L’image du hacker en sweat à capuche s’attaquant à une banque est dépassée. Aujourd’hui, la cible privilégiée, c’est votre usine. C’est votre ligne d’assemblage, votre station de traitement des eaux, votre système de convoyage.
Pendant longtemps, le monde de l’automatisme (OT – Operational Technology) a vécu dans une bulle, protégé par ce qu’on appelait le « Air Gap » : une déconnexion physique totale d’avec Internet. Mais à l’ère de l’Industrie 4.0, cette isolation est devenue un mythe. Pour remonter des données de production vers l’ERP, pour permettre la télémaintenance ou pour piloter des indicateurs de performance en temps réel, vos automates sont désormais connectés.
Cette convergence IT/OT, si elle est source de performance, ouvre une porte béante aux cybermenaces. Un ransomware qui crypte vos recettes de fabrication, un malware qui modifie les seuils de sécurité d’une vanne, ou simplement un virus bureautique qui sature votre réseau industriel : les conséquences ne sont pas seulement financières, elles sont physiques et humaines.
Chez Lyon Industrie Services (L.I.S.), nous savons que la cybersécurité n’est pas qu’une affaire d’informaticiens. C’est avant tout une question de disponibilité de l’outil de production et de sûreté des installations.
Voici les 5 étapes concrètes, basées sur la norme IEC 62443, pour verrouiller vos automates et dormir sur vos deux oreilles.
Étape 1 : L’Audit et la Cartographie – On ne protège bien que ce que l’on voit
C’est le paradoxe de nombreuses usines : on connaît le stock de vis au boulon près, mais on ignore souvent combien d’équipements sont connectés au réseau Ethernet industriel.
La première faille de sécurité, c’est l’ombre. Il suffit d’un switch non managé installé à la hâte par un technicien il y a trois ans, ou d’un automate de test resté connecté, pour offrir une porte d’entrée. Avant d’installer des pare-feux complexes, la première étape est de réaliser un inventaire exhaustif de vos actifs OT.
Identifier le « Shadow OT »
Il s’agit de recenser :
- Vos automates programmables (API) et leurs versions de firmware.
- Vos IHM et PC de supervision (SCADA).
- Vos variateurs de vitesse et capteurs intelligents.
- L’ensemble des équipements réseaux (switchs, routeurs, passerelles 4G/5G).
Cet audit révèle souvent des surprises : des automates avec des mots de passe par défaut (« admin/admin »), des PC de supervision tournant sous Windows XP, ou des ports de communication ouverts inutilement.
Le regard de l’expert : Dans l’industrie, la complexité des installations s’accumule avec les années. Comme le souligne Stéphane Gelas, dirigeant de MTKSA (spécialiste logistique), la gestion de cette complexité nécessite une approche structurée : « L’expertise technique combinée à une collaboration humaine solide fait la différence dans un environnement industriel exigeant. [L’externalisation à L.I.S.] assure cohérence technique, qualité d’exécution et réactivité. »
Un audit de cybersécurité n’est pas une « chasse aux sorcières », c’est une remise à plat nécessaire pour garantir cette cohérence technique évoquée par nos clients.
Pour aller plus loin : Un audit révèle souvent des équipements obsolètes. Découvrez les 5 signes révélateurs qu’il est temps de moderniser votre système de supervision industrielle.
Étape 2 : La segmentation du réseau (Zone & Conduit)
Imaginez un navire. S’il n’a pas de cloisons étanches, une seule voie d’eau suffit à le couler. Votre réseau industriel fonctionne de la même manière. Si votre réseau bureautique (IT) est directement relié à votre réseau atelier (OT) sans filtre, un virus reçu par email à la comptabilité peut paralyser votre chaîne de production en quelques minutes.
C’est ici qu’intervient la norme de référence en cybersécurité industrielle : l’IEC 62443. Elle préconise le principe de « Défense en Profondeur ».
Appliquer le modèle de Purdue
L’objectif est de créer des zones de sécurité étanches :
- Zone Entreprise (IT) : Où se trouvent vos serveurs de messagerie, ERP, etc.
- Zone Démilitarisée (DMZ) : Une zone tampon où les données s’échangent de manière sécurisée.
- Zone Supervision (SCADA) : Vos PC de contrôle.
- Zone Contrôle (Automates) : Le cœur du réacteur.
Entre chaque zone, des « conduits » (canaux de communication) doivent être strictement contrôlés par des pare-feux industriels qui n’autorisent que les protocoles nécessaires (Modbus TCP, Profinet, etc.) et bloquent tout le reste.
Cette segmentation garantit que si une machine est infectée, l’infection reste confinée à une seule cellule de production sans contaminer l’ensemble de l’usine.
Étape 3 : Verrouiller l’accès physique et logique aux automates
On parle beaucoup de pirates russes ou chinois, mais la menace vient souvent de l’intérieur, par négligence ou malveillance. Un prestataire qui branche une clé USB infectée pour une mise à jour, ou un câble Ethernet branché sur le mauvais port, et c’est l’incident assuré.
Sécuriser le matériel
Protéger vos automates, c’est d’abord revenir aux fondamentaux physiques, souvent négligés :
- La clé en mode « RUN » : Sur les automates Siemens ou Schneider, le commutateur physique ne doit pas rester sur « REMOTE » ou « STOP ». Une fois la mise en service terminée, la clé doit être sur « RUN » et retirée, pour empêcher toute modification logicielle non autorisée.
- Ports inutilisés : Bloquez physiquement les ports RJ45 non utilisés sur vos switchs et automates (il existe des bouchons sécurisés pour cela).
- Port USB : Désactivez les ports USB des PC de supervision ou utilisez des solutions de « blanchiment » de clés USB avant toute insertion.
Gestion des accès distants
La télémaintenance est indispensable pour la réactivité. Mais ouvrir un accès TeamViewer permanent est suicidaire. Chez L.I.S., nous préconisons l’utilisation de VPN sécurisés avec authentification forte (MFA), activés uniquement sur demande et pour une durée déterminée.
Témoignage terrain : La rigueur est une valeur cardinale chez L.I.S., partagée par nos équipes. Eric Meillat, Responsable de notre Bureau d’Études Électriques, rappelle l’importance de s’adapter à des environnements critiques : « On passe du sous-marin nucléaire aux planches en bois […] C’est cette diversité qui est géniale. Il faut tout le temps se remettre en question. » Cette remise en question s’applique à la sécurité : chaque accès externe doit être traité comme une menace potentielle jusqu’à preuve du contraire.
Lien connexe : Une bonne sécurité commence dès la conception. Découvrez comment nous intégrons ces contraintes dans nos études d’automatisme et l’intelligence au cœur de votre usine.
Étape 4 : La gestion des mises à jour et de l’obsolescence
C’est le point de friction majeur entre l’IT et l’OT. L’informaticien (IT) veut mettre à jour Windows tous les mardis pour combler les failles. L’automaticien (OT) refuse de toucher à un système qui fonctionne (« If it works, don’t fix it »), par peur qu’une mise à jour ne crée une incompatibilité et n’arrête la production.
Pourtant, des automates ou des OS obsolètes (comme Windows 7, encore très présent en industrie) sont des passoires. Les vulnérabilités connues ne sont plus corrigées par les constructeurs, offrant un boulevard aux attaquants.
La stratégie de « Patch Management » industriel
Il ne s’agit pas de tout mettre à jour aveuglément, mais de tester et qualifier :
- Inventaire des versions : Savoir quel firmware tourne sur quel automate (Siemens S7-1500, Schneider M580, etc.).
- Veille de sécurité : Suivre les avis de sécurité des constructeurs (CERT).
- Tests hors production : Valider les correctifs sur une maquette ou lors d’un arrêt technique planifié.
Si la mise à jour est impossible (vieux système critique), il faut isoler complètement la machine du réseau (Virtual Patching).
Success Story : Dans le secteur de l’environnement, où les process tournent 24/7, la fiabilité est non négociable. Comme le témoigne Jean-Philippe Rioult, DG de NEOS Industries : « La compétence, l’agilité d’une PME et un véritable ‘devoir de conseil’ sont les clés du succès. » Notre devoir de conseil, c’est aussi de vous alerter quand l’obsolescence devient un risque de sécurité majeur.
Parfois, la seule solution sécurisée est la migration. Pour approfondir : Vous craignez l’arrêt de production lors d’une mise à jour ? Lisez notre guide : Réussir sa migration vers TIA Portal sans arrêt de production.
Étape 5 : Sauvegardes, Monitoring et Humain (Le pare-feu ultime)
Malgré toutes les protections techniques, le « risque zéro » n’existe pas. Si une attaque passe, votre capacité de résilience dépendra de vos sauvegardes.
Le plan de reprise d’activité (PRA)
Avez-vous une sauvegarde récente de vos programmes automates ? Où est-elle stockée ? Sur le PC du technicien (qui peut être crypté par le ransomware) ou sur un serveur sécurisé hors ligne ? Chez L.I.S., nous insistons sur la règle du 3-2-1 pour les backups critiques :
- 3 copies de vos données.
- Sur 2 supports différents.
- Dont 1 copie hors site (ou déconnectée).
L’humain : le maillon fort
La technologie ne fait pas tout. La cybersécurité est aussi une culture. Former vos opérateurs à ne pas brancher leur smartphone sur le port USB de l’IHM pour le charger, ou à ne pas ouvrir de pièces jointes douteuses sur le PC de supervision, est aussi efficace qu’un pare-feu à 10 000 €.
C’est aussi cela, l’accompagnement L.I.S. : transmettre les bonnes pratiques à vos équipes de maintenance pour qu’elles soient autonomes et vigilantes.
Lien connexe : Investir dans la compétence est la meilleure défense. Découvrez les bénéfices stratégiques de la formation en automatisme industriel.
Pourquoi L.I.S. est votre partenaire en Cybersécurité OT ?
On entend souvent : « Pourquoi ne pas laisser mon service informatique gérer la sécurité des machines ? » La réponse est simple : l’IT protège la donnée (Confidentialité), l’OT protège le processus (Disponibilité et Sûreté).
Un service informatique classique pourrait décider de bloquer un port réseau suspect, sans savoir que cela coupera la communication de sécurité entre deux automates, risquant un accident industriel.
Chez Lyon Industrie Services, nous sommes des natifs de l’automatisme. Nous parlons le langage des machines (Ladder, Grafcet, Profinet) avant de parler celui des réseaux IP.
- Expertise Terrain : Nous savons ce qu’est une contrainte de temps de cycle.
- Partenaires Certifiés : Nous maîtrisons les solutions de sécurité intégrées des grands constructeurs (Siemens, Schneider Electric).
- Vision Globale : De la conception de l’armoire électrique jusqu’à l’intégration SCADA, nous intégrons la sécurité « by design ».
Comme le dit si bien Sheldon Rodel, notre Responsable d’Atelier :
« Venez, il y a une bonne ambiance. Si vous avez envie d’apprendre et que vous cherchez une ambiance de travail saine, venez nous voir. »
Cette ambiance saine se traduit par une transparence totale avec nos clients sur les risques et les solutions. Nous ne vendons pas de la peur, nous vendons de la sérénité.
N’attendez pas l’incident
La cybersécurité industrielle n’est plus une option, c’est le permis d’exploiter de l’usine moderne. Ne laissez pas vos automates être le talon d’Achille de votre entreprise.
Vous avez un doute sur la sécurité de votre architecture réseau ou sur l’obsolescence de vos automates ? Ne restez pas dans le flou. Contactez L.I.S. pour un premier diagnostic de votre installation et transformez votre vulnérabilité en forteresse industrielle.
> Contacter un expert L.I.S. pour sécuriser mes automates