La convergence IT/OT n’est plus un concept mais une réalité de terrain, avec des environnements industriels connectés, hétérogènes et exposés. La culture OT, tournée vers la disponibilité, se heurte encore aux pratiques IT. Entre contraintes opérationnelles, vieillissement des équipements et augmentation des incidents, les industriels doivent composer avec une transformation profonde de leur modèle de sécurité.
Entre héritage industriel et nouvelles menaces : pourquoi l’OT doit créer un rôle de « pont »
Avec près de 30 ans d’expérience en usine avant de passer côté cyber, Arnaud Masson est l’une des rares voix françaises capables de comprendre à la fois le terrain industriel et les exigences IT. Chez Nomios, il a structuré une business unit OT composée d’ingénieurs issus exclusivement du monde industriel.
SNC – Du fait de votre double parcours, comment décririez-vous le « choc culturel » entre l’IT et l’OT ?
A. M. – L’IT et l’OT, ce sont des cultures différentes, des langages différents, des enjeux différents, des temps de cycles différents.
SNC – Que manque-t-il aujourd’hui dans les organisations pour réussir cette rencontre des deux mondes ?
A. M. – Il faut créer un poste au milieu. Il faut quelqu’un qui comprend les deux univers et qui place les curseurs. C’est le poste que j’avais : un pied dans l’IT, un dans l’OT. Je faisais comprendre à l’IT les besoins OT, et à l’OT la nécessité de sécuriser.
SNC – Beaucoup d’usines restent vulnérables. Quelles failles observez-vous réellement sur le terrain ?
A. M. – Les protocoles OT ne sont pas sécurisés. Les communications ne sont pas cryptées. J’envoie un zéro dans la trame : c’est un signal d’arrêt universel. Trois lignes de commande et on arrête toute l’usine. Les automates et les IHM sont troués, les PC ont encore des ports USB accessibles. On retrouve des automates ou des switchs connectés directement à Internet. On les voit sur Shodan : automates, caméras, imprimantes.
SNC – Selon vous, quelle est la priorité : moderniser les équipements ou former le terrain ?
A. M. – Je préfère la formation. Je vois encore des mots de passe sur les écrans. Les opérateurs utilisent un iPhone pour leur banque mais pas de MFA sur l’outil qui leur fait gagner leur salaire. Moderniser l’outil de production, ce n’est pas possible : une machine coûte 3 ou 4 millions d’euros. Une ligne, c’est 10 machines et elles vivent 23 ans. On ne peut pas tout changer.
SNC – Pourquoi la cybersécurité avance-t-elle si lentement dans le monde industriel ?
A. M. – Tant qu’il y aura le choix entre rentabilité et sécurité, les décideurs choisiront la rentabilité. Tant qu’on n’aura pas une directive internationale ou européenne avec de vraies règles, il n’y aura pas de changement massif.
SNC – Comment voyez-vous l’évolution des menaces OT dans les prochaines années ?
A. M. – Les attaques OT pures restent rares. Les attaquants sont comme tout le monde : il y a des fainéants. Faire tomber un serveur est plus simple que d’aller chercher un automate. Mais demain, je ne sais pas. Si quelqu’un veut vraiment attaquer l’OT, c’est colossal.
Les attaques OT vues depuis le terrain
Fortinet supervise des millions de points de télémétrie industriels dans le monde. Cette position lui permet d’observer l’évolution des attaques visant les environnements OT en temps réel, entre scans IA, ransomwares et compromissions ciblées de protocoles. Florent Lefevre, OT/IoT Business Development Lead partage les signaux les plus préoccupants.
SNC – Quelles attaques observez-vous aujourd’hui sur les environnements industriels ?
F. L. – Nous gérons chaque jour plusieurs dizaines de milliers de tentatives d’intrusion ou de scans sur nos équipements. On voit passer beaucoup de scans automatisés, de plus en plus pernicieux, pilotés par de l’IA. On voit également beaucoup de tentatives de délivrer des ransomwares sur les environnements des clients. Ce sont des groupes structurés, industrialisés, avec des plateformes de ransomware as a service prêtes à l’emploi pour les attaquants.
SNC – Au-delà des ransomwares massifs, constatez-vous aussi des attaques plus ciblées ?
F. L. – Oui. Nous observons un certain nombre d’attaques de haut niveau, plus inquiétantes parce qu’elles ciblent tel ou tel type d’équipement, tel protocole ou telle vulnérabilité. Ce sont les attaques les plus difficiles à détecter car elles exploitent précisément des failles liées aux contraintes industrielles : cycles longs, équipements obsolètes et systèmes non patchables.
SNC – Les environnements industriels restent-ils vraiment très exposés ?
F. L. – Aujourd’hui encore, il y a plus de 100 000 systèmes industriels directement visibles sur Internet. Les études Shodan.io le montrent clairement. Les systèmes industriels font toujours partie des environnements les plus mal protégés.
SNC – Pourquoi ces environnements restent-ils aussi vulnérables ?
F. L. – Il y a un manque de ressources pour protéger les équipements OT. Le manque de compétences cyber est vrai côté IT et encore plus côté OT. On se retrouve dans des environnements critiques, attaqués, vulnérables mais mal défendus.
SNC – Vous parlez souvent de « défense en profondeur ». Que signifie concrètement ce terme en OT ?
F. L. – La défense en profondeur, c’est un peu comme les fortifications de Vauban : plusieurs couches de défense permettent de ralentir ou bloquer l’attaquant. En OT, on ne peut pas mettre un antivirus partout : il faut être créatif avec segmentation, pare-feux, EDR… Nous proposons aussi des « pots de miel » FortiDeceptor : de faux systèmes qui déclenchent des alarmes si quelqu’un les touche. C’est extrêmement intéressant en industriel. S’ils sonnent, c’est qu’il se passe quelque chose d’anormal. Ces alertes sont très qualifiées, sans faux positifs.
SNC – Quel rôle la plateforme intégrée de Fortinet joue-t-elle face aux attaques rapides ?
F. L. – Toutes nos solutions – de l’edge au cloud – sont intégrées et communiquent en temps réel. L’effet plateforme réduit drastiquement le temps de détection. On est passé de plusieurs jours ou semaines à quelques heures, et désormais à quelques minutes. Dès qu’un EDR détecte quelque chose, l’information remonte au firewall, au réseau étendu, puis au SOC. La propagation de l’alerte est immédiate, ce qui permet de contraindre les mouvements latéraux et de mettre en place la remédiation.
Voir, cartographier, comprendre : le prérequis absolu
Sans visibilité, aucune sécurité n’est possible. Inventaires incomplets, réseaux plats, protocoles obsolètes : les industriels avancent encore trop souvent dans l’ombre. Cartographier, comprendre et surveiller les flux OT est devenu un prérequis pour détecter les anomalies et protéger les installations. Quelles sont les approches et technologies qui rendent l’OT enfin observable ?
Voir l’OT de l’intérieur
Claroty travaille au plus près du cœur opérationnel : les automates, les IHM et les postes d’ingénierie. Son approche consiste à comprendre les actifs « de l’intérieur » via leurs protocoles natifs pour obtenir une visibilité que les solutions IT ne peuvent pas donner. Entretien avec Arik Diamant, Principal Solution Architect de Claroty, qui préfère le terme d’« hyperconnectivité », plutôt que celui de « convergence ».
SNC – Pourquoi la visibilité des actifs OT reste-t-elle l’un des défis majeurs ?
A. D. – Les environnements industriels sont hétérogènes, souvent anciens et rarement documentés. Beaucoup de flux ont été ajoutés au fil du temps. Sans analyse passive et continue, il est impossible de savoir réellement ce qui circule dans l’usine.
SNC – Comment Claroty parvient-elle à obtenir des informations détaillées sans perturber la production ?
A. D. – Les équipements OT ne « racontent » pas spontanément qui ils sont. Nous parlons leurs protocoles natifs, avec les mêmes types de commandes que les outils d’ingénierie. On leur pose les « bonnes questions » pour remonter des informations très détaillées, comme le ferait un automaticien.
SNC – Que permet cette visibilité appliquée aux vulnérabilités ?
A. D. – Cela permet d’associer des vulnérabilités connues à chaque équipement, de comprendre les interactions et de prioriser les risques. Sans cette connaissance fine des actifs, impossible d’évaluer la criticité réelle.
SNC – Avez-vous observé des cas d’étude marquants ?
A. D. – Oui. Prenons l’exemple d’un industriel agroalimentaire : découverte des actifs OT, compréhension des flux entre sites, programme structuré de réduction des risques. Même chose dans l’eau potable au Royaume-Uni, avec une forte dépendance à des équipements en fin de vie.
Voir comment le réseau vit vraiment
Gatewatcher apporte une visibilité fine des flux OT grâce à une analyse passive des protocoles industriels. Une approche qui révèle souvent des comportements inattendus et des dépendances cachées. Entretien avec Pierre Guiho, Product Manager OT chez Gatewatcher.
SNC – Comment commence une vraie cartographie OT côté réseau ?
P. G. – Aujourd’hui, notre NDR se base sur les communications. Le premier niveau, c’est d’accompagner sur des protocoles industriels spécifiques : OPC UA, Scada, etc. Ces protocoles sont standardisés mais chaque usine les utilise différemment. On analyse ces protocoles, on les décompose. Une fois fait, on a déjà l’inventaire à disposition : machine identifiée parce qu’elle a généré une communication, marque, identifiants, infos techniques et qui s’y connecte.
SNC – Quelles découvertes faites-vous le plus souvent lors de cette analyse ?
P. G. – On découvre énormément de choses. Certains assets n’apparaissent dans aucune documentation. Les équipes pensaient avoir un périmètre très clair mais la réalité est souvent toute autre. On identifie des machines qui parlent à des serveurs auxquels elles ne devraient pas parler. On voit des flux qui ne devraient même pas exister. Les gens ne se rendent pas compte que leur réseau est beaucoup plus large que ce qu’ils imaginent.
SNC – Vous dites parfois que les protocoles OT eux-mêmes peuvent être « piégés »…
P. G. – Les protocoles OT ne sont pas sécurisés by design, avec beaucoup d’informations qui transitent et qu’on peut parfois piéger. On a démontré qu’en exploitant le protocole lui-même, on arrivait à piéger des imageries médicales.
SNC – Une fois la cartographie faite, comment détecte-t-on les attaques ?
P. G. – La deuxième étape, c’est la détection de comportements malicieux. Et je dirais que c’est presque plus simple en OT : les communications sont extrêmement réglées, récurrentes, quasi prévisibles. Une fois qu’on a établi la baseline, identifier les déviances devient plus simple. Par exemple : un ordre de modification de valeur qui intervient non pas toutes les 5 secondes comme prévu, mais toutes les 10 secondes, pour essayer de ralentir la montée en température d’une cuve.
SNC – Avez-vous des exemples d’anomalies ou de détections marquantes ?
P. G. – Il nous est arrivé de détecter du code suspect dans un réseau industriel, à récurrence élevée. Après analyse, c’était une mise à jour d’équipement qui contenait des similitudes avec du code malveillant. On a pu dire au fournisseur : « Attention, votre manière de coder ressemble à un comportement d’attaque. » Donc dès la fabrication logicielle, on remet de la résilience. Ça nous arrive extrêmement souvent.
SNC – Pourquoi est-ce indispensable d’observer l’IT et l’OT ensemble ?
P. G. – 52 % des impacts OT viennent d’une entrée côté IT. Avec le MDR bien positionné, on voit comment les deux mondes discutent entre eux. C’est là qu’on détecte les attaques venant de l’IT avant qu’elles ne touchent l’OT.
Sécuriser la supply chain logicielle : l’angle mort critique de l’OT
Infosys, acteur mondial de la transformation IT et de la sécurité applicative, observe une montée en puissance des attaques visant non plus seulement les systèmes industriels mais les chaînes d’approvisionnement logiciel elles-mêmes. Pipelines CI/CD, mises à jour compromises, SBOM incomplets : la supply chain logicielle devient un vecteur d’entrée majeur dans les environnements OT. Umashankar Lakshmipathy, Executive Vice President and Regional Head, fait le point.
SNC – Pourquoi la supply chain logicielle est-elle devenue une porte d’entrée critique vers l’OT ?
U. L. – Les pipelines CI/CD sont aujourd’hui une cible directe. Les attaquants cherchent à compromettre les environnements dedéveloppement ou d’intégration car un binaire manipulé en amont peut ensuite être déployé dans un environnement industriel sans être détecté. L’accès à distance, la maintenance logicielle et la mise à jour des composants sont devenus des vecteurs d’intrusion à part entière.
SNC – Quel rôle les SBOM jouent-ils dans la sécurisation de ces chaînes ?
U. L. – Le SBOM permet de comprendre précisément ce qui se trouve dans chaque composant logiciel. Mais il n’est utile que s’il est corrélé à des bases de vulnérabilités comme les CVE ou les VEX. Sans cette visibilité, les entreprises ne peuvent ni prioriser ni qualifier leurs risques. Le Cyber Resilience Act va renforcer ces exigences : produire un SBOM complet, documenter et corréler les vulnérabilités associées deviendra indispensable.
SNC – Avez-vous observé des cas concrets où la sécurisation de la supply chain a évité un incident OT ?
U. L. – Oui. Dans un projet industriel majeur, des dépendances tierces vulnérables étaient intégrées dans la chaîne logicielle sans qu’aucun contrôle n’existe. La mise en place d’un SBOM complet, associé à une supervision des pipelines et à un durcissement des accès distants, a permis d’identifier des composants à risque qui auraient pu être déployés dans les systèmes OT. Ce travail de visibilité a évité la propagation d’une vulnérabilité critique au sein de l’environnement de production.
SOC OT : supervision continue et détection fine
Monitorer un environnement industriel exige une approche différente de celle de l’IT. Dans des systèmes où l’on ne peut ni scanner ni interrompre, la supervision doit être passive, continue et adaptée aux processus métiers. Le SOC OT doit corréler signaux faibles, comportements machines et identités techniques pour protéger les installations sans les perturber.
Le SOC passe à la détection passive
IMS Networks s’appuie sur la technologie Nozomi pour apporter une visibilité passive et une supervision OT réellement adaptées aux contraintes industrielles. Simon Bonin, expert cybersécurité, revient sur les défis de la détection « zéro perturbation » et du SOC unifié IT/OT.
SNC – Pourquoi la visibilité OT reste-telle un enjeu majeur pour les industriels ?
S. B. – En OT, les environnements évoluent sur plusieurs années et sont souvent mal documentés. La priorité, c’est d’avoir une cartographie fiable avant de pouvoir détecter quoi que ce soit.
SNC – Vous insistez sur une détection totalement passive. Pourquoi ?
S. B. – On ne peut pas scanner un automate, ni générer de trafic inutile. La solution de Nozomi ne se met pas en coupure, elle n’interroge rien et se contente « d’écouter ».
SNC – Qu’est-ce qui vous a fait choisir Nozomi ?
S. B. – Nozomi offrait le panel de visibilité le plus large et le plus avancé techniquement. On avait déjà des briques fortes côté filtrage, il nous manquait une brique de visibilité robuste et non intrusive.
SNC – En quoi un SOC unifié IT/OT change-t-il la réponse aux attaques ?
S. B. – La plupart des attaques OT commencent côté IT. Si vous avez deux SOC séparés, chacun n’a qu’un morceau du puzzle. Un SOC unique permet de voir un déplacement d’attaque d’un environnement à l’autre, de corréler ce qui se passe et d’alerter beaucoup plus tôt.
SNC – Quel est l’impact de la supervision continue ?
S. B. – Avoir une supervision 24/7 change tout. Une alerte critique est analysée immédiatement et on peut agir via les firewalls ou d’autres briques déjà présentes. L’idée, c’est de gagner en réactivité sans jamais compromettre la disponibilité.
Sécuriser les identités machines, l’angle mort des environnement OT
Keyfactor © DR
La sécurisation OT ne peut fonctionner sans maîtriser les identités machines. Guillaume Crinon, Director IoT Business Strategy chez Keyfactor, explique pourquoi la gestion des certificats et du cycle de vie des clés est cruciale.
SNC – Où voyez-vous les points aveugles les plus critiques ?
G. C. – Les systèmes industriels ont un vrai problème structurel : les certificats sont souvent auto-signés, les identités machines ne sont pas gérées et personne ne sait vraiment comment sont sécurisées les communications entre les équipements. Dans certaines usines, nous découvrons des certificats expirés depuis des années.
SNC – Pourquoi la gestion des certificats est-elle si stratégique en OT ?
G. C. – Une grande partie des échanges industriels repose sur des communications machine to machine. Si l’identité de ces machines n’est pas forte, si les clés ne sont pas renouvelées ou si les certificats ne sont pas surveillés, l’environnement devient vulnérable. Une attaque n’a même plus besoin de cibler l’automate : il suffit de prendre la place d’un composant légitime.
SNC – Comment corriger ce manque de visibilité ?
G. C. – Il faut une approche dédiée : une PKI spécifique aux environnements industriels, une authentification forte x.509 et une gestion complète du cycle de vie des certificats. La convergence IT/OT permet d’appliquer à l’OT des méthodes de sécurité qui ont 20 ans d’avance dans l’IT. Cela évite des arrêts de production, comme celui de Jaguar qui a montré à quel point l’absence de maîtrise des identités peut coûter cher.
SNC – Vous parlez souvent de « visibilité en temps réel ». Qu’entendez-vous par là ?
G. C. – Aucun grand industriel n’a une vision claire et en temps réel des identités utilisées dans ses systèmes. Les usines sont des îlots, chacun avec ses pratiques. Or, la sécurité industrielle ne peut plus reposer sur des inventaires manuels : il faut du monitoring continu, une automatisation du renouvellement et une chaîne de confiance maîtrisée de bout en bout.
Camille Suard
