Nous gérons des lignes de production valant des millions de dollars avec des logiciels anciens parce que personne ne veut risquer un arrêt, mais ignorer cette « bombe à retardement » devient bien trop risqué.
Lorsque j’ai sécurisé une ligne de production pour la première fois, une partie du système de contrôle fonctionnait encore sur une machine Windows XP non corrigée, nichée sous une table de laboratoire, juste à côté de l’installation de fabrication GMP de pointe qui produisait des millions de valeur chaque jour. Tout le monde savait que le système représentait un risque, mais personne n’était disposé à y toucher tant qu’il « fonctionnait encore ». Cette combinaison de dette technique, de pression opérationnelle et de risque réglementaire fait aujourd’hui des technologies opérationnelles (OT) existantes une bombe à retardement, en particulier dans les secteurs de l’énergie et de la pharmacie.
Nous avons des attaquants modernes, mais des systèmes obsolètes
Dans presque toutes les évaluations de sécurité OT que j’ai menées, je retrouve la même configuration : du côté informatique, les équipes parlent de Zero Trust, de XDR et de prise en charge de l’IA dans le SOC. Du côté des OT, ils sont aux prises avec des protocoles obsolètes, des systèmes d’exploitation non pris en charge et des « lacunes » qui ont longtemps été percées par l’accès et les intégrations à distance. Même si les réglementations et directives sur les infrastructures critiques incluent désormais explicitement l’OT, la réalité technique de nombreuses usines reste figée dans les années 2000.
De nombreuses installations utilisent encore des systèmes d’exploitation existants comme Windows XP ou Windows 7, souvent sans assistance continue et donc sans mises à jour de sécurité régulières.
Les protocoles OT comme Modbus ou les anciennes versions de Profinet n’ont jamais été conçus pour l’authentification ou le chiffrement, mais ils sont aujourd’hui utilisés dans les infrastructures en réseau.
La convergence de l’informatique et de l’OT — via le MES, les systèmes d’historique, la maintenance à distance et les connexions cloud — crée des chemins transparents pour les attaquants depuis le réseau du bureau jusqu’à la salle de contrôle.
Ce n’est pas une théorie : des incidents réels comme Stuxnet, Triton et l’attaque de ransomware sur Colonial Pipeline ont clairement montré comment les vulnérabilités informatiques peuvent se répercuter sur les processus OT critiques. Ces cas sont devenus des références dans la communauté de la sécurité OT, non pas parce qu’il s’agit de cas aberrants, mais parce qu’ils exposent des mécanismes qui existent aujourd’hui dans de nombreux environnements OT.
Pourquoi tout le monde sait que ça brûle, mais personne ne déclenche l’alarme incendie
Lorsque je parle aux responsables OT, aux responsables de production ou aux ingénieurs d’usine, j’entends rarement : « Nous ne savions pas que nous avions un problème ». Bien plus souvent, on dit : « Nous savons que c’est critique, mais nous ne pouvons pas simplement l’arrêter. » Cet écart entre la prise de conscience et l’action constitue le véritable risque.
D’après mon expérience, il existe trois bloqueurs principaux :
- Les temps d’arrêt sont le tabou ultime. Dans un environnement de production 24h/24 et 7j/7, tout arrêt planifié entraîne une réelle perte de revenus. Dans le même temps, les exigences en matière de disponibilité et de fiabilité des livraisons augmentent, en particulier dans les secteurs de l’énergie et de l’industrie pharmaceutique, où les interruptions peuvent avoir un impact sociétal. Dans cette situation, la sécurité devient un élément à prendre en compte « lors de la prochaine grande rénovation » – une rénovation qui est souvent reportée de plusieurs années.
- Écarts culturels et linguistiques entre l’informatique et l’OT. Les équipes OT sont formées à la sécurité en termes de sécurité des processus et des installations, et non à la cybersécurité. Leurs priorités sont la stabilité, le déterminisme et la sécurité physique ; les discussions abstraites sur les exploits du jour zéro semblent souvent très éloignées de la vie quotidienne sur le terrain. À l’inverse, de nombreuses équipes informatiques sous-estiment la précision des processus de production et la rapidité avec laquelle une analyse mal placée ou une vérification agressive de vulnérabilité peut perturber une usine.
- Diffusion du budget et des responsabilités. Dans de nombreuses organisations, on ne sait pas clairement qui est stratégiquement responsable de la sécurité de l’OT : le RSSI, le COO, la direction du site ou l’ingénierie ? L’évolution des réglementations accentue ce phénomène en tenant explicitement la direction responsable et en introduisant une responsabilité potentielle en cas de gestion inadéquate des cyber-risques. Pourtant, les décisions d’investissement sont encore souvent motivées par la logique CapEx et les mesures OEE – les mesures de sécurité qui empêchent les pannes n’apparaissent qu’indirectement.
En résumé, cela crée une situation paradoxale : les organisations dotées des processus les plus critiques sont souvent les moins disposées à modifier leur paysage OT – et donc les plus exposées aux modèles d’attaques modernes.
Quand l’OT traditionnel rencontre les attaquants modernes
Les dernières années ont montré à quel point les attaquants se sont professionnalisés et se sont orientés vers des modèles économiques industrialisés et évolutifs – le ransomware-as-a-service en est l’exemple le plus visible. Dans le même temps, des études montrent qu’une part importante des entreprises industrielles ont enregistré des cyberincidents sur leurs anciens systèmes OT au cours des 12 derniers mois. De ma pratique, un modèle est apparu que je vois à plusieurs reprises.
En règle générale, une attaque moderne contre une organisation fortement OT se déroule en plusieurs étapes :
Accès initial via l’informatique – pas OT
Les attaquants compromettent d’abord le réseau du bureau, souvent via du phishing, des applications Web non corrigées ou un accès VPN faible. Le cas Colonial Pipeline est un exemple classique : un compte VPN compromis sans authentification multifacteur a suffi à déclencher une cascade d’événements qui ont abouti à l’arrêt préventif d’un réseau d’approvisionnement clé.
Mouvement latéral à travers des réseaux mal segmentés
Une fois à l’intérieur du réseau d’entreprise, les attaquants recherchent des chemins vers l’OT – souvent via des interfaces mal documentées, des systèmes d’historique, un accès aux postes de travail à distance ou des zones de transition sans segmentation claire. Les architectures de zones et de conduits manquantes selon la norme CEI 62443, les réseaux plats et les hôtes de saut insuffisamment renforcés rendent cette étape beaucoup plus facile.
Exploitation de systèmes obsolètes et manque de surveillance
Dans l’environnement OT actuel, les attaquants sont confrontés à un mélange de systèmes d’exploitation obsolètes, de protocoles propriétaires et de faibles niveaux de surveillance. De nombreux systèmes ne sont pas intégrés dans un SIEM central, et il n’existe pas de SOC OT dédié avec des playbooks pour les incidents industriels. Cela simplifie le chiffrement des systèmes critiques ou la manipulation de la logique de contrôle avant que quiconque ne détecte des anomalies dans les données de processus.
Un impact commercial bien au-delà de l’usine
Les effets immédiats d’un incident OT vont des arrêts de production et des problèmes de qualité aux risques pour les employés et l’environnement. Pour les infrastructures critiques, ajoutez les retombées réglementaires, les atteintes à la réputation et les interventions potentielles des organismes de surveillance dans le cadre des cadres réglementaires pertinents.
Dans les entreprises énergétiques et pharmaceutiques en particulier, ces scénarios ne sont plus considérés comme des « cygnes noirs », mais sont pris en compte dans les analyses de continuité des activités et de risques. Pourtant, la faiblesse structurelle persiste : tant que l’OT traditionnel reste intact, même les programmes de sécurité informatique les plus sophistiqués ne sont que partiellement efficaces.
Énergie et pharmacie : quand les échecs des OT deviennent des problèmes systémiques
Dans les projets énergétiques, je constate à plusieurs reprises comment les risques techniques s’entremêlent aux cadres géopolitiques et réglementaires. Les réseaux électriques, les pipelines et les centrales de production ne sont pas seulement des entités essentielles au regard des réglementations sur les infrastructures critiques, mais, dans de nombreux pays, ils font partie des infrastructures critiques dotées de lois de sécurité spécifiques au secteur.
Dans le domaine de l’approvisionnement énergétique, une salle de contrôle compromise ou un système de protection manipulé peut directement entraîner des instabilités du réseau qui se répercutent vers l’extérieur.
Dans la production pharmaceutique, les incidents OT menacent non seulement les arrêts de production, mais également les violations de qualité et de conformité, par exemple lorsque les données de lots, les conditions environnementales ou les formulations deviennent peu fiables.
Dans le secteur pharmaceutique en particulier, je rencontre souvent des frontends et des paysages MES modernisés sur un noyau d’anciens contrôles, dont le statut de validation est utilisé comme un bouclier contre tout changement. La crainte de perdre les validations BPF conduit à ce que les systèmes obsolètes restent intacts pour des raisons réglementaires – même si ces mêmes régulateurs considèrent désormais la cybersécurité comme faisant partie intégrante de la sécurité des produits et des processus.
Pour les deux secteurs, la sécurité de l’OT n’est plus un sujet de niche mais directement liée à la continuité des activités, à la conformité et, dans le cas de l’énergie, à la sécurité de l’approvisionnement.
Comment j’aide mes clients à désamorcer la bombe à retardement des OT
Au fil des années, j’ai développé une approche avec diverses organisations qui résout la contradiction entre « Nous ne pouvons pas nous permettre de sombrer » et « Nous ne pouvons plus nous permettre ce statu quo ». La clé est de considérer l’OT hérité non pas comme un problème monolithique mais comme un portefeuille de risques qui peuvent être hiérarchisés et traités par étapes.
En pratique, un processus en plusieurs étapes s’est avéré efficace pour moi :
Inventaire impitoyable – mais basé sur le risque
Dans un premier temps, je travaille avec les équipes OT et IT pour créer de la transparence : quels actifs sont vraiment critiques, quels systèmes sont obsolètes, où se trouvent les interfaces IT-OT clés ? Les outils de découverte des actifs OT et d’analyse passive des réseaux aident à découvrir même les composants « oubliés » sans perturber la production. Il est essentiel que nous intégrions dès le départ une perspective de risque : tous les anciens contrôleurs ne constituent pas automatiquement le problème le plus important : c’est la criticité du processus, l’exposition et l’impact potentiel qui décident.
La segmentation d’abord – sans attendre la grande rénovation
Au lieu d’attendre une décennie pour remplacer chaque composant existant, je collabore avec de nombreux clients pour structurer d’abord l’architecture réseau selon les principes de la CEI 62443. Cela signifie définir des zones et des conduits, installer des pare-feu et des DMZ industrielles, consolider et renforcer l’accès à distance. Même si les systèmes existants continuent de fonctionner à l’intérieur de ces zones, une segmentation claire réduit considérablement les options de mouvement latéral.
Une surveillance qui comprend l’OT
Les outils de sécurité informatique classiques atteignent leurs limites dans les environnements OT s’ils ne connaissent pas les protocoles, les caractéristiques des processus et les modes de fonctionnement. C’est pourquoi je préconise l’intégration de solutions de surveillance spécifiques à l’OT dans un SOC existant ou dans un SOC OT dédié, avec des cas d’utilisation axés sur les anomalies industrielles, telles que des changements inattendus dans le programme d’un automate, des chemins de communication inhabituels ou des valeurs de processus atypiques. Ce n’est qu’avec cette visibilité que les organisations pourront passer d’une lutte réactive contre les incendies à une détection et un confinement proactifs.
La réglementation comme levier, et non comme obstacle
Les mandats et normes spécifiques à un secteur comme ISO 27001 ou CEI 62443 ne constituent pas, à mon avis, une conformité contraignante, mais plutôt une analyse de rentabilisation politique et juridique en faveur de la sécurité. Dans les projets, je traduis les exigences légales en une feuille de route avec des contrôles concrets : de la gestion des risques et de la réponse aux incidents à la sécurité de la chaîne d’approvisionnement et à la planification de la continuité des activités. Cela aide la direction à légitimer les investissements et à rendre les priorités transparentes – y compris le message selon lequel l’inaction face à l’évolution des réglementations n’est plus une option.
Modernisation progressive avec mesures compensatoires
Tous les composants existants ne peuvent pas être remplacés à court terme. Dans ces cas-là, je travaille avec des contrôles compensatoires : renforcement du réseau environnant, saut d’hôtes avec contrôle d’accès strict, passerelles de protocole, liste blanche et mesures de sécurité physique. En parallèle, nous définissons un plan de renouvellement réaliste, aligné sur les temps d’arrêt planifiés, les projets de modernisation et les cycles budgétaires, garantissant ainsi que la prochaine génération de systèmes OT soit configurée de manière plus sécurisée dès le départ.
Pourquoi est-il temps de désamorcer la bombe à retardement des OT ?
À mon avis, le moment dans lequel nous nous trouvons aujourd’hui est unique : d’un côté, la pression monte en raison de la réglementation, des marchés d’assurance et des incidents réels ; de l’autre, il existe plus d’outils techniques et organisationnels que jamais pour réduire systématiquement les risques OT.
Les assureurs évaluent les cyber-risques industriels de manière plus granulaire et lient les conditions à des mesures de résilience éprouvées.
Les régulateurs exigent non seulement des contrôles de sécurité, mais aussi une gestion des risques démontrable et une responsabilité claire au niveau de la direction.
La recherche et la pratique en matière de sécurité ont constitué une richesse d’expérience depuis Stuxnet, permettant de mieux comprendre les vecteurs d’attaque dans les infrastructures critiques.
Pour vous, en tant que décideur du secteur énergétique ou pharmaceutique, cela signifie : la bombe à retardement OT sous votre usine n’est pas le destin mais un défi de conception. La question n’est pas de savoir si l’ancienne OT présente un risque ; la question est de savoir si vous êtes prêt à en faire une priorité absolue et à prendre les mesures nécessaires avant qu’un prochain incident ne vous force la main.
Si vous débattez en interne de la manière d’aligner la sécurité OT, la conformité et les réalités de production existantes, c’est exactement le point de tension où je commence mes engagements – souvent avec une évaluation ciblée et spécifique au site et une feuille de route intégrant les aspects techniques, organisationnels et réglementaires.
Si votre environnement OT était violé demain, pourriez-vous expliquer à votre conseil d’administration pourquoi le risque était connu mais accepté ?
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
