{"id":12856,"date":"2026-04-20T12:00:00","date_gmt":"2026-04-20T12:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/23\/securite-ot-2026-pourquoi-il-faut-lire-conjointement-l-iec\/"},"modified":"2026-07-04T10:41:17","modified_gmt":"2026-07-04T10:41:17","slug":"securite-ot-2026-pourquoi-il-faut-lire-conjointement-l-iec","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/04\/20\/securite-ot-2026-pourquoi-il-faut-lire-conjointement-l-iec\/","title":{"rendered":"S\u00e9curit\u00e9 OT 2026 : pourquoi il faut lire conjointement l&rsquo;IEC 62443 et l&rsquo;acte europ\u00e9en sur la cybers\u00e9curit\u00e9"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">8 Min. temps de lecture<\/p>\n<div style=\"color:#888;font-size:0.85em;margin:0 0 16px;\"><span class=\"article-date\">\u00c9tat : avril 2026<\/span> (20.04.2026)<\/div>\n<p><strong>La s\u00e9curit\u00e9 OT conna\u00eet en 2026 une impulsion r\u00e9glementaire que beaucoup de fabricants sous-estiment encore. Le Cyber Resilience Act de l&rsquo;UE exige \u00e0 partir de juin 2026 un reporting des vuln\u00e9rabilit\u00e9s pour tous les produits num\u00e9riques. L&rsquo;obligation de gestion du cycle de vie entre en vigueur en d\u00e9cembre 2027. La norme IEC 62443 est le seul standard largement r\u00e9pandu qui fournit le cadre technique n\u00e9cessaire. Pour les \u00e9quipes de s\u00e9curit\u00e9 dans la construction m\u00e9canique, l&rsquo;\u00e9nergie et l&rsquo;industrie des proc\u00e9d\u00e9s, cela signifie : les zones, les conduits et la segmentation bas\u00e9e sur les risques ne sont plus des options.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">L&rsquo;essentiel en bref<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,235,0.92);line-height:1.6;\">\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">CRA + IEC 62443 sont compl\u00e9mentaires.<\/strong> Le Cyber Resilience Act de l&rsquo;UE d\u00e9finit le \u00ab\u00a0quoi\u00a0\u00bb (Secure-by-Design, gestion des vuln\u00e9rabilit\u00e9s, support post-march\u00e9). La norme IEC 62443 fournit le \u00ab\u00a0comment\u00a0\u00bb (zones, conduits, niveaux de s\u00e9curit\u00e9).<\/li>\n<li style=\"margin-bottom:12px;\"><strong style=\"color:#69d8ed;\">L&rsquo;air gap est devenu un mythe.<\/strong> Dans les environnements de production modernes, il n&rsquo;existe pratiquement plus de v\u00e9ritable air gap. Chaque connexion IIoT, chaque acc\u00e8s de maintenance \u00e0 distance et chaque surveillance \u00e0 distance remettent en cause la s\u00e9paration classique.<\/li>\n<li><strong style=\"color:#69d8ed;\">Le mod\u00e8le Purdue ne suffit plus.<\/strong> La vision hi\u00e9rarchique de l&rsquo;IT de production est trop rigide pour les architectures actuelles. La norme IEC 62443 travaille avec des zones bas\u00e9es sur les risques, qui peuvent traverser les niveaux Purdue.<\/li>\n<\/ul>\n<\/div>\n<p style=\"font-size:0.88em;color:#b8c5ce;margin:20px 0 32px 0;border-top:1px solid rgba(230,227,218,0.12);border-bottom:1px solid rgba(230,227,218,0.12);padding:10px 0;\"><span style=\"color:#69d8ed;font-weight:700;text-transform:uppercase;font-size:0.72em;letter-spacing:0.14em;margin-right:14px;\">En relation<\/span><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/04\/17\/dora-apres-15-mois-lecons-des-premiers-audits-2026\/\" style=\"color:#333;text-decoration:underline;\">DORA apr\u00e8s 15 mois : enseignements des premiers audits<\/a>&nbsp;&nbsp;<span style=\"color:#ccc;\">\/<\/span>&nbsp;&nbsp;<a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/04\/21\/windows-defender-sous-le-feu-bluehammer-et-redsun-activement\/\" style=\"color:#333;text-decoration:underline;\">Windows Defender : BlueHammer et RedSun actifs<\/a><\/p>\n<h2>Ce que la norme IEC 62443 exige r\u00e9ellement sur le plan technique<\/h2>\n<p><strong>Qu\u2019est-ce que l\u2019IEC 62443 ?<\/strong> La s\u00e9rie IEC 62443 est une norme internationale d\u00e9di\u00e9e \u00e0 la cybers\u00e9curit\u00e9 des syst\u00e8mes industriels d\u2019automatisation et de contr\u00f4le (IACS). Elle d\u00e9finit des r\u00f4les (propri\u00e9taire d\u2019actifs, int\u00e9grateur, fabricant de produits), quatre niveaux de s\u00e9curit\u00e9 (SL 1 \u00e0 SL 4), des concepts de zones avec des conduits entre elles, ainsi qu\u2019un cycle de vie complet allant de l\u2019analyse des risques \u00e0 l\u2019exploitation. Pour les entreprises soumises au CRA, elle constitue le guide technique sur lequel peuvent \u00eatre projet\u00e9es les obligations du CRA.<\/p>\n<p>Le c\u0153ur pratique de la norme repose sur deux concepts. Premi\u00e8rement : les zones. Une zone est un groupe logique d\u2019actifs partageant les m\u00eames exigences de s\u00e9curit\u00e9. Elle ne doit pas n\u00e9cessairement s\u2019aligner sur des fronti\u00e8res physiques, mais s\u2019oriente en fonction du profil de risque. Un robot sur la ligne de production A et un robot sur la ligne de production B peuvent appartenir \u00e0 la m\u00eame zone s\u2019ils pr\u00e9sentent les m\u00eames besoins de protection. Deuxi\u00e8mement : les conduits. Toute communication entre les zones passe par un conduit d\u00e9fini, o\u00f9 sont appliqu\u00e9s authentification, filtrage et inspection. Sans conduits, aucune communication autoris\u00e9e entre les zones.<\/p>\n<p>Les niveaux de s\u00e9curit\u00e9 s\u2019embo\u00eetent les uns dans les autres. Le SL 1 couvre les menaces accidentelles, le SL 2 les attaques intentionnelles avec des moyens simples, le SL 3 les attaques utilisant des techniques sophistiqu\u00e9es et des ressources mod\u00e9r\u00e9es, et le SL 4 les attaquants financ\u00e9s par des \u00c9tats avec des moyens \u00e9lev\u00e9s. Chaque actif se voit attribuer un niveau SL cible, d\u00e9riv\u00e9 de l\u2019analyse des risques. L\u2019\u00e9cart entre le SL actuel et le SL cible d\u00e9finit la feuille de route des investissements.<\/p>\n<div class=\"evm-stat evm-stat-highlight\" style=\"text-align:center;background:#003340;border-radius:12px;padding:32px 24px;margin:32px 0;\">\n<div style=\"font-size:48px;font-weight:700;color:#fff;letter-spacing:-0.03em;\">Juin 2026<\/div>\n<div style=\"font-size:15px;color:#fff;margin-top:8px;max-width:480px;margin-left:auto;margin-right:auto;line-height:1.5;\">D\u00e9lai pour l\u2019obligation de signalement des vuln\u00e9rabilit\u00e9s du CRA. \u00c0 partir de cette date, tous les produits num\u00e9riques sur le march\u00e9 de l\u2019UE doivent signaler les failles et disposer de parcours de correctifs. L\u2019obligation de support du cycle de vie suivra en d\u00e9cembre 2027.<\/div>\n<div style=\"font-size:12px;color:#69d8ed;margin-top:12px;\">Source : EU Cyber Resilience Act, calendrier final 2026\/27.<\/div>\n<\/div>\n<h2>Pourquoi le mod\u00e8le Purdue atteint ses limites en 2026<\/h2>\n<p>Le Purdue Enterprise Reference Architecture Model (PERA) a domin\u00e9 les discussions sur la s\u00e9curit\u00e9 OT pendant des d\u00e9cennies. Cette vision hi\u00e9rarchique, avec ses niveaux 0 \u00e0 5 (processus, contr\u00f4le, supervision, op\u00e9rations, entreprise), constituait un mod\u00e8le pratique tant que les environnements de production \u00e9taient clairement s\u00e9par\u00e9s verticalement. En 2026, cette logique ne correspond plus tout \u00e0 fait \u00e0 la r\u00e9alit\u00e9. Les capteurs IIoT envoient des donn\u00e9es directement dans le cloud, sautant plusieurs niveaux. Les acc\u00e8s de maintenance \u00e0 distance connectent des techniciens externes \u00e0 des syst\u00e8mes de niveau 1. Les plateformes de jumeaux num\u00e9riques extraient des donn\u00e9es brutes des couches inf\u00e9rieures pour les agr\u00e9ger dans des syst\u00e8mes d\u2019analyse sup\u00e9rieurs.<\/p>\n<p>L\u2019IEC 62443 r\u00e9pond \u00e0 ces enjeux avec le mod\u00e8le des zones. Les actifs sont regroup\u00e9s en fonction de leurs besoins de protection, et non selon leur niveau hi\u00e9rarchique. Cela permet des structures flexibles : une station d\u2019ing\u00e9nierie peut se trouver dans une zone diff\u00e9rente de celle du poste HMI voisin si leurs exigences de s\u00e9curit\u00e9 diff\u00e8rent. Une passerelle cloud peut rester au sein de la zone r\u00e9seau de production, \u00e0 condition que ses conduits soient clairement d\u00e9finis. La mise en \u0153uvre est plus exigeante, mais elle refl\u00e8te mieux la r\u00e9alit\u00e9 actuelle.<\/p>\n<p>De nombreuses PME ont, ces derni\u00e8res ann\u00e9es, construit un m\u00e9lange de terminologie Purdue et d\u2019analyses de risques ponctuelles, par manque de ressources. Avec le CRA et la NIS2, cette approche hybride deviendra un obstacle \u00e0 la conformit\u00e9 en 2026. Les \u00e9changes avec les autorit\u00e9s de surveillance porteront sur des d\u00e9finitions claires de zones, et non sur des diagrammes de niveaux. Sans une cartographie des zones, des faiblesses document\u00e9es appara\u00eetront dans les rapports d\u2019audit.<\/p>\n<p>La bonne nouvelle : la transition du mod\u00e8le Purdue vers les zones IEC 62443 ne n\u00e9cessite pas un recommencement complet. Les segments r\u00e9seau existants peuvent \u00eatre traduits en zones d\u00e8s lors que les besoins de protection par actif sont document\u00e9s. Le changement conceptuel r\u00e9side dans la mani\u00e8re de penser : au lieu de regrouper par hi\u00e9rarchie, on regroupe par profil de risque. C\u2019est cette approche qui fait la diff\u00e9rence lors des audits et dans la r\u00e9action aux incidents concrets, car les attaquants ne proc\u00e8dent que rarement de mani\u00e8re hi\u00e9rarchique. Ils cherchent des vuln\u00e9rabilit\u00e9s l\u00e0 o\u00f9 elles se trouvent.<\/p>\n<h2>Ce que signifie l&rsquo;h\u00e9ritage de l&rsquo;air gap dans la pratique<\/h2>\n<p>La promesse de l&rsquo;air gap s&rsquo;est \u00e9vapor\u00e9e ces cinq derni\u00e8res ann\u00e9es dans la plupart des usines de production allemandes. Les raisons sont claires : la maintenance pr\u00e9dictive n\u00e9cessite des flux de donn\u00e9es vers le cloud. Le support \u00e0 distance des fabricants exige un acc\u00e8s aux installations. Le contr\u00f4le qualit\u00e9 num\u00e9rique extrait les donn\u00e9es de mesure des lignes. Et la comptabilit\u00e9 industrielle a besoin des donn\u00e9es de consommation et de production en temps r\u00e9el. Chacune de ces connexions dissout un peu plus l&rsquo;air gap.<\/p>\n<p>La r\u00e9alit\u00e9 est que les r\u00e9seaux OT modernes sont connect\u00e9s aux syst\u00e8mes informatiques et aux partenaires externes via de nombreuses interfaces. La ligne de d\u00e9marcation ne passe plus entre l&rsquo;IT et l&rsquo;OT, mais entre diff\u00e9rentes zones de risque au sein d&rsquo;un r\u00e9seau commun. La mission des \u00e9quipes de s\u00e9curit\u00e9 consiste \u00e0 d\u00e9finir explicitement ces zones, \u00e0 surveiller les conduits entre elles et \u00e0 d\u00e9tecter pr\u00e9cocement les attaques qui traversent ces zones.<\/p>\n<div class=\"pros-cons\" style=\"display:grid;grid-template-columns:repeat(auto-fit,minmax(280px,1fr));gap:16px;margin:28px 0;\">\n<div style=\"background:#fafafa;border-top:3px solid #c0392b;padding:18px 20px;border-radius:4px;\">\n<p style=\"margin:0 0 10px 0;font-size:0.78em;font-weight:700;text-transform:uppercase;letter-spacing:0.12em;color:#c0392b;\">O\u00f9 la s\u00e9curit\u00e9 OT \u00e9chouera en 2026<\/p>\n<ul style=\"margin:0;padding-left:18px;color:#333;line-height:1.55;font-size:0.95em;\">\n<li style=\"margin-bottom:6px;\">Hypoth\u00e8se d&rsquo;air gap sans isolation r\u00e9elle du r\u00e9seau<\/li>\n<li style=\"margin-bottom:6px;\">Aucun inventaire \u00e0 jour des actifs des syst\u00e8mes OT<\/li>\n<li style=\"margin-bottom:6px;\">Acc\u00e8s distants sans MFA et audit de session<\/li>\n<li>Gestion des correctifs sans processus sp\u00e9cifiques \u00e0 l&rsquo;OT<\/li>\n<\/ul>\n<\/div>\n<div style=\"background:#fafafa;border-top:3px solid #2d7a3e;padding:18px 20px;border-radius:4px;\">\n<p style=\"margin:0 0 10px 0;font-size:0.78em;font-weight:700;text-transform:uppercase;letter-spacing:0.12em;color:#2d7a3e;\">Ce qui caract\u00e9rise les configurations conformes \u00e0 l&rsquo;IEC-62443<\/p>\n<ul style=\"margin:0;padding-left:18px;color:#333;line-height:1.55;font-size:0.95em;\">\n<li style=\"margin-bottom:6px;\">Mod\u00e8le de zones avec analyse des risques document\u00e9e<\/li>\n<li style=\"margin-bottom:6px;\">Conduits avec authentification et filtrage des protocoles<\/li>\n<li style=\"margin-bottom:6px;\">SIEM sp\u00e9cifique \u00e0 l&rsquo;OT avec support des protocoles Modbus, OPC UA<\/li>\n<li>Gestion continue des vuln\u00e9rabilit\u00e9s, y compris pour les \u00e9quipements legacy<\/li>\n<\/ul>\n<\/div>\n<\/div>\n<p>Le processus de gestion des correctifs sp\u00e9cifique \u00e0 l&rsquo;OT est l&rsquo;un des facteurs de succ\u00e8s sous-estim\u00e9s. Les correctifs IT classiques sont d\u00e9ploy\u00e9s \u00e0 un rythme hebdomadaire, ce que les syst\u00e8mes OT ne supportent pas. Une ligne de production en activit\u00e9, patch\u00e9e tous les sept jours, risque des probl\u00e8mes de qualit\u00e9 et de disponibilit\u00e9. L&rsquo;approche IEC-62443 consiste \u00e0 int\u00e9grer les correctifs dans les fen\u00eatres de maintenance, \u00e0 renforcer les mesures compensatoires (segmentation, surveillance) en cas de vuln\u00e9rabilit\u00e9s critiques et \u00e0 documenter les d\u00e9cisions de gestion des risques. Le contre-exemple est d&rsquo;appliquer des correctifs urgents sans concertation avec les responsables de production.<\/p>\n<h2>Comment les \u00e9quipes s\u00e9curit\u00e9 peuvent amorcer le processus d\u00e8s maintenant<\/h2>\n<p>Pour les \u00e9quipes s\u00e9curit\u00e9 qui seront soumises en 2026 \u00e0 la pression du CRA ou tenues de s\u2019inscrire au titre de NIS2, un plan en quatre phases s\u2019est impos\u00e9. Premi\u00e8re phase : l\u2019inventaire des \u00e9quipements. Identifier qui poss\u00e8de quels appareils, leurs niveaux de firmware, leurs connexions r\u00e9seau, ainsi que leurs d\u00e9pendances vis-\u00e0-vis de partenaires externes. Sans cette base, toute d\u00e9cision ult\u00e9rieure tombe \u00e0 plat. Deuxi\u00e8me phase : l\u2019analyse des risques par groupe d\u2019actifs. Quels sc\u00e9narios de menace sont r\u00e9alistes ? Quelles pannes auraient un impact sur l\u2019activit\u00e9 ? Quel niveau de s\u00e9curit\u00e9 est requis ? Troisi\u00e8me phase : la conception des zones et la d\u00e9finition des conduits. C\u2019est ici que les concepts IEC-62443 sont appliqu\u00e9s concr\u00e8tement \u00e0 l\u2019environnement propre \u00e0 l\u2019entreprise. Quatri\u00e8me phase : la mise en \u0153uvre technique et l\u2019exploitation continue.<\/p>\n<p>La troisi\u00e8me phase constitue souvent un goulot d\u2019\u00e9tranglement, car elle exige un langage commun entre les sp\u00e9cialistes de la s\u00e9curit\u00e9 IT, les ing\u00e9nieurs OT et les responsables de production. La s\u00e9curit\u00e9 IT pense en termes de pare-feux et de politiques d\u2019acc\u00e8s, l\u2019OT en termes d\u2019interfaces et de rythmes de maintenance. Les responsables de production, eux, pensent disponibilit\u00e9 et d\u00e9bit. Un format d\u2019atelier commun r\u00e9unissant ces trois groupes s\u2019av\u00e8re \u00eatre la m\u00e9thode la plus pratique. Il faut g\u00e9n\u00e9ralement trois \u00e0 cinq jours de travail cibl\u00e9, compl\u00e9t\u00e9s par deux \u00e0 quatre semaines de suivi, pour \u00e9tablir une premi\u00e8re cartographie de zones fiable.<\/p>\n<p>Un \u00e9l\u00e9ment souvent n\u00e9glig\u00e9 dans la troisi\u00e8me phase est la documentation des conduits. Toute communication entre zones doit \u00eatre r\u00e9pertori\u00e9e, avec protocole utilis\u00e9, fr\u00e9quence, \u00e9quipements concern\u00e9s et responsabilit\u00e9s associ\u00e9es. Cette liste est explicitement exig\u00e9e par les auditeurs et constitue la base de toute extension ult\u00e9rieure. Celui qui ne documente pas ses conduits perd le contr\u00f4le de ses surfaces d\u2019attaque d\u00e8s qu\u2019apparaissent de nouvelles connexions. Une liste vivante est plus importante qu\u2019un sch\u00e9ma esth\u00e9tique ponctuel, car la r\u00e9alit\u00e9 OT \u00e9volue en continu et de nouvelles connexions s\u2019ajoutent r\u00e9guli\u00e8rement.<\/p>\n<p>Sur le plan technologique, la situation s\u2019est nettement assouplie en 2026. Des pare-feux d\u00e9di\u00e9s \u00e0 l\u2019OT, des syst\u00e8mes de d\u00e9tection d\u2019intrusion r\u00e9seau (NIDS) et des SIEM sont disponibles, souvent compatibles avec les protocoles OT courants (Modbus, OPC UA, PROFINET, EtherNet\/IP). Des \u00e9diteurs comme Claroty, Nozomi Networks, Dragos, Tenable OT ou Cisco Cyber Vision r\u00e9pondent \u00e0 ces besoins. Le choix d\u00e9pend de l\u2019infrastructure existante et de la taille du p\u00e9rim\u00e8tre OT. Pour les PME disposant d\u2019un nombre limit\u00e9 d\u2019installations, une solution int\u00e9gr\u00e9e suffit souvent ; les grands groupes optent g\u00e9n\u00e9ralement pour une strat\u00e9gie multi-fournisseurs.<\/p>\n<h2>Ce qui comptera entre le CRA et la pression du march\u00e9 d\u2019ici 2026<\/h2>\n<p>Les \u00e9ch\u00e9ances du CRA transforment la discussion sur la s\u00e9curit\u00e9 OT d\u2019un simple atout \u00e0 une obligation de march\u00e9. \u00c0 partir de juin 2026, tous les produits num\u00e9riques sur le march\u00e9 de l\u2019UE devront disposer de voies de signalement des vuln\u00e9rabilit\u00e9s et documenter les failles d\u00e9couvertes dans des d\u00e9lais d\u00e9finis. \u00c0 partir de d\u00e9cembre 2027, l\u2019obligation de support tout au long du cycle de vie entrera en vigueur. Les fabricants devront fournir des mises \u00e0 jour pendant une p\u00e9riode d\u00e9termin\u00e9e, tandis que les propri\u00e9taires d\u2019actifs devront prouver qu\u2019ils les d\u00e9ploient. La norme IEC 62443 offre le seul cadre technique largement accept\u00e9 permettant d\u2019op\u00e9rationnaliser ces obligations.<\/p>\n<p>Pour les acheteurs de syst\u00e8mes OT, cela signifie que les appels d\u2019offres \u00e9volueront en 2026. Les certifications IEC 62443 des fabricants seront exig\u00e9es, la conformit\u00e9 au CRA devra \u00eatre d\u00e9montr\u00e9e, et les processus de gestion des vuln\u00e9rabilit\u00e9s devront faire partie de l\u2019offre. Les fabricants incapables de fournir cette documentation seront exclus des appels d\u2019offres. Les propri\u00e9taires d\u2019actifs qui n\u2019exigeront pas ces preuves rencontreront des difficult\u00e9s lors de leurs propres audits, car ils devront compenser ce que le fabricant ne fournit pas.<\/p>\n<p>Un autre aspect concerne le r\u00f4le des prestataires externes. De nombreuses entreprises industrielles allemandes externalisent la maintenance, le support \u00e0 distance et m\u00eame une partie de leur surveillance de s\u00e9curit\u00e9 aupr\u00e8s de tiers. Ces fournisseurs rel\u00e8vent des clauses de la cha\u00eene d\u2019approvisionnement de la directive NIS2 si leurs services sont critiques pour l\u2019exploitation d\u2019installations essentielles. Les propri\u00e9taires d\u2019actifs doivent examiner les pratiques de s\u00e9curit\u00e9 de leurs prestataires et les documenter dans des avenants contractuels. Ceux qui ne le font pas de mani\u00e8re proactive h\u00e9riteront, lors des audits, des vuln\u00e9rabilit\u00e9s de leurs fournisseurs.<\/p>\n<p>Par ailleurs, le paysage des certifications \u00e9volue. Le CRA sera renforc\u00e9 par la European Cybersecurity Certification Group (ECCG) avec ses propres sch\u00e9mas, tandis que la norme IEC 62443 dispose de certifications ISA-Secure pour les produits et les installations. Ces preuves seront exig\u00e9es dans les contrats B2B. Les fabricants qui ne disposeront pas des certifications appropri\u00e9es d\u2019ici fin 2026 perdront des appels d\u2019offres. Les propri\u00e9taires d\u2019actifs qui n\u2019exigeront pas ces certifications prendront des risques de conformit\u00e9 cach\u00e9s.<\/p>\n<p>Un dernier aspect concerne la dimension des cha\u00eenes d\u2019approvisionnement. Les syst\u00e8mes OT se composent de centaines, voire de milliers de composants provenant de diff\u00e9rentes sources. La Software Bill of Materials (SBOM) deviendra un artefact standard en 2026 pour assurer la transparence sur les composants utilis\u00e9s. Les \u00e9quipes de s\u00e9curit\u00e9 qui traitent correctement les SBOM et les comparent aux flux de vuln\u00e9rabilit\u00e9s d\u00e9tecteront plus rapidement les failles dans leur propre parc. Sans une discipline rigoureuse en mati\u00e8re de SBOM, les nouvelles CVE dans les composants OT peuvent rester invisibles pendant des semaines, voire des mois.<\/p>\n<h2>Questions fr\u00e9quentes<\/h2>\n<p class=\"st-faq-hint\">Chaque question est verrouill\u00e9e. Un clic d\u00e9verrouille la r\u00e9ponse.<\/p>\n<details>\n<summary><strong>Les PME ont-elles aussi besoin d\u2019une conformit\u00e9 IEC 62443 ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Elles doivent rarement se certifier directement. Mais d\u00e8s qu\u2019elles mettent des produits conformes au CRA sur le march\u00e9 de l\u2019UE ou font partie d\u2019une cha\u00eene d\u2019approvisionnement incluant des op\u00e9rateurs d\u2019infrastructures critiques, les concepts de la norme IEC 62443 seront v\u00e9rifi\u00e9s lors des audits clients. L\u2019application du standard sans certification formelle est souvent la voie pragmatique.<\/p>\n<\/details>\n<details>\n<summary><strong>Comment distinguer les zones des segments r\u00e9seau classiques ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Les segments r\u00e9seau sont s\u00e9par\u00e9s techniquement, souvent via des VLAN ou des commutateurs physiquement distincts. Les zones sont des groupes logiques partageant un m\u00eame niveau de protection et peuvent se situer dans diff\u00e9rents segments r\u00e9seau. Une zone peut englober plusieurs segments, et inversement. L\u2019affectation se fait sur la base d\u2019une analyse des risques.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00c0 quelle fr\u00e9quence la cartographie des zones doit-elle \u00eatre mise \u00e0 jour ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Au minimum une fois par an, et de mani\u00e8re ponctuelle \u00e0 chaque changement majeur en informatique ou en production. Les nouvelles connexions IIoT, les acc\u00e8s distants suppl\u00e9mentaires, les nouvelles installations ou les processus m\u00e9tiers modifi\u00e9s transforment le cadre de risque. Une mise \u00e0 jour sans motif apr\u00e8s plus de deux ans r\u00e9v\u00e8le une gouvernance faible.<\/p>\n<\/details>\n<details>\n<summary><strong>Quel r\u00f4le joue l\u2019authentification multifacteur (MFA) dans les r\u00e9seaux OT ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Un r\u00f4le croissant. Les postes de travail HMI classiques en production disposent souvent d\u2019une authentification basique. En 2026, la MFA deviendra la norme pour les acc\u00e8s distants, les stations d\u2019ing\u00e9nierie et les comptes des techniciens de service. Son d\u00e9ploiement est techniquement r\u00e9alisable et constitue un point obligatoire dans les zones IEC 62443 SL-3.<\/p>\n<\/details>\n<details>\n<summary><strong>Quel est l\u2019\u00e9tape la plus importante pour les \u00e9quipes de s\u00e9curit\u00e9 dans les six prochains mois ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">L\u2019inventaire des actifs et l\u2019audit des acc\u00e8s distants. Sans un inventaire des actifs \u00e0 jour, aucune analyse des risques n\u2019est possible. Sans audit des acc\u00e8s distants, pas de vue d\u2019ensemble sur les surfaces d\u2019attaque existantes. Ces deux actions peuvent \u00eatre r\u00e9alis\u00e9es avec un effort mod\u00e9r\u00e9 en l\u2019espace d\u2019un trimestre et constituent la base de toutes les \u00e9tapes ult\u00e9rieures.<\/p>\n<\/details>\n<p style=\"font-weight:700;color:#e6e3da;font-size:1.05em;margin:48px 0 16px;\">Plus d&rsquo;articles du r\u00e9seau MBF Media<\/p>\n<div style=\"display:flex;flex-direction:column;gap:14px;margin-bottom:40px;\"><a href=\"https:\/\/www.cloudmagazin.com\/2026\/04\/20\/platform-engineering-2026-backstage-idp-golden-paths-cio\/\" class=\"st-net-card\" style=\"display:block;padding:16px 18px;background:#23261f;border:1px solid rgba(105,216,237,0.22);border-radius:10px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 2px 10px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;\"><span style=\"display:block;margin-bottom:6px;font-size:0.72em;font-weight:700;letter-spacing:0.06em;text-transform:uppercase;color:#0bb7fd;\">cloudmagazin<\/span><span style=\"display:block;color:#e6e3da;line-height:1.45;\">Platform Engineering 2026 : Backstage, Golden Paths et IDP au service des DSI<\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/low-code-plattformen-mittelstand-2026-governance-coe\/\" class=\"st-net-card\" style=\"display:block;padding:16px 18px;background:#23261f;border:1px solid rgba(105,216,237,0.22);border-radius:10px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 2px 10px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;\"><span style=\"display:block;margin-bottom:6px;font-size:0.72em;font-weight:700;letter-spacing:0.06em;text-transform:uppercase;color:#aa8ac2;\">MyBusinessFuture<\/span><span style=\"display:block;color:#e6e3da;line-height:1.45;\">Les plateformes Low-Code dans les PME en 2026<\/span><\/a><a href=\"https:\/\/www.digital-chiefs.de\/it-resilienz-bcm-cio-dora-nis2-iso-22301-konsolidierung-2026\/\" class=\"st-net-card\" style=\"display:block;padding:16px 18px;background:#23261f;border:1px solid rgba(105,216,237,0.22);border-radius:10px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 2px 10px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;\"><span style=\"display:block;margin-bottom:6px;font-size:0.72em;font-weight:700;letter-spacing:0.06em;text-transform:uppercase;color:#d65663;\">Digital Chiefs<\/span><span style=\"display:block;color:#e6e3da;line-height:1.45;\">R\u00e9silience informatique 2026 : DORA, NIS2 et ISO 22301<\/span><\/a><\/div>\n","protected":false},"excerpt":{"rendered":"L&rsquo;EU CRA sera contraignant \u00e0 partir de juin 2026. Ce que fournit la norme IEC 62443 comme cadre de mise en \u0153uvre et pourquoi l&rsquo;isolation physique (air-gap) ne sera plus un mod\u00e8le de protection valable en 2026.","protected":false},"author":10,"featured_media":12570,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"Obligations zones conduits environnement OT","_yoast_wpseo_title":"S\u00e9curit\u00e9 OT 2026 : pourquoi il faut lire conjointement l'IEC 62443 et l'acte eur","_yoast_wpseo_metadesc":"CRA exige la d\u00e9claration des vuln\u00e9rabilit\u00e9s, IEC 62443 fournit la m\u00e9thode. Zones, conduits et niveaux de s\u00e9curit\u00e9 pour l'IT industrielle 2026.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[260],"tags":[],"class_list":["post-12856","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategie-governance-fr"],"evm_reading_time_minutes":15,"wpml_language":"fr","wpml_translation_of":12571,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/12856","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=12856"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/12856\/revisions"}],"predecessor-version":[{"id":18875,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/12856\/revisions\/18875"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/12570"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=12856"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=12856"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=12856"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}