Construire des architectures OT résilientes : segmentation, Zero Trust & modernisation des réseaux
La cybersécurité industrielle repose aujourd’hui autant sur l’architecture que sur les technologies elles-mêmes. Beaucoup de réseaux OT restent encore plats, interconnectés et hérités, ce qui rend difficile la mise en place de protections sans toucher à la production. Introduire de la segmentation, isoler les flux critiques ou sécuriser les automatismes suppose de moderniser des environnements parfois âgés de 20 ans. En parallèle, les accès distants, la mobilité des prestataires, l’usage croissant du cloud et l’arrivée de la 5G ou de l’edge computing transforment profondément les échanges entre IT et OT. Les modèles classiques de VPN ne suffisent plus : il faut contrôler l’identité, le contexte et les flux en continu. Les réseaux industriels deviennent ainsi des architectures distribuées, plus ouvertes mais aussi plus exposées.
Segmenter l’OT pour éviter l’effet domino
Stormshield intervient au cœur des architectures OT existantes. Entretien avec Vincent Nicaise, Team Leader Industry en charge d’une business unit commerciale qui adresse les grands comptes de l’industrie et des infrastructures.
SNC – Beaucoup d’industries fonctionnent encore sur des réseaux plats. Quels sont les risques concrets que vous observez sur le terrain ?
V. N. – Sur beaucoup d’usines, on constate qu’une attaque arrive par le réseau IT. Et comme les systèmes sont interconnectés, et sans équipements de sécurité adaptés entre les deux, il y a des déplacements latéraux des attaquants vers les réseaux industriels.
SNC – Quels types d’attaques ou de vulnérabilités sont aujourd’hui les plus fréquentes ?
V. N. – On voit énormément d’attaques liées à des vulnérabilités d’abord exploitées sur l’IT, puis qui « descendent » dans l’OT. Il y a aussi beaucoup d’attaques liées à la télémaintenance. Prenons l’exemple d’un industriel très mature, comme Airbus : ses sous-traitants doivent se connecter depuis leur propre entreprise sur les usines Airbus pour modifier un programme d’automate. Certains sous-traitants n’ont pas la même maturité cyber. Les attaquants les utilisent alors comme point d’entrée.
SNC – Comment introduire de la segmentation dans des réseaux industriels anciens sans interrompre la production ?
V. N. – On se retrouve avec des réseaux « à plat », où chaque composant peut discuter avec tout le monde. Pour limiter ça, on met en place de la segmentation. Nos firewalls lisent les protocoles industriels et permettent de définir des politiques très fines. Et surtout, nous avons des modes de déploiement qui permettent d’introduire le firewall sans modifier le réseau environnant : pas besoin de changer les switchs, ni les automates ni les plages IP.
SNC – Les équipements de bordure sont devenus un point faible majeur. Pourquoi ?
V. N. – L’ANSSI l’a rappelé : environ 50 % des attaques traitées sur des infrastructures critiques proviennent de vulnérabilités sur des équipements de bordure. Une solution de sécurité ne doit surtout pas devenir une passoire. Si l’équipement est vulnérable, l’attaquant peut l’utiliser comme porte d’entrée.
SNC – Dans ce contexte, quel est l’intérêt des équipements qualifiés ANSSI ?
V. N. – Nous allons jusqu’à la qualification – et sur les firewalls, nous sommes les seuls aujourd’hui. Cela implique de donner le code source à l’ANSSI, qui audite tout. C’est un processus qui prend entre un et trois ans. Mais pour les opérateurs d’importance vitale, c’est rassurant : quand l’ANSSI a audité un produit, vous avez plus de garanties sur sa solidité.
SNC – Vous insistez sur la souveraineté. Pourquoi est-ce déterminant en OT ?
V. N. – Mettre en place des solutions non souveraines sur des infrastructures critiques, c’est accepter le risque qu’un État puisse, un jour, exploiter cette dépendance. Si votre première barrière réseau est une solution purement américaine ou israélienne, un contexte géopolitique dégradé pourrait, en théorie, créer des pressions sur l’éditeur. Avec des solutions françaises ou européennes, vous gardez une indépendance stratégique et la maîtrise de ce qui se passe dans l’équipement.
SNC – La maturité OT reste hétérogène. Comment avancer ?
V. N. – Il faut aussi une organisation. Côté IT, il y a des responsables et des processus depuis longtemps. Côté OT, ce n’est pas systématique. Il est indispensable qu’il y ait des personnes responsables au sein des usines. Sans cela, la convergence IT/OT reste partielle et la cybersécurité ne peut pas être maîtrisée.
Unifier les réseaux pour sécuriser l’OT : retours de terrain
La convergence IT/OT révèle une limite structurelle des environnements industriels : des réseaux souvent à plat, peu segmentés et particulièrement exposés.
« Dans beaucoup d’usines, on trouve encore des réseaux à plat : vous vous branchez quelque part et vous voyez tout. C’est le type de situation qui a notamment permis qu’une seule machine vulnérable puisse provoquer l’arrêt complet d’un grand site industriel. »
Pour Cisco, l’un des leviers les plus marquants consiste à unifier les réseaux IT et OT dans une architecture commune, cohérente et sécurisée.
« Historiquement, il y avait deux réseaux séparés : un réseau IT pour les bureaux et un réseau OT pour l’atelier, la logistique, les machines. Concrètement, cela voulait dire deux infrastructures, deux familles d’équipements, deux gestions distinctes. Notre proposition, c’est d’unifier ces réseaux : une seule infrastructure qui gère le réseau administratif et le réseau de production. Dit comme ça, ça paraît simple mais en réalité on réunit deux mondes très différents. L’enjeu clé, c’est la cybersécurité. »
Cette approche repose aussi sur une visibilité industrielle intégrée directement à l’infrastructure.
« Notre solution Cyber Vision s’appuie sur des sondes directement intégrées dans nos appareils réseaux. Les informations utiles à la cartographie et à la détection remontent automatiquement, sans ajouter une “boîte de plus” dans le réseau. »
Sur le terrain, Cisco observe l’impact concret de cette simplification architecturale. Dans une usine logistique SEW, la coexistence de deux réseaux séparés IT/OT provoquait des coupures, une téléphonie instable et des robots autonomes qui « se perdaient ».
« Nous avons déployé un seul réseau sans fil pour les deux usages. Ils ont aujourd’hui une connectivité plus fiable, moins de bornes, une seule console de management et un impact environnemental et financier réduit. »
Cette approche globale permet justement d’en finir avec des architectures devenues trop fragmentées et difficiles à exploiter.
« Grâce à cette architecture globale, nous avons un même logiciel de management pour la partie administrative et la partie industrielle, des briques réseau et sécurité conçues pour fonctionner ensemble et une visibilité de bout en bout sur ce qui se passe sur le réseau. Cela permet d’être plus efficace pour la détection, la réponse et la résilience, sans surcharger les équipes. »
Fin du VPN : la vision Zero Trust de Netskope
Netskope observe la transformation rapide des accès industriels : fin du VPN, explosion du cloud, prestataires en mobilité. Stanley Nabet, Country Manager France, nous éclaire sur la mise en place d’un Zero Trust opérationnel pour l’OT.
SNC – Comment la transformation cloud change-t-elle la sécurité des accès, notamment en OT ?
S. N. – Le réseau s’est déplacé vers Internet. Avant, on mettait une sonde dans le réseau interne. Aujourd’hui, il faut d’autres types de sondes et cela demande des investissements et des compétences rares.
SNC – Pourquoi le modèle VPN classique ne fonctionne-t-il plus ?
S. N. – Le VPN a 25 ans. Une fois connecté, on accède à tout. Ce n’est plus possible. Les données sont éclatées partout. Les passerelles VPN vieillissantes accumulent les CVE. Plus d’un client sur deux a déjà subi un incident lié à son VPN.
SNC – Comment le Zero Trust répond-il à ces enjeux ?
S. N. – Le ZTNA inverse tout : quoi qu’il arrive, je ne te fais pas confiance. On vérifie en permanence la posture et on ne publie que l’application demandée, pas tout le réseau.
SNC – Comment traiter l’arrivée massive de sous-traitants et d’équipements non managés ?
S. N. – On peut leur fournir un navigateur sécurisé ou un accès reverse proxy. Pas besoin d’installer quoi que ce soit. On peut monitorer tout ce qu’ils font : téléchargement, impression, modification… même sans agent.
Sécuriser de bout en bout : du device industriel jusqu’au SOC hybride
Eviden (Atos) accompagne les architectures industrielles les plus distribuées : edge, 5G privée, environnements hybrides. Zeina Zakhour, vice-présidente Global CTO Digital Security, démontre que leur retour d’expérience souligne comment sécuriser des systèmes complexes et fortement interconnectés.
SNC – La convergence IT/OT multiplie les interconnexions et les points d’exposition. Comment en voyez-vous les effets concrets ?
Z. Z. – Quand on parle de convergence IT/OT, on parle surtout d’une interconnexion devenue quotidienne, et même essentielle, entre l’ERP, le cloud, les infrastructures IT et le monde industriel. Cela permet de produire mieux et plus vite. La vraie question, c’est : l’a-t-on fait de manière plus sûre ? L’exemple récent de Jaguar Land Rover est parlant : plusieurs semaines d’arrêt de production et des milliers de fournisseurs affectés parce que l’onde de choc traverse toute la chaîne.
SNC – Quelle approche mettez-vous en œuvre pour sécuriser ces architectures industrielles hyperconnectées ?
Z. Z. – Notre approche, c’est de sécuriser la chaîne de bout en bout. Nous avons construit une véritable chaîne de confiance souveraine qui descend jusqu’aux systèmes embarqués eux-mêmes : les devices, les middlewares, les logiciels qui tournent dessus. Nous avons nos propres mécanismes de signature logicielle pour garantir l’intégrité des logiciels industriels, ainsi que des solutions pour gérer les identités et la sécurité des échanges entre équipements.
SNC – Vous mentionnez souvent des approches verticalisées. À quoi cela correspond-il concrètement ?
Z. Z. – On ne protège pas un réseau ferroviaire comme un parc éolien ou une usine de process. Dans le transport, nous sécurisons les signaux radio pour le ferroviaire. Dans l’énergie, nous sécurisons la connectivité des parcs éoliens, avec des enjeux de continuité opérationnelle, de sécurité des équipes sur site et de conformité sectorielle.
SNC – Comment articulez-vous visibilité, segmentation et supervision dans vos projets OT ?
Z. Z. – D’abord la visibilité : on ne peut pas sécuriser ce qu’on ne voit pas. Ensuite la segmentation du réseau OT, l’ajout d’accès distants sécurisés, la sécurisation des automates, la gestion des accès à privilèges et enfin le SOC pour la détection continue. L’objectif est, notamment en cas de vulnérabilité zero-day exploitée par des attaquants, d’être capable de détecter rapidement, d’isoler et de sécuriser les environnements IT et OT avant que l’incident ne dégénère.
SNC – Où en sont les industriels sur la mise en place de SOC hybrides IT/OT ?
Z. Z. – Les SOC hybrides IT/OT existent déjà chez les plus avancés mais le niveau de maturité est très hétérogène. Certaines entreprises ne savent pas précisément ce qu’elles ont en OT, ni ce qu’elles doivent protéger. Tant qu’on en est là, le SOC hybride est un objectif lointain. Le socle, c’est d’abord de retrouver de la visibilité sur le périmètre OT, puis de le segmenter et de le surveiller. Le niveau le plus avancé, c’est un SOC qui voit réellement les deux mondes, avec les indicateurs, les journaux et la télémétrie nécessaires pour détecter un risque côté IT avant qu’il ne se propage dans l’OT, ou inversement.
SNC – L’arrivée de la 5G privée et de l’edge computing change-t-elle la manière de sécuriser l’OT ?
Z. Z. – L’adoption de l’edge computing et de la 5G privée ouvre de nouvelles portes et fenêtres sur la surface d’attaque. Ce sont des technologies formidables pour la production mais elles ajoutent des axes d’exposition qu’il faut sécuriser dès la conception.
SNC – Quel rôle la collaboration joue-telle dans la cybersécurité industrielle ?
Z. Z. – Aucun acteur ne peut adresser seul la problématique. Les cybercriminels collaborent, se spécialisent et utilisent l’IA. Face à cela, industriels, intégrateurs, fournisseurs et même concurrents doivent travailler ensemble pour définir des standards communs et des engagements partagés.
Moderniser l’OT sans l’arrêter
Schneider Electric accompagne de nombreux sites industriels dans la modernisation de leurs infrastructures OT. Alberto Menendez, VP Global Infrastructure Security, explique comment les architectures industrielles évoluent pour concilier disponibilité, connectivité et sécurité.
SNC – Que recouvre pour vous une architecture industrielle AI-ready ?
A. M. – Une architecture AI-ready n’est pas une architecture surdimensionnée mais conçue pour absorber des charges plus lourdes – analyse avancée, optimisation en temps réel, détection intelligente – sans remettre en cause la stabilité opérationnelle. Nous travaillons sur des designs de référence qui intègrent nativement la sécurité, la segmentation et la résilience, afin de préparer les sites industriels à ces usages futurs.
SNC – Quels sont les défis principaux quand on modernise une infrastructure OT existante ?
A. M. – Beaucoup de clients doivent gérer des systèmes anciens, parfois de plusieurs décennies, et qui ne peuvent pas être arrêtés. Introduire de nouvelles capacités doit se faire sans impact sur la production. Cela implique une excellente compréhension des processus industriels et une approche très progressive : analyser les flux, introduire de la segmentation, renforcer la supervision et intégrer de nouveaux services sans rupture.
SNC – L’ouverture OT vers le cloud et les services connectés change-t-elle la surface d’exposition ?
A. M. – Oui, très clairement. L’OT est désormais interconnecté : maintenance à distance, jumeaux numériques, analyse dans le cloud, collaboration avec les partenaires… Cette ouverture doit être accompagnée d’un renforcement de la visibilité. La question n’est plus seulement « Qui se connecte ? » mais « Quels flux traversent le site, dans quel sens et avec quels droits ? ».
SNC – Comment Schneider Electric aide-t-elle les industriels à intégrer les contraintes de conformité – notamment NIS 2 ?
A. M. – La conformité impose surtout de documenter, de superviser et de démontrer la maîtrise de son infrastructure. Nous aidons nos clients à structurer leur gouvernance, à définir des politiques communes entre IT et OT et à adopter une supervision continue adaptée aux environnements industriels. Bien pensée, la conformité devient un levier de robustesse, pas une contrainte.
SNC – Comment voyez-vous évoluer les architectures OT dans les prochaines années ?
A. M. – L’OT va devenir plus distribué, plus automatisé et plus connecté – mais avec une exigence inchangée : la disponibilité absolue. Les architectures industrielles de demain s’appuieront sur des plateformes unifiées IT/OT, du traitement edge au plus près des lignes, et sur une analyse avancée des comportements. La sécurité devra être intégrée dans chaque couche, du réseau au système, sans jamais perturber l’opérationnel.
T-Systems : repenser l’architecture OT avec la 5G et l’edge
T-Systems accompagne les industriels dans le déploiement de réseaux 5G privés, d’architectures edge et de plateformes hybrides mêlant cloud et environnements opérationnels. François Baranger, CTO T-Systems France, explique comment ces nouvelles infrastructures modifient profondément la sécurité OT.
« La 5G privée est en train de devenir un composant central de l’usine moderne. Elle apporte une connectivité fiable, une latence très faible et la possibilité de connecter des milliers de capteurs, robots ou AGV sur un site industriel. Mais cette puissance doit être encadrée : elle élargit la surface d’exposition si la sécurité n’est pas intégrée dès la conception. L’analyse des données critiques ne peut pas toujours passer par le cloud. Le traitement doit se faire au plus près de la ligne de production. L’edge introduit donc un nouveau périmètre à sécuriser, avec des workloads sensibles, distribués et parfois très hétérogènes. »
Pour T-Systems, l’enjeu est d’unifier ces briques dans une architecture cohérente, supervisée et alignée avec les contraintes OT.
« La convergence IT/OT impose d’avoir une visibilité transversale : comprendre les flux qui passent par la 5G, ceux qui restent en local et ceux qui montent dans le cloud. La sécurité doit suivre ces mouvements et corréler l’ensemble. »
Cette modernisation se trouve accélérée par les exigences européennes.
« NIS 2 pousse les industriels à documenter leurs architectures, à démontrer leur résilience et à intégrer la sécurité très tôt dans les projets. Sur des environnements 5G ou edge, cela veut dire définir des politiques d’accès, de segmentation et de supervision dès le départ. Les environnements industriels vont devenir plus distribués, plus autonomes et plus interconnectés. La sécurité devra être embarquée dans le réseau lui-même – dans la 5G, dans l’edge, dans les workloads – et non ajoutée après coup. L’avenir est à des plateformes qui convergent vraiment, capables de superviser IT, OT et infrastructures avancées comme un tout. »
Structurer une filière souveraine de cybersécurité industrielle
Hexatrust fédère aujourd’hui plus de 150 acteurs français et européens de la cybersécurité et du cloud de confiance. Avec la création d’un groupe de travail dédié à la cyber OT et une cartographie complète des solutions souveraines couvrant l’ensemble du modèle Purdue, l’association s’impose comme un catalyseur de la filière. Olivier Morel, trésorier d’Hexatrust et responsable du groupe OT, revient sur les priorités, les tendances observées sur le terrain et les défis qui attendent encore les industriels.
SNC – Vous portez le groupe de travail OT au sein d’Hexatrust. Quel est votre rôle et celui de l’association dans la cybersécurité industrielle ?
O. M. – Je porte deux groupes de travail : le groupe d’onboarding des nouveaux membres – on est passé d’une quarantaine d’entreprises il y a trois ou quatre ans à environ 150 aujourd’hui – et le groupe de travail OT security, lancé cet été, que j’anime avec l’ensemble des acteurs spécialisés dans la sécurisation des environnements industriels.
SNC – Comment la maturité des industriels face à la convergence IT/OT a-t-elle évolué ?
O. M. – On constate clairement une prise de conscience beaucoup plus forte qu’il y a quelques années. Même les directions industrielles comprennent désormais que la cybersécurité n’est pas qu’un frein ou une contrainte mais un enjeu de continuité d’activité et de sûreté. Une entreprise attaquée, c’est une entreprise qui ne produit plus. Le sens de l’histoire, qui est à l’ouverture croissante des systèmes OT, va plus vite que la sécurisation. L’écart reste important.
SNC – Quels constats observez-vous dans les PME industrielles, encore très exposées ?
O. M. – Les derniers rapports, comme le panorama 2024, montrent qu’elles sont fortement ciblées, et qu’elles restent très fragiles. On observe notamment une surexposition des systèmes OT, le fait que 75 % des attaques OT commencent côté IT, des problèmes récurrents d’obsolescence et de mauvaises pratiques d’accès à distance ainsi que l’apparition de malwares et ransomwares spécifiquement conçus pour l’OT.
SNC – Hexatrust travaille également sur une cartographie technique complète. Où en êtes-vous ?
O. M. – Nous avons déjà positionné l’ensemble des offres Hexatrust sur le Purdue Model, du niveau 0 au niveau 5, pour montrer qu’il existe des solutions françaises pour sécuriser les automates, les systèmes Scada et les couches matérielles, protéger la liaison IT/OT, sécuriser les accès distants et accompagner les industriels dans la mise en œuvre et la montée en maturité.
SNC – Quelles sont les prochaines briques technologiques à surveiller ?
O. M. – On voit plusieurs axes importants : l’IA et le machine learning pour la détection d’anomalies dans les processus industriels, le Zero Trust avec la sécurisation des accès à distance et la micro-segmentation ainsi que la montée en puissance de la menace spécifiquement OT, notamment sur les protocoles industriels legacy.
SNC – NIS 2 et les futures lois sur la résilience vont-elles accélérer la transformation ?
O. M. – Ce cadre, parfois vécu comme une contrainte, est pour nous un levier important pour faire progresser la prise de conscience et accélérer la sécurisation des industries critiques, y compris chez des sous-traitants qui pensent ne pas être concernés directement alors qu’ils le sont via la chaîne d’approvisionnement. Les incidents récents comme ceux ayant touché de grands constructeurs automobiles l’ont bien montré.
SNC – Quel rôle Hexatrust souhaite-telle jouer dans cette nouvelle phase ?
O. M. – Hexatrust essaie d’être à la fois un fédérateur des acteurs français et européens de la cybersécurité industrielle, un catalyseur de la filière pour structurer l’offre et un apporteur de solutions concrètes, souveraines, pour aider les organisations à se mettre en conformité et renforcer leur autonomie. Et surtout, nous portons une conviction forte : l’union fait la force. Nous croyons réellement à la puissance du collectif. Les acteurs français doivent travailler ensemble – éditeurs, intégrateurs, industriels – pour couvrir, de bout en bout, toute la chaîne de compromission et proposer des réponses robustes face à l’intensification de la menace.
La nouvelle surface d’attaque OT
- 75 % des attaques OT commencent par une compromission IT (Telstra/Omdia, 2025).
- 70 000 équipements OT sont directement exposés à Internet dans le monde (Rodda & Mavroudis, 2025).
- + 46 % d’attaques ransomware OT au T1 2025 (Honeywell, 2025).
- 65 % des environnements OT présentent des accès distants non sécurisés (Dragos, 2025).
- + 50 % des usines dépendent encore de systèmes legacy comme Windows XP (TXOne, 2025).
- En France, 37 % des victimes de ransomwares en 2024 sont des PME industrielles (ANSSI, 2024).
Camille Suard
