveau : on ne protège pas ce qu'on ne connaît pas. Outils passifs Dragos, Nozomi, Claroty, OTORIO qui sniffent les protocoles industriels et bâtissent l'inventaire des assets, leur firmware, leurs vulnérabilités CVE.

Segmentation et DMZ

Le modèle Purdue impose une DMZ industrielle (niveau 3.5) entre l'IT et l'OT. Plus aucun flux direct du niveau 4 vers le niveau 3. Diodes optiques pour les flux unidirectionnels (historian → IT). Firewalls industriels (Stormshield, Belden Tofino, Fortinet OT).

Détection d'intrusion (IDS) ICS

Sondes passives qui analysent le trafic OT et alertent sur les anomalies : commande Modbus inhabituelle, plage de valeurs inattendue sur un setpoint, scan, paquet malformé. Indispensable car on ne déploie pas d'agent EDR sur un PLC.

Gestion des accès

Jump servers obligatoires depuis l'IT, MFA, badges horodatés, sessions enregistrées (Wallix, CyberArk, Thycotic). Désactivation des comptes par défaut (admin/admin sur les HMI…). Pas de partage de mots de passe entre opérateurs et mainteneurs.

Réponse à incident OT

Plan de réponse spécifique OT — différent de l'IT. On ne « reboote » pas un PLC qui pilote un haut-fourneau. Procédures de basculement en mode dégradé, communication SOC ↔ équipe procédé. Exercices de table-top annuels obligatoires sous NIS2.

Sauvegarde et restauration

Sauvegardes hors-ligne (air-gapped) des configurations PLC, des recettes batch, des images SCADA. Testées trimestriellement. Le ransomware ne doit JAMAIS pouvoir atteindre les backups. Stockage immuable WORM, snapshots ZFS, bandes LTO.

Interconnexion de sites — Werk A ↔ Werk B ↔ siège ↔ cloud

Les automates de différents sites doivent souvent dialoguer — agrégation MES, supervision groupe, maintenance constructeur à distance, jumeau numérique cloud. Cette interconnexion est la zone de risque cyber la plus délicate de l'industrie moderne. Un VPN naïf entre deux Werke transforme une compromission locale en incident groupe (NotPetya → Maersk, juin 2017 : ~10 000 € de dommages en 10 jours, propagation Active Directory et VPN).

1. Les 5 scénarios typiques

Scénario Flux Méthode courante Risque principal
Werk A ↔ Werk B Synchronisation procédé, transfert recettes batch, traçabilité produit VPN site-to-site IPsec, MPLS, SD-WAN Propagation ransomware entre sites — un domaine AD partagé suffit
Site ↔ siège Reporting MES, KPI, données qualité, ERP, planification Liaison MPLS via DMZ industrielle ; diode de données pour flux unidirectionnels Compromission siège (IT) → tous les sites OT
Site ↔ fournisseur Support à distance, mise à jour firmware, maintenance prédictive constructeur VPN dédié + jump server vendor + session enregistrée Compte vendeur compromis = backdoor permanente (Triton/Trisis 2017 ; SolarWinds 2020)
Site ↔ cloud IIoT Télémétrie capteurs, modèles ML, dashboard groupe Edge gateway → broker MQTT (Sparkplug B) → Azure/AWS IoT Hub. Sortie cloud uniquement. Configuration cloud mal cloisonnée (S3 public, secrets exposés)
Site ↔ partenaire / client Custody transfer (gaz, pétrole, chimie), facturation, livraison juste-à-temps OPC UA sécurisé (Sign + Encrypt) avec certificats X.509 mutuels via DMZ Confiance accordée trop large — accès au-delà du périmètre métier

2. Architecture de référence — défense en profondeur multi-sites

Quel que soit le scénario, l'architecture cible suit le même principe : chaque site est un château fort isolé, et les ponts entre châteaux passent par des points de contrôle où l'on inspecte les flux.

┌─────────────────────────────────────────────────────────────────────────────┐
│  Internet (publique, hostile)                                               │
│      ▲                                       ▲                              │
│      │  TLS 1.3 + cert mutuels               │  TLS 1.3 + cert mutuels      │
│  ┌───┴────────────────────┐              ┌───┴────────────────────┐         │
│  │  WERK A                │              │  WERK B                │         │
│  │  ┌──────────────────┐  │              │  ┌──────────────────┐  │         │
│  │  │ Niveau 5  ERP    │  │              │  │ Niveau 5  ERP    │  │         │
│  │  ├──────────────────┤  │              │  ├──────────────────┤  │         │
│  │  │ Niveau 4  MES    │  │              │  │ Niveau 4  MES    │  │         │
│  │  ├═══════════════ ══┤  │              │  ├═══════════════ ══┤  │         │
│  │  │ N 3.5 DMZ ind.   │  │              │  │ N 3.5 DMZ ind.   │  │         │
│  │  │ jump server, NDR │  │              │  │ jump server, NDR │  │         │
│  │  ├══════════════════┤  │              │  ├══════════════════┤  │         │
│  │  │ Niveau 3  SCADA  │  │              │  │ Niveau 3  SCADA  │  │         │
│  │  │ Niveau 2  HMI    │  │              │  │ Niveau 2  HMI    │  │         │
│  │  │ Niveau 1  PLC    │  │              │  │ Niveau 1  PLC    │  │         │
│  │  │ Niveau 0  procé. │  │              │  │ Niveau 0  procé. │  │         │
│  │  └──────────────────┘  │              │  └──────────────────┘  │         │
│  └────────────────────────┘              └────────────────────────┘         │
│                                                                             │
│  ❶ Pas de pont OT direct entre Werke. Toute synchro passe par les niveaux  │
│    4 (MES) chiffrée + authentifiée, JAMAIS depuis le niveau 1 ou 2.        │
│                                                                             │
│  ❷ La DMZ industrielle (N 3.5) est OBLIGATOIRE. Aucun flux ne traverse     │
│    N4 → N3 sans transit par DMZ (jump server, proxy, ou diode).             │
│                                                                             │
│  ❸ Active Directory séparé par site. Pas de domaine groupe partagé entre   │
│    les zones OT. Un AD compromis ne contamine pas les autres sites.         │
└─────────────────────────────────────────────────────────────────────────────┘

3. Méthodes de liaison — comparaison

Méthode Bande passante / latence Sécurité native Coût Cas d'usage
VPN site-to-site IPsec Limité par Internet (10–100 Mbps), latence variable Chiffrement IKEv2 + AES-256. Authentification PSK ou certificats. Petits sites, télémétrie non-critique
MPLS Garantie SLA, latence stable (5–30 ms) Non chiffré nativement — opérateur de confiance requis. Ajouter IPsec en surcouche. €€€ Grands groupes multi-Werke avec contrats opérateur
SD-WAN Agrégation MPLS + Internet + 4G/5G, basculement automatique Chiffrement E2E natif (Cisco Viptela, Fortinet, Versa). Politique appliquée centralement. €€ Successeur moderne du MPLS — déploiements 2024+
Cellulaire 4G / 5G (APN privé) 5G URLLC : < 10 ms ; 4G : 30–80 ms APN privé + IPsec. Pas de routage Internet — sortie directe vers VPN groupe. €€ Sites isolés, mobiles, ou en complément SD-WAN
Fibre noire (direct) 1–100 Gbps, latence physique uniquement Aucune — chiffrement L1 ou L2 (MACsec, OTN) obligatoire. €€€€ Sites campus voisins, applications très exigeantes (motion control, vidéo HD)
Diode de données (unidirectionnelle) Limité par le matériel (Mbps à Gbps), latence µs Physiquement impossible de remonter — sécurité par construction. €€€ Historian → IT, OT → SOC, nucléaire, défense

4. Les 8 pièges classiques à éviter

  1. VPN site-to-site « plat » — Une fois connecté, l'attaquant voit tous les PLC. Toujours micro-segmenter en sortie de VPN.
  2. Domaine Active Directory partagé entre sites OT — Une compromission AD au siège donne accès à tous les Werke. Maintenir des forêts AD séparées par site OT.
  3. Comptes vendeurs permanents — Le vendor a un accès 24/7 ? Non. Accès Just-In-Time validé par un humain, durée limitée, session enregistrée.
  4. VLAN ≠ segmentation réelle — Un VLAN est une isolation logique sur un switch — pas un firewall. Pour vraiment isoler, il faut des règles L3/L4 sur firewall industriel (Stormshield, Belden Tofino, Fortinet OT).
  5. Backups joignables depuis le réseau de production — Un ransomware OT qui peut chiffrer les backups annule le PCA. Toujours air-gapped et hors ligne en partie (3-2-1 rule).
  6. Pas de logs centralisés inter-sites — Une attaque coordonnée multi-sites passe inaperçue si les SIEM sont silotés. SIEM groupe lisant les logs OT de chaque Werk.
  7. Routes asymétriques avec MPLS + Internet — Trafic aller en MPLS, retour par Internet : le firewall ne voit qu'une moitié de la conversation. Toujours forcer le routage symétrique en BGP.
  8. Pas de plan de réponse à incident multi-sites — Si Werk A subit une attaque, quand isole-t-on Werk B ? Qui décide ? Procédure écrite, exercices table-top annuels obligatoires sous NIS2.

5. Protocoles d'échange recommandés

Besoin Protocole recommandé Sécurité
Échange de données procédé inter-Werk OPC UA (IEC 62541) Sign + Encrypt obligatoire. Certificats X.509 mutuels.
Télémétrie cloud IIoT MQTT Sparkplug B TLS 1.3 + certificats. Sortie outbound uniquement.
Postes électriques inter-sites IEC 61850 MMS (cross-site) / GOOSE (intra-site uniquement) IEC 62351 (counterpart cyber de IEC 61850).
Custody transfer pétrole-gaz OPC UA + signatures dédiées OPC UA Sign + Encrypt. Backup historian séparé pour audit fiscal.
Maintenance constructeur Bastion vendor + RDP/SSH PAM (CyberArk, Wallix, BeyondTrust). MFA obligatoire. Sessions vidéo-enregistrées.

Cadre réglementaire

NIS2

Directive UE 2022/2555

Transposition nationale 17 oct 2024. Élargit le périmètre NIS1 — concerne désormais énergie, eau, alimentation, fabrication critique, gestion des déchets. Obligations : analyse de risque, mesures techniques, notification d'incident sous 24 h, sanctions jusqu'à 10 M€ ou 2 % du CA mondial.

CRA

Cyber Resilience Act

Règlement UE applicable fin 2027. Vise les produits avec éléments numériques mis sur le marché EU. Obligations fabricant : security-by-design, gestion des vulnérabilités, mises à jour de sécurité pendant 5 ans. Inclut les automates, capteurs IIoT, équipements industriels connectés.

ANSSI (FR)

OIV / OSE

Opérateurs d'Importance Vitale (12 secteurs) et Opérateurs de Services Essentiels (NIS2). Référentiel ANSSI : analyse de risque EBIOS Risk Manager, homologation des SI sensibles, qualifications PASSI et PDIS. La France a une approche plus contraignante que la directive minimum.

Normes IEC 62443 — la série de référence

  • IEC 62443-2-1 — Programme de management de la cybersécurité — exploitant
  • IEC 62443-2-4 — Exigences cybersécurité pour les intégrateurs
  • IEC 62443-3-2 — Évaluation des risques et conception du système
  • IEC 62443-3-3 — Exigences techniques pour systèmes et zones
  • IEC 62443-4-1 — Cycle de vie sécurisé pour les fournisseurs de composants
  • IEC 62443-4-2 — Exigences techniques pour les composants (IACS components)

La série IEC 62443 compte 14 documents au total — répartis en 4 catégories : généralités (-1-x), exploitant (-2-x), système (-3-x), composant (-4-x).

Outils

Calculateur de Security Level (SL-T) IEC 62443, matrice de segmentation Purdue, checklist NIS2 — en cours de développement.