Les parcs industriels et opérationnels sont de plus en plus connectés à des réseaux qui les rendent vulnérables aux cyberattaques. Alain Mowat, directeur technique d’Orange Cyberdefense Suisse, explique comment les entreprises peuvent prévenir ces risques.
Les systèmes de technologie opérationnelle (OT) ont longtemps fonctionné en vase clos. Mais aujourd’hui, les processus de production se digitalisent, tandis que les équipements fonctionnent toujours plus à l’aide d’appareils connectés aux réseaux informatiques. Cette convergence entre les technologies expose les parcs industriels et opérationnels à des risques de piratage accrus. En Suisse, aucun cas n’a été recensé par les autorités en 2026, mais les attaque confirmées sur les infrastructures ont notamment paralysé les réseaux 4G et 5G au Luxembourg en juillet 2025.
Afin d’assurer une sécurité globale, le Centre national pour la cybersécurité (NCSC) édicte depuis 2024 des normes minimales pour les Technologies de l'Information et de la Communication (TIC). Bien qu’ils ne soient pas contraignants (sauf pour les infrastructures critiques), ces standards entendent permettre à l’ensemble des entreprises suisses d’améliorer leur résilience informatique. Le directeur technique d’Orange Cyberdefense Suisse, Alain Mowat, détaille les enjeux de ces adaptations.
Comment distingue-t-on les technologies de l’information (IT) de la technologie opérationnelle (OT)?
Alain Mowat: L’IT regroupe les systèmes d’information et de communication comme les réseaux, les serveurs et les postes de travail. L’OT comprend tout ce qui interagit avec le monde physique: capteurs, bras robotisés, automates de contrôle. Auparavant, ces deux mondes étaient complètement cloisonnés et séparés l’un de l’autre. Mais aujourd’hui, les machines sont souvent connectées au réseau, à l’aide de modules wifi, bluetooth ou cellulaires (4G/5G). Ces technologies permettent de superviser les machines ou de les piloter à distance, de les mettre à jour via le cloud, voire de permettre à des prestataires extérieurs d’accéder à leurs paramètres et de les commander à distance. En outre, les données obtenues par l’OT sont dirigées et traitées via des appareils IT. Une caméra de surveillance, par exemple, gère son flux vidéo via des ordinateurs. L'interconnexion croissante des systèmes informatiques et opérationnels crée de nouvelles vulnérabilités, en particulier lorsque les normes de sécurité ne sont pas appliquées de manière uniforme.
Quels risques s’appliquent spécifiquement à l’OT?
Mowat: En IT, on se concentre principalement sur la confidentialité et l’intégrité des données. En OT, c’est la disponibilité qui prime: si une machine s’arrête, c’est toute la chaîne de production qui est paralysée. Cela explique d’ailleurs pourquoi certaines entreprises rechignent parfois à procéder aux mises à jour, car le processus implique souvent de suspendre la production. En outre, les machines industrielles sont souvent conçues pour fonctionner vingt ou trente ans. Aujourd’hui, il n’est pas rare de se retrouver avec des appareils installés à une époque où les enjeux en matière de sécurité informatique étaient très différents. On trouve parfois encore des systèmes OT sans mot de passe, ou fonctionnant avec des canaux de communications non chiffrés. Certaines entreprises continuent de fonctionner ainsi pour gagner du temps et limiter les coûts. Ce faisant, elles s’exposent malheureusement à de graves risques.
Pourquoi les pirates informatiques s’intéressent-ils à l’OT?
Mowat: Une attaque sur l’OT réussie permet de frapper au cœur de l’activité d’une entreprise, en arrêtant une usine, ou parfois même en détruisant des machines à distance. C’est une arme particulièrement redoutable contre les industriels. De plus, l’OT est devenue une cible de choix précisément parce que l’IT est de mieux en mieux protégée. Les assaillants cherchent le plus souvent à frapper le maillon faible.
Comment sécuriser au mieux les environnements industriels?
Mowat: La première étape consiste à gagner en visibilité. Il s’agit de cartographier l’ensemble des équipements OT, de recenser les versions de firmware et de comprendre ce qui "tourne" sur son réseau. Ensuite, il faut segmenter et restreindre les accès aux technologies utilisées, qui sont globalement les mêmes qu’en IT (pare-feu, accès distants sécurisés, filtrage réseau, cloisonnement par zones). Il faut également organiser la surveillance et la détection d’anomalies, à l’image de ce que l’on fait dans les centres opérationnels de sécurité (SOC) sur le système d’IT. La bonne nouvelle, c’est que les mêmes principes fondamentaux s’appliquent: cartographier, segmenter, contrôler les accès, maintenir une hygiène réseau de base. L’essentiel est de bien comprendre les spécificités de l’OT: des cycles de vie beaucoup plus longs et des contraintes de disponibilité plus strictes. Un professionnel d’IT qui maîtrise ces différences et se documente sur les variantes sera tout à fait en mesure de s’y adapter.
En Suisse, il existe par ailleurs les normes minimales pour les TIC (aussi appelés par leur nom anglais "ICT Minimum Standards"). Il est fortement recommandé aux entreprises liées aux infrastructures critiques de les adopter. Ces standards peuvent aussi servir de références à l’ensemble des entreprises pour renforcer leur sécurité.
Comment structurer une stratégie sécurité IT-OT au sein d’une entreprise?
Mowat: Il faut que l’approche de l’entreprise s’inscrive dans une stratégie globale de sécurité informatique. Ce ne seront pas forcément les mêmes équipes qui gèrent l’IT et l’OT, mais il faut un référentiel commun et une gouvernance partagée. Le but consiste à ce que l’entreprise puisse maintenir ses opérations en cas d’attaque. Un SOC doté d’une vision unifiée sur l’ensemble du système d’information – IT comme OT – constitue souvent la solution la plus efficace.
