Le fossé culturel entre équipes cyber et équipes OT est le frein n°1 des programmes NIS2 industriels. Les deux populations ont des histoires, des vocabulaires, des priorités, des éducations radicalement différentes.

Causes du fossé :

• Formation : un RSSI a souvent une formation ingénieur informatique ; un automaticien a une formation ingénieur génie électrique ou automaticien. Leurs cursus ne se croisent jamais.
• Sociologie professionnelle : les uns sont au siège ou dans des datacenters, les autres sur les sites de production. Peu d'interactions naturelles.
• Reporting hiérarchique : RSSI souvent rattaché à la DSI ou au DAF ; automaticien rattaché à la direction industrielle ou maintenance. Pas de hiérarchie commune.
• Cycle de travail : la DSI patche tous les mois ; l'automaticien intervient lors d'arrêts planifiés annuels.
• Vocabulaire : confusion fréquente, frustration mutuelle. Le mot « patch » n'a pas la même signification.

Pratiques pour réduire le fossé :

• Programmes de formation croisée : cyber pour automaticiens (3-5 jours), OT pour cyber (3-5 jours). Indispensable.
• Visites de site régulières : RSSI et SOC qui passent du temps sur les sites industriels (au moins 1-2 jours / trimestre).
• Comités cyber OT avec représentation paritaire IT/OT.
• Référents cyber-OT locaux sur chaque site : un automaticien ou ingénieur procédés volontaire, formé à la cyber, qui devient le relais sur place.
• Glossaire commun partagé (les vrais termes utilisés des deux côtés).
• Projets concrets communs : un POC IDS OT mené à 4 mains, l'analyse de risque IEC 62443 d'un atelier — apprendre par le faire.
• Reconnaissance et valorisation : récompenser les efforts d'apprentissage des deux côtés.

« Quand un RSSI dit "il faut patcher cet automate", l'automaticien entend "il veut arrêter ma ligne pour rien". Quand l'automaticien dit "ce patch est risqué", le RSSI entend "il refuse de se conformer". Faire travailler ces deux personnes ensemble pendant 6 mois sur un sujet concret est la meilleure formation. »

— ISAGCA, retours d'expérience programme cyber OT 2024

Les opérateurs terrain (techniciens, opérateurs de production, agents de maintenance, conducteurs d'engins, contremaîtres) ne deviendront jamais des experts cyber — ce n'est pas leur métier. Mais ils sont la première ligne de défense : c'est leur clé USB, leur mot de passe, leur clic sur un email qui peuvent ouvrir la porte.

Messages clés à faire passer (4-6 messages, pas plus) :

1. Pas de clé USB personnelle sur le réseau OT. Toujours passer par le kiosque de décontamination.
2. Pas de partage de mot de passe. Chaque opération doit pouvoir être tracée à un individu.
3. Pas de connexion d'équipement personnel (laptop, tablette, téléphone) sur le réseau OT, sauf procédure validée.
4. Signaler immédiatement tout comportement anormal d'un équipement (alerte intempestive, ralentissement, message d'erreur inhabituel, opération non sollicitée).
5. Ne pas désactiver une mesure de sécurité sans validation. Si elle gêne le travail, le faire remonter pour analyse.
6. Vérifier l'identité d'un prestataire avant tout accès (badge, ordre d'intervention).

Modalités de sensibilisation :

• Quart d'heure sécurité cyber mensuel ou trimestriel intégré aux causeries HSE classiques.
• Affiches et signalétique sur les zones sensibles (« Pas d'USB personnel », « Pas de connexion externe »).
• E-learning court obligatoire à l'embauche et tous les 2 ans (notre formation cybersécurité utilisateur couvre les bases tertiaires).
• Exercices de phishing avec retour personnalisé en cas d'erreur.
• Cas concrets locaux : raconter ce qui est arrivé à un site ou une entreprise voisine. Bien plus efficace que des règles abstraites.
• Bonus / récompense pour les signalements pertinents.

Éviter : les longs PowerPoints juridiques, les listes de contrôles à 100 items, les approches culpabilisantes. La cyber ne doit pas devenir un obstacle à la production — sinon elle sera contournée.

Les sous-traitants OT (intégrateurs, mainteneurs, fournisseurs d'équipements, prestataires informatiques) sont une porte d'entrée majeure (cf. Module 2). NIS2 et IEC 62443-2-4 imposent une gestion contractuelle rigoureuse.

Clauses cyber à intégrer dans tous les contrats OT :

• Respect des règles cyber de l'établissement (annexée au contrat) : USB, mots de passe, comptes nominatifs, journalisation.
• Engagement de sécurité de l'éditeur : conformité IEC 62443-4-1 (secure development lifecycle), patches de sécurité gratuits pendant le cycle de vie, notification des vulnérabilités.
• SBOM (Software Bill of Materials) fourni pour tous les composants logiciels.
• Droit d'audit : possibilité d'auditer les pratiques cyber du fournisseur (questionnaire, sur site, par tiers indépendant).
• Notification d'incident du côté fournisseur dans des délais courts (souvent 24 h).
• Réversibilité et transfert de compétence à la fin du contrat.
• Pénalités en cas de manquement (souvent indexées sur les pertes opérationnelles).
• Garantie cyber-assurance du fournisseur (montant minimum, couverture du périmètre).

Processus d'évaluation fournisseur :

1. Inventaire : tous les fournisseurs OT actuels, par criticité.
2. Questionnaire cyber standardisé envoyé aux fournisseurs critiques (~ 50-100 questions, réponse écrite).
3. Évaluation tierce : recours à des plateformes type Bitsight, SecurityScorecard, UpGuard pour évaluation externe.
4. Audit sur site des fournisseurs les plus critiques (1 / an pour les top 5).
5. Cotation et plan d'amélioration annuel.
6. Renégociation ou changement de fournisseur si l'écart ne se comble pas.

IEC 62443-2-4 définit précisément les exigences que doit satisfaire un fournisseur ou intégrateur OT pour être considéré comme « cyber-mature ». Référence utile à inscrire dans les appels d'offres.

Une bonne gouvernance se mesure. Plusieurs modèles de maturité permettent d'objectiver la progression d'un programme cyber OT :

• NIST CSF 2.0 Tiers (4 niveaux : Partial → Risk Informed → Repeatable → Adaptive). Référence US largement adoptée.
• C2M2 (Cybersecurity Capability Maturity Model) du Département de l'Énergie US — 4 niveaux, spécifiquement orienté infrastructures critiques.
• IEC 62443 Maturity Levels — 4 niveaux (Initial → Managed → Defined → Improving). Spécifique OT.
• BSI IT-Grundschutz (Allemagne) — niveau d'application des contrôles.
• Référentiel ANSSI via guide « Maîtriser la SSI pour les systèmes industriels ».

Certifications utiles à connaître :

• ISO/IEC 27001 (SMSI) — référence universelle. Pas spécifique OT mais reconnu.
• IEC 62443-2-1 Certified Site — pour les exploitants.
• IEC 62443-4-1 / 4-2 Certified — pour les fabricants de composants.
• Visa ANSSI CSPN (Certification de Sécurité de Premier Niveau) — pour les produits cyber.
• Qualification SecNumCloud / PASSI — pour les prestataires (audit, hébergement).
• Labels sectoriels : ExpertCyber (FR), CyberEssentials (UK), TISAX (automobile DE), TR-CTI (UE).

KPIs de maturité à reporter au COMEX :

• % des actifs OT inventoriés.
• % des actifs OT couverts par monitoring (IDS).
• % des sites avec segmentation conforme (DMZ industrielle).
• Temps moyen de détection (MTTD) et de réponse (MTTR).
• Nombre d'incidents traités / fausses alertes (taux de précision SOC).
• % de complétude des 10 mesures NIS2.
• Nombre d'exercices réalisés et leur niveau.
• Score de maturité C2M2 / IEC 62443.
• Score externe (Bitsight, SecurityScorecard).

« La conformité NIS2 n'est pas un point d'arrivée mais une trajectoire de maturité. Un industriel qui passe en 3 ans du niveau "Initial" à "Defined" sur le C2M2 ou l'IEC 62443 a fait un excellent travail. Vouloir atteindre le niveau 4 en 12 mois est irréaliste et générateur de rejet. »

— ANSSI, retour d'expérience programmes NIS2 2024-2026