Le vocabulaire OT est dense. Il faut maîtriser les acronymes pour ne pas se tromper d'objet de défense :

• PLC (Programmable Logic Controller) — automate programmable industriel. Coeur de l'usine moderne : Siemens S7-1500, Schneider Modicon M580, Rockwell ControlLogix, Mitsubishi MELSEC, Omron NJ. Pilote les actionneurs (vannes, moteurs, vérins) selon un programme cyclique (typiquement 10-100 ms par cycle).
• SCADA (Supervisory Control And Data Acquisition) — système de supervision et acquisition de données. Logiciel installé sur des postes Windows (souvent vieillissants) : Siemens WinCC, Schneider Vijeo Citect, GE iFix, Wonderware InTouch. Affiche les synoptiques de l'usine et permet à un opérateur de superviser et donner des ordres.
• HMI (Human-Machine Interface) — interface homme-machine. Pupitre opérateur, écran tactile au bord de la ligne. Souvent intégrée au SCADA ou autonome.
• DCS (Distributed Control System) — système numérique de contrôle-commande. Similaire au SCADA, mais conçu pour les processus continus (raffinerie, pétrochimie, cimenterie, sucrerie) avec architecture massivement distribuée. Exemples : Emerson DeltaV, Honeywell Experion, ABB 800xA, Yokogawa Centum VP.
• RTU (Remote Terminal Unit) — terminal distant. Boîtier installé sur le terrain (poste électrique, station de pompage, gare de péage), connecté à des automates ou directement au SCADA. Communique souvent par radio, GPRS, satellite, ondes courtes.
• SIS (Safety Instrumented System) — système instrumenté de sécurité. Système séparé du contrôle-commande, garantissant la sûreté fonctionnelle (norme IEC 61511 / IEC 61508). Exemple emblématique : Schneider Triconex, ciblé par l'attaque Triton/Trisis en 2017.
• IIoT (Industrial Internet of Things) — capteurs et actionneurs connectés (LoRaWAN, Zigbee, 5G privée). Une nouvelle surface d'attaque depuis 2018.
• Historian / MES — bases de données temps réel (PI System d'AVEVA, Aspen InfoPlus.21) qui historisent les variables procédés, et systèmes d'exécution de la production. Position intermédiaire entre OT et IT.

En cybersécurité classique IT, le triptyque historique est CIA — Confidentialité, Intégrité, Disponibilité. La hiérarchie habituelle est la confidentialité d'abord (protéger les données), puis l'intégrité (ne pas les altérer), puis la disponibilité (les garder accessibles).

En OT, cette hiérarchie est inversée : on parle d'AIC (parfois aussi « DIC ») — Availability, Integrity, Confidentiality :

1. Disponibilité (A) en priorité absolue. Une chaîne de production arrêtée, c'est des millions d'euros perdus par heure, des engagements clients ratés, parfois un risque humain ou environnemental. Norsk Hydro a perdu ~ 70 M€ en 3 semaines d'arrêt (ransomware LockerGoga 2019). Saint-Gobain ~ 250 M€ avec NotPetya. Une raffinerie ne peut pas s'arrêter sans risque d'incident.
2. Intégrité (I) en deuxième position. Une mesure faussée, un ordre détourné, un seuil de sécurité bypassé peut causer une explosion, une intoxication, un déversement. Triton visait précisément cette dimension : modifier les SIS pour rendre une explosion possible.
3. Confidentialité (C) en dernier. Le programme d'un automate n'est pas un secret industriel critique en soi (à de rares exceptions près : pharma, défense). Ce qui compte, c'est qu'il ne soit pas altéré.

Conséquence majeure : les défenses OT ne peuvent jamais arrêter un processus en cas de soupçon. Un EDR qui isolerait un automate compromis pendant le fonctionnement d'une raffinerie causerait un accident bien plus grave que l'attaque elle-même. Les défenses OT sont donc essentiellement passives (détection sans action), avec une réponse pilotée par l'humain et coordonnée avec les équipes de production.

« Dans le monde IT, le pire scénario est "on a perdu les données". Dans le monde OT, le pire scénario est "on a tué quelqu'un". Cette différence de finalité change tout : architectures, outils, postures, gouvernance. »

— ANSSI, guide « La cybersécurité des systèmes industriels » 2024

Les protocoles OT historiques ont été conçus dans les années 1970-1990 pour des réseaux isolés, sans aucune notion de sécurité. Leur principal défaut : pas d'authentification, pas de chiffrement. Quelques exemples :

• Modbus TCP (Schneider, ouverture libre) : protocole le plus utilisé au monde. Aucune authentification. N'importe qui sur le réseau peut envoyer une commande à un automate qui l'exécutera sans broncher.
• Profinet (Siemens) : protocole temps réel basé sur Ethernet. Authentification limitée, attaques sur les trames de configuration possibles.
• EtherNet/IP (Rockwell) : variante CIP sur Ethernet. Mêmes limites.
• S7 / S7-1200 (Siemens) : protocole propriétaire, longtemps sans authentification réelle. Stuxnet a exploité précisément cette faille.
• DNP3 (énergie, eau) : version sécurisée (DNP3 Secure Authentication) existe depuis 2012, mais peu déployée.
• OPC Classic (DA, HDA, A&E) : basé sur DCOM Windows, très vulnérable. OPC UA (sa réécriture moderne) intègre chiffrement et authentification, mais le déploiement est lent.
• BACnet (bâtiments, climatisation) : protocole GTB sans sécurité native.

Que peut faire un attaquant qui accède au réseau OT ?

• Lire en clair les valeurs des capteurs (température, pression, débit, position de vannes).
• Émettre des commandes d'écriture aux automates : ouvrir/fermer une vanne, démarrer/arrêter un moteur, modifier un seuil d'alarme.
• Reprogrammer un automate (téléchargement de programme) avec n'importe quelle logique.
• Mettre un automate en mode STOP, en arrêt forcé, ou faire planter son OS.

Cette vulnérabilité by design rend la segmentation réseau absolument vitale. C'est pourquoi le modèle de Purdue (Module 3) repose entièrement sur l'isolation par zones et conduits.

Au-delà des contraintes techniques, le plus grand défi de la cybersécurité OT est organisationnel : il faut faire travailler ensemble des équipes qui parlent des langues différentes.

Sans gouvernance commune, les programmes NIS2 OT échouent. La meilleure pratique recommandée par l'ANSSI et l'ISA (International Society of Automation) est :

• Une équipe dédiée à la cybersécurité OT, rattachée selon les cas au RSSI groupe ou au directeur industriel, avec des compétences mixtes (cyber + automatisme).
• Un RSSI OT (ou OT Security Officer), profil rare, qui fait le pont entre les deux mondes.
• Un comité cyber OT trimestriel : RSSI groupe + directeur industriel + responsable production + responsable automatismes + responsable BE.
• Des exercices conjoints de gestion de crise IT + OT (au moins 1 fois par an).
• Une cartographie partagée des actifs IT/OT, accessible aux deux équipes.