Réussir la mise en conformité de l'OT : des enjeux techniques aux facteurs humains

Les enjeux de cybersécurité industrielle dépassent aujourd'hui le cadre des usines et lignes de production. Ils s'étendent à l'ensemble des infrastructures critiques - santé, énergie, transport, smart cities - où la protection des systèmes OT devient un impératif stratégique et réglementaire.

Très différents les uns des autres, ces environnements OT ont chacun leurs contraintes et leurs spécificités. Impossible, donc, d’appliquer les mêmes recettes à tous : les normes et standards — directive NIS2, IEC 62443 ou encore NIST Cybersecurity Framework — doivent être adaptés à chaque contexte industriel.

Des textes structurants, mais à adapter au terrain

Les cyberattaques sur l’OT ont un coût potentiellement colossal : le ransomware NotPetya, en 2017, a paralysé la production du groupe Saint-Gobain et engendré un impact financier d'environ 220 millions d'euros sur ses ventes pour le premier semestre 2017.

Pour éviter de tels scénarios, la directive NIS2 fixe des obligations strictes : évaluation des risques, formation, réponse aux incidents et notification obligatoire en cas d’attaque.

Les standards comme l’IEC 62443 complètent ce cadre avec des exigences techniques : authentification forte, intégrité et résilience des systèmes, confidentialité et segmentation des flux, gestion des vulnérabilités et incidents. Le NIST Cybersecurity Framework partage la même logique : contrôle des accès, chiffrement, usage de firewalls, solutions de détection d’intrusion (IDS) et orchestration de la réponse aux incidents.

« Le cadre normatif et les standards servent de repères, mais leur mise en œuvre dépend de la maturité cyber, de l’ancienneté des équipements et de la culture métier », rappelle Arnaud Masson, expert OT chez Nomios. Une segmentation de réseau, par exemple, n’aura pas le même sens ni la même complexité dans une usine de production chimique que dans un port ou un hôpital. L’efficacité des mesures repose donc sur leur adaptation aux usages réels des équipes terrain.

Gouvernance : une affaire de culture et de collaboration

La conformité OT n’est pas qu’une affaire de technologies : elle suppose une collaboration étroite entre IT et OT. Mais cette coopération reste complexe : quand l’IT veut verrouiller, standardiser et contrôler, l’OT veut produire, maintenir la cadence et assurer la continuité. Malgré leurs cultures différentes, ces deux entités doivent apprendre à travailler ensemble pour avancer sur le terrain de la mise en conformité.

Les opérateurs représentent souvent la première ligne de défense. Leur formation et leur implication dès la conception du plan de conformité est essentielle. De même que leur implication aux côtés des équipes IT.
Dans l’approche de Nomios, OT et IT travaillent en miroir : le CISO définit la stratégie, que les équipes industrielles traduisent ensuite dans les processus de production.
« La réussite passe par la co-construction et par une gouvernance partagée », souligne Arnaud Masson. Cette gouvernance doit s’appuyer sur des référentiels éprouvés — IEC 62443, NIS, NIST — et sur une implication constante du terrain.

Les étapes clés d’une mise en conformité réussie

La conformité OT n’est pas un projet ponctuel : c’est une démarche d’amélioration continue. Nomios structure son approche en trois grandes étapes, qu’Arnaud Masson illustre par une analogie : « On peut comparer la démarche à un déménagement. On commence par l’état des lieux — la cartographie des équipements et des flux. Ensuite, on aménage : segmentation des zones, mise en place de bastions. Enfin, on protège et on contrôle les accès : alarmes, honeypots, supervision. »

La première phase est essentielle : la plupart des interventions démarrent en effet par un audit complet pour identifier les assets, cartographier les flux et évaluer les vulnérabilités. « On ne protège que ce que l’on connaît ».

Une fois la base établie, vient la traduction opérationnelle des exigences fondamentales de l’IEC 62443 : monitoring continu, gestion proactive des vulnérabilités, orchestration centralisée des solutions et supervision unifiée grâce à des plateformes modernes capables d’intégrer OT et IT.

Cette approche itérative permet d’avancer vers la conformité tout en améliorant la résilience globale du système.

Le facteur humain, maillon essentiel de la sécurité OT

Si les opérateurs sont la première barrière contre les incidents, leurs habitudes restent souvent bien ancrées : mots de passe sur post-it, clés USB partagées, doubles connexions filaire/Wi-Fi… « Pour garantir l’efficacité des normes, on ne peut faire l’impasse sur les actions de formation et de sensibilisation » commente Arnaud Masson. Mais elles ne suffisent pas sans une conduite du changement.

Plutôt que d’imposer des règles inapplicables, Nomios mise sur la pédagogie et l’accompagnement. « Il faut adapter la cybersécurité aux pratiques du terrain, pas l’inverse. Un opérateur contraint finit toujours par contourner la règle », insiste Arnaud Masson. « L’objectif est d’éviter la fatigue des équipes, réduire la complexité des systèmes et proposer des solutions pragmatiques, compréhensibles et adaptées au quotidien des opérateurs. »

Vers une conformité sur-mesure et durable

Chaque projet OT étant unique, la conformité doit être envisagée comme une démarche sur-mesure, co-construite entre les experts cyber et les métiers. Gardons à l’esprit que la sécurité OT n’est pas un objectif figé, mais un processus d’amélioration continue, où chaque audit nourrit le suivant. Si les attaques évoluent, les défenses doivent s’adapter.

Cette approche sur-mesure repose sur un écosystème OT dynamique, combinant partenariats technologiques, intégrations ouvertes et consolidation des outils. Une manière d’assurer, dans la durée, la résilience et la conformité face à l’évolution continue des menaces et des standards.

Sur le même thème

Partenaires

Commentaire

Commentaire

Newsletter