Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Elevate
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Renforcer la résilience cyber des systèmes industriels, où inertie technique et exposition croissante se percutent, devient urgent. La directive NIS2 accélère cette transformation en imposant un niveau de sécurité inédit aux services essentiels.
La vanne qui déraille, le territoire qui vacille : voilà le scénario désormais redouté par les acteurs industriels et territoriaux. Dans les réseaux d’eau, d’énergie ou de transport, “un système OT (technologie opérationnelle) s’installe pour 20 ou 30 ans et ne bouge presque pas”, là où l’IT se réinvente tous les trois ans, comme l’a rappelé Nicolas Broutin, chef du bureau coordination sectorielle à l’ANSSI. Résultat : des systèmes d’exploitation vétustes, des automates jamais patchés, des interconnexions IT/OT et IoT qui ouvrent des brèches invisibles. “L’industrie on ne l’arrête pas facilement, on n’a pas d’usine de secours”, a-t-il insisté. Cette inertie structurelle, au cœur de la table ronde sur les systèmes industriels, devient un angle mort exploitable pour des attaquants de grande envergure, parfois étatiques. C’est précisément le fossé entre le temps long industriel et la menace cyber en temps réel que la directive NIS2 entend combler. En ce sens, elle impose une montée en maturité globale sur la résilience des services essentielles, des grands opérateurs aux collectivités.
L’héritage encombrant des OT hyper-connectés
Sous la couche technique, la fragilité est structurelle. “Les territoires empilent objets connectés, plateformes, réseaux télécoms multiples, ce qui rend vulnérable par définition un système déjà critique”, a expliqué Jean-Luc Sallaberry, FNCCR (Fédération nationale des collectivités concédantes et régies). La tension est permanente entre globalisation et cloisonnement. L’IoT pousse à agréger les données pour optimiser l’exploitation, quand la sécurité impose de segmenter et de compartimenter. Sur le terrain, les menaces qui remontent sont classiques, ransomware, déni de service. Mais une nouvelle lame de fond se dessine : la substitution d’objets, soit quand un attaquant se fait passer pour un capteur et envoie de fausses informations pour manipuler une vanne, une caméra ou un barrage. “Ce n’est pas encore une vague, mais c’est celle qui est devant nous”, a mis en garde Jean-Luc Sallaberry, FNCCR. Il appelle notamment à un plan stratégique national centré sur les systèmes industriels et l’IoT des services publics. Le réveil n’a pas été homogène et a souvent pris la forme d’un électrochoc. “Il y a cinq ans, on avait des clients déjà engagés, d’autres qui savaient que c’était un sujet sans savoir comment l’attraper, et une troisième catégorie qui n’était absolument pas consciente du problème”, constate Jérôme Champenois, directeur des systèmes informatiques (DSI) d’OVALT. Pour les industriels engagés dans des investissements lourds amortis sur deux décennies, la nécessité de mettre à jour un firmware tous les cinq ans reste difficilement acceptable. Cette logique courte, typique de l’IT, s’oppose frontalement au cycle financier et opérationnel du monde industriel. Chez Schneider Electric, la prise de conscience est devenue irréversible après les attaques de Stuxnet puis WannaCry en 2017. “Le responsable de nos usines a appelé le CISO (responsable de la sécurité des systèmes d’information) qui lui a répondu : je veux t’aider mais je n’ai aucune visibilité sur l’état réel de ton environnement OT”, a raconté Samuel Braure, Regional Cybersecurity Manager Governance & Cybersecurity, Schneider Electric. De cet aveu d’impuissance est né un programme mondial de sécurisation sur quatre ans et demi, fondé sur la conviction que “cumuler des couches technologiques sans gouvernance ne sert à rien”, a exposé Samuel Braure. La gouvernance d’abord, la technologie ensuite : une inversion de logique qui irrigue désormais les approches les plus avancées.
Mettre les métiers en première ligne
Le virage décisif, c’est la réhabilitation du métier comme premier rempart. “Lorsque survient un incident, l’impact est d’abord industriel”, a affirmé Samuel Braure. Ce constat a justifié la transformation des responsables méthodes en référents cyber sur site chez Schneider. Ces Cyber Security Site Leaders, issus de la production, cartographient les équipements, dialoguent avec le SOC (centre opérationnel de sécurité) et portent localement un référentiel inspiré de l’IEC 62443. En miroir côté intégrateurs, “on protège ce qu’on connaît bien”, a martelé Jérôme Champenois. Il constate qu’un simple audit fait souvent apparaître des réseaux de caméras ou des objets connectés que personne ne savait présents sur le SI industriel. L’ANSSI, de son côté, renforce ce mouvement par ses guides sur l’architecture, la segmentation, la gestion de crise et la détection. L’institution appuie surtout sur la nécessité d’une gouvernance, reliant direction générale, DSI, exploitants industriels et responsables territoriaux. Sans ce dialogue, la résilience reste théorique. Avec lui, elle devient un levier opérationnel, au cœur du pilotage des usines comme des services urbains.
NIS2, catalyseur de résilience
Ce changement d’échelle dans l’industrie trouve son prolongement naturel dans la directive NIS2. “Face à une menace massifiée, opposons une défense massifiée”, a résumé Gilles Pirman, chargé de mission stratégie des territoires à l’ANSSI. NIS2 élargit les obligations de cybersécurité à 18 secteurs, intègre les collectivités parmi les entités essentielles et vise la cybersécurité de la vie quotidienne. Dorénavant l’eau, l’énergie, les déchets et les transports constituent des priorités à protéger. Pour Mona Traikia, conseillère territoriale au développement numérique à Plaine Commune Grand Paris, l’enjeu est autant culturel que technique. “Un achat public intégrant la cybersécurité n’est pas une dépense, c’est un investissement”, a-t-elle plaidé. Elle a appelé à “apprendre à dépenser différemment” pour soutenir des solutions souveraines et sécurisées. Mais la directive pose aussi la question de la capacité d’exécution : plusieurs milliers d’entités à accompagner, des communautés de communes peu armées, et deux nerfs de la guerre à consolider, à savoir les budgets et les compétences.
De la manivelle à la souveraineté numérique
C’est là que la résilience prend un tour très concret, presque brut. Jean-Luc Sallaberry a cité l’exemple d’un service d’assainissement classé OIV qui a “complètement cloisonné son SI, mis en place des VPN redondants sur deux opérateurs et… acheté des vélos avec manivelles pour continuer à faire tourner les installations à la main si tout tombe”. La scène peut faire sourire, pourtant elle illustre une souveraineté assumée. Il faut accepter l’hypothèse de la panne massive, organiser la continuité, puis reconstruire. Pour aller plus loin, la FNCCR appelle à “structurer une filière nationale de cybersécurité industrielle” et même à imaginer un CESIRT spécialisé sur les systèmes OT. “Il ne faut pas se demander quand on va être attaqué, mais si l’on est suffisamment préparé à l’affronter”, a rappelé Mona Traikia, Plaine Commune Grand Paris. Une maxime militaire devenue un mantra cyber. De l’usine à la collectivité, de la vanne au territoire, NIS2 vient acter cette réalité : la résilience industrielle n’est plus un sujet d’experts, c’est désormais l’ossature silencieuse de la continuité économique et des services essentiels.
