En 2010, le ver Stuxnet a saboté physiquement des centrifugeuses d'enrichissement d'uranium en Iran via un automate Siemens. Quinze ans plus tard, la cybersécurité industrielle n'est plus un sujet théorique.

Pourtant, beaucoup de DSI continuent à appliquer aux ateliers les recettes du SI bureautique : antivirus, patches mensuels, MFA partout. Résultat : des projets bloqués, des automaticiens furieux, et — paradoxe — une exposition au risque qui ne baisse pas.

Car l'OT (Operational Technology) obéit à des contraintes radicalement différentes de l'IT classique. Priorités inversées, durées de vie de 30 ans, protocoles en clair, conséquences physiques : tout change.

Tour d'horizon des 5 différences fondamentales, du modèle Purdue, des attaques réelles documentées (Stuxnet, Triton, Colonial Pipeline) et du cadre réglementaire qui se durcit avec NIS2 et IEC 62443.

1. IT vs OT : de quoi parle-t-on exactement ?

L'IT (Information Technology) regroupe tout ce qui traite de l'information numérique de l'entreprise : serveurs de fichiers, messagerie, ERP, CRM, postes de travail bureautiques, cloud, applications métier, bases de données. Son rôle : faire circuler, stocker et sécuriser de la donnée.

L'OT (Operational Technology) désigne l'ensemble des matériels et logiciels qui surveillent ou contrôlent des processus physiques dans l'usine : automates programmables (PLC), systèmes de supervision (SCADA), systèmes de contrôle distribués (DCS), capteurs, actionneurs, robots, variateurs de vitesse, systèmes instrumentés de sécurité (SIS), et désormais l'IIoT (Industrial Internet of Things).

Lexique express OT

  • PLC (Programmable Logic Controller) : automate industriel qui exécute un programme cyclique pour piloter des sorties (vannes, moteurs) en fonction d'entrées (capteurs). Marques classiques : Siemens (S7), Schneider (Modicon), Rockwell (Allen-Bradley), Mitsubishi, Omron.
  • SCADA (Supervisory Control and Data Acquisition) : logiciel de supervision qui agrège les données de centaines de PLC et offre une interface (HMI) aux opérateurs.
  • DCS (Distributed Control System) : architecture intégrée typique des process continus (raffinage, chimie, énergie). Exemples : Honeywell Experion, Emerson DeltaV, ABB 800xA, Yokogawa Centum.
  • SIS (Safety Instrumented System) : système indépendant dont la seule fonction est de mettre l'installation en sécurité (arrêt d'urgence) — typiquement Triconex, HIMA, ProSafe-RS.
  • RTU (Remote Terminal Unit) : équivalent d'un PLC pour des sites distants (réseau électrique, eau, gaz, pipelines).

Pendant des décennies, les deux mondes étaient strictement cloisonnés : l'OT vivait sur des réseaux propriétaires, isolés, parfois en RS-485. L'arrivée d'Ethernet industriel, des protocoles TCP/IP (Modbus TCP, Profinet, EtherNet/IP) et de l'IIoT a fait sauter cette frontière. C'est cette convergence — souvent appelée IT/OT convergence — qui a créé l'essentiel de la surface d'attaque actuelle.

Sources : ANSSI — Guide « La cybersécurité des systèmes industriels » ; norme ISA-95 / IEC 62264 (intégration entreprise-contrôle) ; NIST SP 800-82 r3 « Guide to Operational Technology Security ».

2. Les 5 différences fondamentales

Calquer les pratiques IT sur l'OT est l'erreur la plus fréquente — et la plus coûteuse. Voici les cinq écarts structurels qui imposent une approche dédiée.

2.1 Priorités CIA inversées

En IT classique, la triade CIA ordonne les enjeux dans l'ordre : Confidentialité > Intégrité > Disponibilité. On protège d'abord les données sensibles, ensuite leur exactitude, enfin l'accès.

En OT, l'ordre est inversé : Disponibilité > Intégrité > Confidentialité. Arrêter une ligne de production aciérie ou un réacteur chimique coûte plus cher en quelques heures que la fuite de l'intégralité d'un répertoire bureautique. Cette inversion change tout : on n'éteint pas un automate pour le patcher, on ne bloque pas un flux Modbus pour une analyse antivirale, on ne déploie pas un MFA bloquant sur un poste opérateur en salle de contrôle.

2.2 Durée de vie

Un poste IT est renouvelé tous les 3 à 5 ans. Un PLC est conçu pour vivre 15 à 30 ans. Des automates Siemens S7-300 mis en service à la fin des années 1990 pilotent encore aujourd'hui des installations chimiques, ferroviaires ou énergétiques. Conséquence directe : on rencontre couramment des HMI sous Windows XP, Windows 7 ou Windows Server 2003, hors support depuis longtemps, qu'on ne peut pas remplacer sans requalifier l'ensemble du process.

2.3 Patch management

Sur un parc IT, un patch mensuel via WSUS ou Intune est la norme. Sur un site industriel, chaque correctif peut nécessiter un arrêt de production planifié, une requalification du procédé (parfois par le constructeur d'équipement ou un organisme tiers), et la disponibilité d'une fenêtre de maintenance — souvent annuelle ou bisannuelle. Les firmwares de PLC reçoivent rarement plus d'un ou deux correctifs de sécurité par an, parfois aucun pour les modèles en fin de vie. Les vulnérabilités sont alors traitées par compensation (segmentation, surveillance), pas par patching.

2.4 Protocoles

Les protocoles IT modernes (HTTPS, TLS, SSH, OAuth) sont conçus avec l'authentification et le chiffrement de bout en bout. Les protocoles OT historiques sont l'inverse : Modbus, S7Comm (Siemens), EtherNet/IP (Rockwell), Profinet, DNP3, IEC 60870-5-104 sont pour l'essentiel transmis en clair, sans authentification native ou avec une authentification très faible.

Une trame Modbus envoyée à un automate sera exécutée si elle est correctement formée — peu importe qui l'envoie. C'est pourquoi OPC UA, qui intègre par défaut chiffrement et authentification par certificats, est aujourd'hui poussé comme protocole d'avenir, et pourquoi la segmentation réseau reste la première ligne de défense.

2.5 Conséquences d'une compromission

Une attaque IT entraîne une perte de données, une indisponibilité de service, une amende RGPD. Une attaque OT peut entraîner un arrêt de production (millions d'euros par jour sur un site lourd), une destruction d'équipement (cas Stuxnet), une pollution environnementale ou une mise en danger de vies humaines (cas Triton sur des systèmes SIS, attaques sur stations de traitement d'eau).

Critère IT OT
Priorités Confidentialité → Intégrité → Disponibilité Disponibilité → Intégrité → Confidentialité
Durée de vie matériel 3 à 5 ans 15 à 30 ans
OS rencontrés Windows 11, Linux, macOS récents Windows XP / 7 / Server 2003, RTOS, firmwares propriétaires
Patch Mensuel automatisé Annuel ou bisannuel, planifié, requalification
Protocoles dominants HTTP(S), TLS, REST, SSH, SMTP Modbus, Profinet, S7Comm, EtherNet/IP, DNP3, OPC UA
Authentification native Standard (OAuth, Kerberos, mTLS) Rare ou faible sur protocoles historiques
Conséquence d'incident Perte de données, RGPD Arrêt production, destruction physique, sûreté humaine
Référentiel principal ISO 27001, NIST CSF IEC 62443, NIST SP 800-82, guide ANSSI

Sources : ANSSI, « La cybersécurité des systèmes industriels — méthode de classification et mesures principales » ; NIST SP 800-82 Rev. 3 ; IEC 62443-1-1.

3. Le modèle Purdue : la grammaire de l'architecture OT

Le modèle Purdue (Purdue Enterprise Reference Architecture, PERA), formalisé à l'Université de Purdue dans les années 1990 et repris par la norme ISA-95 / IEC 62264, structure les systèmes industriels en niveaux hiérarchiques. La norme IEC 62443 s'appuie sur cette segmentation pour définir des zones et conduits, base de toute architecture de cybersécurité industrielle.

L'idée centrale : plus on descend dans les niveaux, plus on touche au processus physique, et plus les exigences de disponibilité et de déterminisme dominent. La DMZ industrielle (niveau 3.5) est le filtre obligatoire entre monde IT (4-5) et monde OT (0-3).

Niveau 5 — Entreprise / Cloud

Internet, cloud public, services partenaires, sites distants. C'est le territoire des fournisseurs SaaS et des connexions extérieures.

Niveau 4 — Réseau IT corporate

ERP (SAP, Oracle), messagerie, postes de travail, GED, Active Directory. Domaine de la DSI classique.

Niveau 3.5 — DMZ industrielle

Zone tampon. Reverse proxies, serveurs de jump, antivirus relay, historians répliqués, patch servers. Aucun flux direct IT ↔ OT n'est autorisé.

Niveau 3 — MES, historians, planification site

Manufacturing Execution System, base de données historian (PI System, Aveva), ordonnancement local de la production.

Niveau 2 — Supervision SCADA / HMI

Postes opérateurs en salle de contrôle, serveurs SCADA, alarmes. C'est le niveau le plus visible et souvent le plus attaqué.

Niveau 1 — Contrôle (PLC, RTU, DCS, SIS)

Automates qui exécutent la logique de pilotage. Les systèmes instrumentés de sécurité (SIS) doivent rester physiquement séparés.

Niveau 0 — Processus physique (capteurs, actionneurs)

Sondes de température/pression/débit, vannes, moteurs, vérins. C'est le monde « real » : ce que les attaquants veulent in fine manipuler.

La règle de cybersécurité dérivée du modèle Purdue est simple : aucun flux ne traverse plus d'un niveau sans passer par une DMZ industrielle. Concrètement, un automate (niveau 1) ne discute jamais directement avec l'ERP (niveau 4) ; il passe par un historian local (niveau 3) répliqué dans la DMZ (niveau 3.5), depuis laquelle l'IT vient lire.

Sources : ISA-95 / IEC 62264 ; IEC 62443-3-2 (Security risk assessment for system design) ; ANSSI, « Maîtriser la SSI pour les systèmes industriels ».

4. Les attaques réelles qui ont marqué l'OT

Là où l'IT subit chaque jour des centaines de millions d'incidents banals, l'histoire de l'OT s'écrit à coups d'attaques rares mais marquantes — chacune ayant redéfini la perception du risque industriel.

2010 Stuxnet

Premier ver connu à cibler spécifiquement des automates Siemens S7-300/400 pour saboter physiquement des centrifugeuses d'enrichissement d'uranium à Natanz (Iran). Quatre failles 0-day Windows utilisées. Inaugure officiellement la cyber-guerre OT.

2015 BlackEnergy / Ukraine

Première coupure d'électricité publique attribuée à une cyberattaque : 225 000 abonnés ukrainiens privés de courant en plein hiver, via prise de contrôle de SCADA d'opérateurs régionaux et envoi de commandes d'ouverture de disjoncteurs.

2016 Industroyer / CrashOverride

Première malware modulaire taillée pour les protocoles électriques (IEC 60870-5-101/104, IEC 61850, OPC DA). Deuxième attaque ukrainienne, capable d'interagir directement avec les équipements de poste sans passer par un opérateur.

2017 Triton / TRISIS

Première attaque connue à cibler un SIS (Triconex de Schneider Electric) dans une raffinerie saoudienne. Sans la défaillance de la charge utile, l'attaque aurait pu désactiver les sécurités physiques d'un site pétrochimique. Tournant historique : la cybersécurité OT devient un sujet de sûreté humaine.

2019 Norsk Hydro / LockerGoga

Rançongiciel ayant paralysé l'industriel norvégien de l'aluminium : passage en mode manuel sur plusieurs sites, perte estimée à plus de 70 M$. Démontre l'effet de cascade IT → OT même sans attaque OT-spécifique.

2021 Colonial Pipeline

Le rançongiciel DarkSide compromet l'IT de Colonial. L'opérateur arrête lui-même le pipeline par prudence — l'OT n'est pas attaqué directement, mais l'incertitude sur la propagation suffit à interrompre l'approvisionnement carburant de la côte Est des États-Unis pendant plusieurs jours.

2022 Pipedream / Incontroller

Boîte à outils offensive révélée par CISA et Dragos, capable de cibler PLC Schneider, Omron et serveurs OPC UA. Premier framework offensif générique pour l'OT documenté avant exploitation à grande échelle.

2023-2024 Stations d'eau US

Plusieurs municipalités américaines voient leurs PLC compromises (CyberAv3ngers, exploitation d'interfaces Unitronics exposées). CISA et EPA émettent des alertes répétées en 2023 et 2024 sur les services d'eau potable. Rappel : un site OT exposé sur Internet, même petit, est trouvé.

Vulnérabilités CVE concernant des produits OT/ICS publiées par les avis CISA ICS-CERT (ICSA + ICSMA), comptage annuel des avis. Données indicatives consolidées à partir des bulletins publiés par CISA (2018-2023). À utiliser comme tendance, pas comme inventaire exhaustif.

Sources : Dragos — Year in Review (rapports annuels) ; CISA — ICS Advisories ; Mandiant M-Trends ; MITRE ATT&CK for ICS ; Claroty Biannual ICS Risk & Vulnerability Report ; ENISA Threat Landscape.

5. Cadre réglementaire : NIS2, IEC 62443, ANSSI

Le cadre normatif et réglementaire applicable à la cybersécurité industrielle s'est densifié depuis 2016. Il combine standards techniques internationaux, recommandations nationales et obligations légales contraignantes.

5.1 IEC 62443 : la norme de référence

La famille de normes IEC 62443 (publiée par la CEI et reprise par l'ISA) est le référentiel international dédié à la cybersécurité des systèmes d'automatisation et de contrôle industriels (IACS). Quatre groupes :

  • 62443-1-x : terminologie, concepts, modèles.
  • 62443-2-x : exigences pour la mise en œuvre d'un programme de sécurité (SMS — IEC 62443-2-1).
  • 62443-3-x : exigences techniques pour les systèmes (IEC 62443-3-2 — risk assessment ; IEC 62443-3-3 — System Requirements et Security Levels SL1 à SL4).
  • 62443-4-x : exigences pour les fournisseurs et le développement de produits (IEC 62443-4-1 secure development lifecycle, IEC 62443-4-2 component requirements).

5.2 ANSSI : la doctrine française

L'ANSSI publie depuis 2014 un corpus dédié aux systèmes industriels, en particulier le guide « La cybersécurité des systèmes industriels — méthode de classification et mesures principales » qui définit trois classes de criticité et les mesures associées. S'y ajoutent les processus de certification CSPN (Certification de Sécurité de Premier Niveau) et CC (Critères Communs) évalués par les CESTI.

5.3 LPM, NIS2 et obligations légales

En France, la Loi de Programmation Militaire impose depuis 2013 des obligations de sécurité aux Opérateurs d'Importance Vitale (OIV), étendues à un périmètre plus large d'Opérateurs de Services Essentiels (OSE) par la directive NIS de 2016.

La directive NIS2 (UE 2022/2555), transposée en droit français par la loi du 30 avril 2024 — entrée en vigueur progressive sur 2024-2025 —, élargit considérablement le périmètre des entités régulées : énergie, transport, eau, alimentaire, fabrication critique, gestion des déchets, chimie, fabrication de dispositifs médicaux… Sanctions administratives pouvant atteindre 10 M€ ou 2 % du CA mondial pour les entités essentielles. Obligations de notification d'incident sous 24h, mesures techniques minimales, responsabilité personnelle des dirigeants.

5.4 Référentiels complémentaires

  • NIST CSF 2.0 (Cybersecurity Framework, publié en 2024) : cadre de pilotage fréquemment utilisé en complément d'IEC 62443.
  • NIST SP 800-82 Rev. 3 (2023) : guide technique très complet dédié à la sécurité OT.
  • CRA (Cyber Resilience Act, règlement UE 2024/2847) : impose des exigences cybersécurité dès la conception aux produits avec composantes numériques — y compris la plupart des équipements OT — applicables progressivement à partir de 2027.

Sources : Directive (UE) 2022/2555 (NIS2) ; loi française du 30 avril 2024 portant diverses dispositions d'adaptation au droit de l'UE ; IEC 62443 (parties 1 à 4) ; ANSSI, corpus systèmes industriels ; NIST SP 800-82 Rev. 3 ; règlement (UE) 2024/2847 CRA.

6. Métiers, compétences et formations en cybersécurité OT

La cybersécurité OT est une discipline hybride : ni purement informatique, ni purement automatisme. Les profils recherchés combinent culture des protocoles industriels, expérience opérationnelle d'usine, et bagage cybersécurité offensif ou défensif.

6.1 Les principaux métiers

  • Analyste SOC industriel (OT-SOC) : surveillance temps réel des sondes OT (Claroty, Nozomi, Dragos Platform), corrélation d'alertes spécifiques aux protocoles industriels, réponse à incident en lien avec les équipes maintenance.
  • Ingénieur cybersécurité OT : conception et durcissement d'architectures industrielles selon IEC 62443, gestion des DMZ industrielles, déploiement de solutions de monitoring passif.
  • Architecte sécurité industrielle : profil senior responsable du master plan cybersécurité d'un groupe industriel (zoning Purdue, segmentation multi-sites, intégration NIS2).
  • Pentester ICS / OT : tests d'intrusion sur environnements industriels (souvent en laboratoire répliqué), audit IEC 62443-3-3, recherche de vulnérabilités sur firmwares PLC.
  • Consultant conformité NIS2 / LPM : accompagnement réglementaire des OIV/OSE, dossiers d'homologation, audits d'écart.

6.2 Salaires indicatifs

Les salaires de la cybersécurité OT sont généralement plus élevés de 20 à 30 % que ceux de la cybersécurité IT à équivalent d'expérience, en raison de la rareté des profils et de l'exigence d'une double compétence (automatisme + cyber). Fourchettes indicatives observées sur le marché français pour des CDI :

Profil Expérience Rémunération brute annuelle (€)
Analyste OT-SOC junior 0-3 ans 45 000 – 55 000
Ingénieur cybersécurité OT confirmé 3-7 ans 65 000 – 85 000
Architecte sécurité industrielle senior 7+ ans 90 000 – 130 000
Pentester ICS expérimenté 5+ ans 70 000 – 110 000

Fourchettes indicatives observées dans les offres publiées par les grands cabinets et ESN en 2024-2025. À ajuster selon localisation, secteur (nucléaire, défense, pétrochimie majorent), et statut (freelance vs salarié).

6.3 Formations et certifications

Plusieurs formations diplômantes françaises adressent spécifiquement la cybersécurité industrielle :

  • Mastère Spécialisé Cybersécurité des Systèmes Industriels — IMT Atlantique (référence historique du domaine).
  • Mastère Spécialisé en Cybersécurité — ENSIBS / Telecom Paris / INSA Lyon / ENSIB de Bourges (ENSI Bourges), avec parcours OT/ICS.
  • Cursus ingénieur avec spécialisation cybersécurité industrielle : Centrale, ENSIIE, ESILV, ESIEA.

Côté certifications professionnelles internationales :

  • GICSP (Global Industrial Cyber Security Professional) — SANS / GIAC, certification de référence pour les profils techniques OT.
  • ISA/IEC 62443 Cybersecurity — programme de certifications ISA (Fundamentals, Risk Assessment, Design, Maintenance Specialist, Expert).
  • CISSP — généraliste cybersécurité, demandé en complément pour les postes senior.
  • OSCP / SANS GRID — pour les profils offensifs.

6.4 L'écosystème français et international

Côté éditeurs OT-specifiques : Dragos, Claroty, Nozomi Networks, Tenable.OT, Armis, Forescout dominent le marché du monitoring passif et de la détection de menaces. Stormshield (filiale Airbus) est l'acteur français qualifié ANSSI le plus visible sur les pare-feu industriels.

Côté constructeurs, Schneider Electric (Cybersecurity Services), Siemens (RUGGEDCOM, ProductCERT), Rockwell et ABB intègrent désormais leurs propres lignes de produits durcies. Le groupement Hexatrust fédère plusieurs acteurs français de cybersécurité industrielle. Côté intégration et conseil : Capgemini, Sopra Steria, Thales, Sogeti, Atos, Orange Cyberdefense, Wavestone, Almond, Synetis se partagent l'essentiel du marché français des projets cybersécurité OT.

Sources : grilles indicatives observées sur les offres publiées en 2024-2025 (ESN, cabinets, OIV) ; programmes officiels des Mastères Spécialisés cités (IMT Atlantique, Telecom Paris, INSA Lyon, ENSI Bourges) ; pages officielles des certifications GICSP (GIAC) et ISA/IEC 62443.

Conclusion : un sujet d'industriel, pas seulement de DSI

La cybersécurité OT ne se gère pas depuis la salle serveurs de la DSI. Elle se construit en salle de contrôle, avec les automaticiens, les responsables maintenance et les chefs de production — sous la supervision d'un RSSI qui accepte que ses bonnes pratiques IT ne s'y appliquent pas mécaniquement.

Le tournant 2024-2027 (NIS2, CRA, exigences ANSSI renforcées) transforme la cybersécurité industrielle d'une bonne pratique en obligation légale assortie de sanctions financières et pénales. Pour les industriels français, l'enjeu n'est plus de savoir s'il faut investir, mais comment hiérarchiser : cartographier les actifs OT, segmenter selon Purdue, déployer un monitoring passif, formaliser une réponse à incident OT — dans cet ordre. Les profils capables d'orchestrer ce chantier sont rares ; c'est ce qui explique à la fois la pression réglementaire et les niveaux de rémunération du marché.

Sources & Références :

  • • ANSSI — Guide cybersécurité des systèmes industriels
  • • IEC 62443 (parties 1 à 4)
  • • NIST SP 800-82 Rev. 3
  • • NIST CSF 2.0
  • • Directive (UE) 2022/2555 — NIS2
  • • Règlement (UE) 2024/2847 — CRA
  • • ENISA Threat Landscape
  • • Dragos — Year in Review
  • • Claroty — Biannual ICS Risk & Vulnerability Report
  • • MITRE ATT&CK for ICS
  • • CISA — ICS Advisories
  • • Mandiant — M-Trends