À l’UECC 2025, la cybersécurité industrielle s’est imposée comme l’un des sujets phares. Longtemps dans l’ombre de l’IT, les environnements OT (technologies opérationnelles) sont désormais au centre de l’attention, ciblés par des attaques toujours plus sophistiquées. Mais comment bâtir une « Cyber 2.0 » adaptée à des systèmes aussi critiques qu’hétérogènes ?
Le poids du passé comme vulnérabilité
Les environnements OT reposent sur des cycles de vie très longs. Turbines, automates, systèmes SCADA peuvent rester en production plusieurs décennies. C’est de cette manière que des technologies obsolètes continuent d’être utilisées, souvent impossibles à patcher. Julien Dreano, Group CISO de Framatome, l’a reconnu sans détour : « Nous ressemblons à un musée de l’informatique. Comment sécuriser un Windows XP encore présent dans un réseau nucléaire ? Le vrai défi est d’encadrer le passé qui doit continuer à vivre, tout en sécurisant le présent. » Cette coexistence entre technologies récentes et systèmes obsolètes oblige à des stratégies hybrides. La segmentation réseau, la surveillance adaptée ou le virtual patching deviennent des réponses pragmatiques, dans un univers où l’arrêt d’une installation n’est pas envisageable.
Vers une cybersécurité raisonnée
La cybersécurité industrielle ne peut pas être une copie de l’IT. Ici, la priorité reste la sécurité des personnes et la continuité de production. Les approches trop rigides risquent de se heurter au réel. Frank van Caenegem, VP Cybersécurité & CISO EMEA de Schneider Electric, insiste sur ce point :« Dans l’industrie, il ne s’agit pas d’appliquer un Zéro Trust extrémiste. La cyber doit être raisonnée, proportionnée, et orientée business. » Cette approche se traduit par la mise en place de Security Leaders locaux, issus du terrain et formés à la cyber, capables de trouver le bon moment pour appliquer un correctif sans perturber la production. Loin d’une vision théorique, ce modèle illustre comment l’OT impose sa propre logique à la cyber.
L’Europe, entre levier et carcan
Le Cyber Resilience Act, la directive RED ou NIS2 fixent désormais un socle minimal de sécurité aux produits et systèmes connectés. C’est une avancée indéniable, mais les industriels craignent un excès de contraintes. Van Caenegem prévient : « La normalisation est essentielle : il faut que tout le monde parle le même langage. Mais attention à ne pas créer un millefeuille réglementaire qui freinerait l’agilité des industriels européens. » La question demeure stratégique puisque mal calibrée, la réglementation risque de peser lourdement sur les PME et de freiner l’innovation. Bien pensée, elle peut au contraire renforcer la souveraineté numérique européenne et donner aux industriels un cadre clair pour investir et donc, passer de contrainte à opportunité.
L’humain, pivot de la résilience
L’un des messages forts est venu rappeler que la technologie seule ne suffira pas. Dans un environnement aussi sensible, la sensibilisation des équipes doit être pensée comme un levier de résilience. Julien Dreano le formule ainsi : « J’ai 25 000 collaborateurs : ce sont autant de capteurs humains de renseignement, si l’on sait instaurer le bon dialogue. » Transformer chaque salarié en acteur de la sécurité, plutôt que de désigner l’humain comme maillon faible, apparaît comme une condition pour que la défense en profondeur fonctionne.
Une « Cyber 2.0 » en construction
Ce que les intervenants décrivent n’est pas une révolution technique mais une évolution culturelle. La « Cyber 2.0 » se définit comme une sécurité intégrée aux métiers, proportionnée aux contraintes opérationnelles et pensée dans une logique de résilience. Elle engage toute la chaîne de valeur, des grands groupes aux sous-traitants. « La Cyber 2.0, c’est une cyber qui engage la responsabilité de bout en bout et qui accompagne la réussite et la transformation digitale, pas seulement un empêcheur de tourner en rond. » résume Frank van Caenegem.
