Sécurité OT 2026 : Pourquoi l’industrie doit agir maintenant

1 min de lecture

La convergence entre l’IT et l’OT expose les entreprises industrielles à des cyberattaques autrefois impensables. Les ransomwares paralysent les lignes de production, les systèmes de contrôle obsolètes ne reçoivent plus de mises à jour de sécurité. Pourquoi la sécurité OT devient en 2026 une affaire de direction.

L’essentiel

Convergence IT/OT : Les systèmes de contrôle industriels (ICS) sont de plus en plus connectés aux réseaux IT – et donc vulnérables.
Ransomware en production : Les attaques sur les systèmes OT peuvent immobiliser les lignes de production pendant des jours, voire des semaines.
Systèmes legacy : De nombreux systèmes de contrôle fonctionnent sous Windows XP ou des versions antérieures – sans mises à jour de sécurité.
NIS2 concerne l’OT : L’industrie manufacturière et le secteur de l’énergie sont explicitement désignés comme des « infrastructures critiques ».
L’air gap est une illusion : La plupart des réseaux OT ne sont plus isolés – même si cela peut paraître le cas.

Pourquoi les attaques OT augmentent

Les systèmes de contrôle industriels (ICS), les systèmes SCADA et les automates programmables industriels (PLC) ont été conçus pendant des décennies pour la fiabilité, et non pour la sécurité. Les protocoles comme Modbus, OPC et PROFINET ne disposent pas d’authentification ou de chiffrement intégrés. Tant que les réseaux OT étaient physiquement isolés (air gap), cela ne posait pas de problème.

La digitalisation a rompu cet isolement. La maintenance prédictive, la surveillance à distance, l’analytique cloud et les jumeaux numériques nécessitent une connectivité. Ainsi, les systèmes OT sont exposés aux mêmes menaces que l’IT – mais avec des mesures de protection bien moindres.

Les plus grands risques de sécurité OT

Ransomware : Les attaquants ciblent délibérément l’OT, car les dommages causés par l’arrêt de la production augmentent considérablement la pression pour payer. Colonial Pipeline (2021) et Norsk Hydro (2019) ont montré cette vulnérabilité.

Systèmes legacy : Les systèmes de contrôle ont des cycles de vie de 15 à 20 ans. Beaucoup fonctionnent sur des systèmes d’exploitation qui ne reçoivent plus de mises à jour de sécurité depuis des années.

Manque de segmentation : Dans de nombreuses entreprises, il n’existe pas de séparation claire entre les réseaux IT et OT. Une attaque par phishing sur la comptabilité peut se propager jusqu’à la ligne de production.

Manque de visibilité : De nombreuses entreprises ne savent pas exactement quels appareils existent dans leur réseau OT – la découverte des actifs est la première étape.

Mesures de sécurité OT : Une approche pragmatique

1. Inventaire des actifs : Inventorier tous les appareils OT – versions de firmware, voies de communication, dépendances.

2. Segmentation du réseau : Séparer strictement l’IT et l’OT (modèle Purdue). DMZ entre les deux zones. Aucune connexion directe.

3. Surveillance : Mettre en place une détection d’anomalies spécifique à l’OT. Les outils classiques de sécurité IT ne comprennent souvent pas les protocoles OT.

4. Gestion des correctifs : Appliquer les mises à jour là où c’est possible. Là où ce n’est pas le cas : mettre en place des contrôles compensatoires (virtual patching, isolation du réseau).

5. Réponse aux incidents : Élaborer des plans de réponse aux incidents spécifiques à l’OT. En OT, la sécurité (safety) prime toujours sur la cybersécurité (security) – les systèmes ne doivent pas être arrêtés de manière incontrôlée.

Key Facts auf einen Blick

Cycles de vie OT : 15-20 ans (vs. 3-5 ans pour l’IT)

Colonial Pipeline : 5 jours d’arrêt d’exploitation, 4,4 millions de USD de rançon

Secteurs NIS2 : Énergie, fabrication, eau, transport sont concernés

Modèle Purdue : 5 zones + DMZ comme architecture de référence

Protocoles OT : Modbus, OPC, PROFINET – pas de chiffrement natif

Fait : Selon Dragos, les attaques sur les systèmes de contrôle industriels ont augmenté de 87 % en 2025 par rapport à l’année précédente.

Fait : Selon le SANS Institute, seulement 24 % des entreprises industrielles disposent d’une équipe dédiée à la sécurité OT – les autres s’en remettent au service IT.

Questions fréquentes

Quelle est la différence entre la sécurité IT et la sécurité OT ?

La sécurité IT protège les données (confidentialité, intégrité, disponibilité). La sécurité OT protège les processus physiques – la sécurité (safety) est prioritaire. Les systèmes OT ont des cycles de vie plus longs, des protocoles propriétaires et supportent souvent mal les mesures de sécurité classiques comme les antivirus.

Pourquoi l’air gap est-il une illusion ?

La plupart des réseaux OT sont connectés à l’IT via des accès de maintenance à distance, des connexions cloud ou une infrastructure partagée. Les clés USB, les ordinateurs portables des techniciens de maintenance et les plateformes OT cloud brisent le prétendu air gap.

La directive NIS2 s’applique-t-elle aux entreprises industrielles ?

Oui. La fabrication, l’énergie, l’eau et les transports sont désignés comme des infrastructures « importantes » ou « essentielles ». NIS2 exige explicitement la gestion des risques, la réponse aux incidents et la sécurité de la chaîne d’approvisionnement – y compris pour les systèmes OT.

Comment protéger les systèmes legacy sans mises à jour ?

Isolation du réseau, virtual patching via IPS/IDS, liste blanche d’applications, contrôles d’accès stricts et surveillance. À long terme : planifier la migration vers des systèmes supportés.

Par où commencer avec la sécurité OT ?

L’inventaire des actifs et la segmentation du réseau sont les premières étapes les plus importantes. Sans savoir ce qui se trouve dans le réseau, on ne peut pas le protéger. Sans segmentation, les attaques se propagent de manière incontrôlée.