Sensibilisation Gratuite & Sans Inscription

NIS2 OT
Cybersécurité Industrielle

Le volet OT manquait à notre formation cybersécurité utilisateur. Voici la formation dédiée aux industriels : directive NIS2, automates et SCADA, modèle de Purdue, IEC 62443, attaques historiques (Stuxnet, Triton, Colonial Pipeline), signalement ANSSI. 4 modules · 5h30 de contenu.

Commencer la formation Voir le programme
Sensibilisation pédagogique, pas un audit ni un avis juridique.

Travail-Industrie n'est pas un organisme de formation agréé et cette formation ne se substitue ni à un audit de conformité NIS2 par un prestataire qualifié, ni à une analyse d'architecture OT par un cabinet spécialisé (Wavestone, Sopra Steria, Sekoia, Stormshield, etc.), ni à un conseil juridique. L'examen final est auto-évaluatif et ne donne lieu à aucune attestation reconnue.

~ 18

secteurs critiques concernés par NIS2 (annexes I & II de la directive)

10 M€

sanction max NIS2 pour une entité essentielle (ou 2 % du CA mondial)

24 h

délai d'alerte précoce à l'ANSSI après détection d'un incident significatif

Programme complet

4 modules pour comprendre la directive, les menaces OT, la défense en profondeur et la conformité.

1

Cadre réglementaire NIS2 & spécificités OT

Directive NIS2 (UE 2022/2555), transposition française, entités essentielles et importantes, différences fondamentales IT vs OT, autres cadres (LPM 2013, IEC 62443, CRA, DORA).

  • NIS2 — directive UE 2022/2555 : entités essentielles/importantes, transposition française
  • IT vs OT : automates, SCADA, DCS, RTU — pourquoi le périmètre industriel est critique
  • Autres cadres : LPM 2013 OIV, IEC 62443, CRA, DORA — articulation avec NIS2
  • Quiz du Module 1
Commencer le module
2

Menaces & attaques OT spécifiques

Histoire des grandes attaques OT (Stuxnet, BlackEnergy, NotPetya, Triton, Colonial Pipeline, Norsk Hydro), vecteurs d'attaque industriels et profil des acteurs (APT, ransomware, insiders).

  • Les grandes attaques OT : Stuxnet, BlackEnergy, NotPetya, Triton, Colonial Pipeline, Norsk Hydro
  • Vecteurs d'attaque OT : USB, supply chain, interface IT/OT, accès distant, ransomware
  • Profil des attaquants : APT étatiques (Sandworm, Volt Typhoon), ransomware, insiders, hacktivistes
  • Quiz du Module 2
Commencer le module
3

Architecture & défense en profondeur

Modèle de Purdue, segmentation zones et conduits IEC 62443, mesures techniques de protection (firewalls industriels, diodes, hardening PLC, MFA) et détection (IDS/SOC OT, SIEM, monitoring passif).

  • Modèle de Purdue, DMZ industrielle, zones et conduits IEC 62443
  • Mesures techniques : firewall industriel, diode, inventaire, patching, hardening PLC, MFA
  • Détection : IDS OT (Claroty, Nozomi, Tenable.ot), SOC OT, SIEM, monitoring passif
  • Quiz du Module 3
Commencer le module
4

Gouvernance, conformité & gestion de crise

Mise en conformité NIS2 (analyse de risque, 10 mesures de gestion), sanctions, signalement ANSSI sous 24/72h, PCA/PRA OT, exercices de crise et culture de sécurité industrielle.

  • Mise en conformité NIS2 : analyse de risque, 10 mesures, sanctions (10 M€ / 2 % CA)
  • PCA/PRA OT, plan de réponse, signalement ANSSI sous 24/72h, exercices de crise
  • Culture de sécurité OT : RSSI/DSI/ingénieurs procédés/automaticiens, sensibilisation terrain
  • Quiz du Module 4
Commencer le module

Compléter avec les formations cyber transverses

Cette formation cible le volet OT industriel. Pour le volet IT/utilisateur (phishing, mots de passe, MFA, RGPD, NIS2 côté SI tertiaire), suivez en complément notre formation Cybersécurité — Sensibilisation utilisateur. Pour le volet continuité d'activité (PCA, PRA, ISO 22301, DORA, sauvegardes 3-2-1-1-0), suivez notre formation PCA / PRA & Continuité d'activité.

Catalogue complet

Examen final : 25 questions

Validez vos acquis avec un examen blanc auto-évaluatif. Barème +2 / -1 / 0 abstention, 5 kill questions sur les fondamentaux NIS2 et les règles AIC vs CIA, seuil de réussite 33/50.

Accéder à l'examen

NIS2 OT : le maillon faible que les directions sous-estiment

Le tournant 2024 : NIS2 oblige enfin l'industrie à se mettre à niveau

La directive NIS2 (UE 2022/2555), applicable depuis le 18 octobre 2024, élargit massivement le périmètre des entreprises soumises à des obligations de cybersécurité. Là où la précédente directive NIS1 (2016) ne concernait qu'une poignée d'OIV (Opérateurs d'Importance Vitale), NIS2 couvre désormais ~ 18 secteurs critiques et impose des obligations à toute entité de plus de 50 salariés ou de 10 M€ de CA. Pour l'industrie française, c'est un changement de paradigme : énergie, chimie, agroalimentaire, automobile, fabricants de machines, fabricants de dispositifs médicaux, eau, déchets, transports — toutes les ETI sont concernées.

L'angle mort OT — un péril que les RSSI ne maîtrisent pas seuls

La plupart des programmes cybersécurité d'entreprise sont conçus par et pour les équipes IT. Mais l'OT (Operational Technology) — les automates programmables (PLC), les SCADA, les DCS, les RTU qui pilotent les processus de production — obéit à des règles totalement différentes : système d'exploitation propriétaire, cycle de vie de 20-30 ans, redémarrage interdit en production, disponibilité avant tout (modèle AIC), patching impossible. Les outils EDR ou les antivirus classiques sont rarement déployables sur ces équipements. La directive NIS2 oblige enfin les entreprises à traiter l'OT comme un périmètre à part entière.

L'histoire est riche en avertissements

Stuxnet (2010), première cyberarme connue, ciblait les centrifugeuses iraniennes via les automates Siemens S7. BlackEnergy (2015-2016) a plongé 230 000 Ukrainiens dans le noir en attaquant les sous-stations électriques. NotPetya (juin 2017), qui n'était pas conçu pour l'OT, a néanmoins frappé Saint-Gobain (coût ~ 250 M€), Maersk, Merck, FedEx et bien d'autres en se propageant via les réseaux d'entreprise jusqu'aux usines. Triton/Trisis (2017) visait les systèmes instrumentés de sécurité (SIS) Schneider Triconex dans une raffinerie saoudienne — une attaque conçue pour tuer. Colonial Pipeline (mai 2021) : un ransomware DarkSide a paralysé l'oléoduc desservant la côte est américaine, déclenchant une crise nationale. Norsk Hydro (mars 2019) : LockerGoga a forcé l'aluminier norvégien à revenir au papier-crayon pendant 3 semaines (coût ~ 70 M€).

Pour qui cette formation ?

RSSI et leurs équipes, DSI et SOC qui doivent étendre leur périmètre à l'OT, ingénieurs procédés et automaticiens qui font le pont avec la cybersécurité, responsables de production et d'usine, directeurs HSE intéressés par la cyber-résilience, dirigeants d'ETI industrielles confrontés à la mise en conformité NIS2, prestataires d'audits cyber souhaitant maîtriser le volet OT, consultants en transformation industrielle 4.0.

Questions fréquentes

NIS2 est la directive européenne (UE) 2022/2555 du 14 décembre 2022, applicable depuis le 18 octobre 2024 dans tous les États membres. Elle remplace la directive NIS1 (UE 2016/1148) et élargit considérablement son périmètre : ~ 18 secteurs critiques sont concernés (énergie, eau, transports, santé, infrastructures numériques, fabrication de produits critiques, agroalimentaire, espace, services postaux, gestion des déchets, chimie, etc.). En France, la transposition est portée par la loi REIA (Résilience des Entités d'Importance Vitale et des Infrastructures Critiques) adoptée en 2024-2025, sous le contrôle de l'ANSSI.

L'IT (Information Technology) regroupe les systèmes d'information classiques : postes, serveurs, applications métier, messagerie. L'OT (Operational Technology) regroupe les systèmes qui pilotent les processus industriels physiques : automates programmables (PLC), SCADA, DCS (systèmes de contrôle distribué), RTU, capteurs, actionneurs. Les enjeux sont différents : en IT la priorité est la confidentialité (CIA : confidentialité-intégrité-disponibilité) ; en OT c'est l'inverse (AIC : disponibilité-intégrité-confidentialité), car un arrêt machine ou une commande détournée peut causer un accident humain, environnemental ou industriel majeur.

NIS2 s'applique à toute entité de plus de 50 salariés OU plus de 10 M€ de CA qui opère dans l'un des 18 secteurs listés à l'annexe I (entités essentielles) ou II (entités importantes). Pour vérifier : la liste précise est dans la directive et complétée par les décrets de transposition français. Sont concernés notamment : production et distribution d'énergie, fabricants de produits chimiques, agro-alimentaire, fabrication de dispositifs médicaux, automobile, machines, équipements électriques, transports, fournisseurs de services numériques. Les ETI industrielles sont massivement concernées.

Les sanctions sont calquées sur le RGPD. Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Pour les entités importantes : jusqu'à 7 M€ ou 1,4 % du CA mondial. À cela s'ajoutent les sanctions administratives (suspension temporaire d'activité, interdiction d'exercer pour les dirigeants), la responsabilité personnelle des dirigeants (article 20 de la directive) et les actions civiles des victimes (clients, salariés, partenaires).

Le modèle de Purdue (Purdue Enterprise Reference Architecture, années 1990, formalisé par ISA-95) est le cadre de référence pour structurer une architecture industrielle en niveaux : niveau 0 (capteurs et actionneurs), niveau 1 (automates PLC), niveau 2 (SCADA et HMI), niveau 3 (MES — Manufacturing Execution Systems), niveau 4 (ERP, business systems), niveau 5 (internet). La cybersécurité OT s'appuie sur ce modèle pour segmenter strictement les zones, contrôler les flux entre niveaux (via DMZ industrielle au niveau 3,5) et limiter la propagation d'une attaque depuis l'IT vers l'OT.

Non. Travail-Industrie n'est pas un organisme de formation habilité. Cette formation est une sensibilisation pédagogique. Pour les certifications professionnelles en cybersécurité industrielle, s'adresser à des organismes Qualiopi spécialisés (ANSSI, INTECO Cybersécurité, formations IEC 62443 par TÜV/Bureau Veritas/CertiNexum, GICSP de l'ISA-SANS, ISA/IEC 62443 Cybersecurity Expert).