Comment sécuriser un système industriel en 2026

La sécurité industrielle, ou sécurité des systèmes de contrôle-commande (OT pour Operational Technology), est devenue critique en 2026 face à l'essor des cybermenaces ciblant les infrastructures vitales. Contrairement à l'IT classique, les systèmes industriels comme les SCADA, DCS ou PLC gèrent des processus physiques : une panne peut causer des arrêts de production, des pollutions ou des pertes humaines.

Pourquoi est-ce urgent ? Les attaques comme Stuxnet (2010) ou les ransomwares sur Colonial Pipeline (2021) montrent que les OT sont vulnérables. En 2026, avec l'IoT industriel (IIoT) et la convergence IT/OT, les risques explosent : 70% des ICS sont exposés à internet selon des rapports ENISA.

Ce tutoriel beginner, purement conceptuel, vous guide pas à pas des bases théoriques aux bonnes pratiques actionnables. À la fin, vous saurez modéliser une architecture sécurisée et appliquer les principes IEC 62443 pour protéger vos usines. Pas de code, que de la théorie solide et des checklists prêtes à l'emploi. (142 mots)

• Connaissances basiques en informatique (réseaux, OS).
• Notions d'industrie : qu'est-ce qu'un PLC ou un SCADA ?
• Accès à des ressources comme le Purdue Model (recherche rapide Google).
• Temps : 30 minutes pour assimiler les concepts.

Commencez par le modèle Purdue, référence mondiale pour segmenter les systèmes industriels en 6 niveaux :

Exemple concret : Dans une aciérie, un PLC (niveau 1) commande un four ; un SCADA (niveau 2) le supervise. Sans segmentation, un malware IT remonte vers le PLC et fait fondre l'acier hors contrôle.

Les menaces OT diffèrent de l'IT : priorité à la disponibilité (uptime 99,99%) sur la confidentialité.

Menaces principales :

• Ransomwares : Chiffrement de PLC, ex. JBS Foods 2021.
• Intrusions APT : État-nations via USB ou VPN, ex. TRITON sur centrifugeuses.
• Attaques DoS : Surcharge réseau causant arrêts.
• Insiders : Opérateurs malveillants.

Checklist d'identification :

• Mapper vos actifs OT (inventaire PLC, versions firmware).
• Évaluer exposition internet (scan Shodan).
• Analyser logs HMI pour anomalies.

Adoptez la défense en profondeur (Defense-in-Depth) : multiples couches de sécurité.

Les 5 piliers IEC 62443 (norme clé 2026) :

1. Identification : Qui accède à quoi ?
2. Protection : Firewalls, VLAN.
3. Détection : IDS/IPS OT-specific.
4. Réponse : Plans IR (Incident Response).
5. Récupération : Backups air-gapped.

Exemple : Séparez zones IT/OT par Data Diodes (flux unidirectionnel : OT → IT uniquement). Dans une raffinerie, cela empêche un malware IT d'infecter les DCS.

Segmentation : Divisez en zones et conduits (IEC 62443-3-3).

• Zones : Groupes d'actifs similaires (ex. zone PLC fours).
• Conduits : Flux contrôlés entre zones (ex. Modbus/TCP filtré).

Zero Trust pour OT : Jamais de confiance par défaut.

Bonnes pratiques :

• Authentification : MFA + certificats pour HMI.
• Air-gapping : Pas de connexion directe internet ; updates via USB scannés.
• Patch management : Tester en labo avant prod (OT legacy = Windows XP).

• Toujours segmenter : Appliquez Purdue + zones/conduits dès la conception (Security by Design).
• Former le personnel : Simulations phishing OT + exercices IR annuels.
• Auditer régulièrement : Scans passifs (non-intrusifs pour éviter DoS) + conformité IEC 62443.
• Choisir protocoles sécurisés : OPC UA > Modbus legacy.
• Backups immuables : 3-2-1 rule adaptée OT (3 copies, 2 médias, 1 offsite air-gapped).

• Convergence IT/OT sans firewall : Malware IT migre vers PLC ; utilisez diodes.
• Oublier legacy systems : 60% OT sur OS obsolètes ; virtualisez ou isolez.
• Accès remote non audité : VPN sans MFA = porte ouverte ; loggez tout.
• Ignorer physique : Caméras USB = vecteur ; contrôlez badges + CCTV.

Approfondissez avec :

• Norme complète IEC 62443.
• Livre "Hacking Exposed Industrial Control Systems".
• Outils gratuits : ICS-CERT advisories (CISA.gov).