Cybersécurité industrielle : protéger les systèmes scada et ics face à la montée des cybermenaces dans les usines connectées

Usines connectées : pourquoi les systèmes SCADA et ICS sont devenus une cible prioritaire

En quelques années, les usines sont passées du monde des automates isolés à celui des lignes de production intégrées, interconnectées, pilotées à distance. ERP, MES, capteurs IoT, maintenance prédictive, accès fournisseurs : l’atelier est devenu un réseau à part entière.

Cette transformation améliore la productivité et la flexibilité, mais elle expose directement les systèmes industriels (SCADA, ICS, DCS, automates programmables) à des cybermenaces qui, hier encore, ne concernaient presque que l’IT. Or la spécificité du monde industriel, c’est qu’une cyberattaque ne se limite pas à des données volées : elle peut impacter la sécurité des opérateurs, la qualité produit, voire endommager des équipements critiques.

Plusieurs études récentes convergent : la fréquence et la sophistication des attaques sur les environnements OT (Operational Technology) progressent fortement. Ransomware ciblant les lignes de production, intrusions sur des automates, détournement de paramètres de process… Les incidents réels se multiplient, toutes tailles d’entreprise confondues.

Face à cette nouvelle donne, la cybersécurité industrielle n’est plus un sujet “IT” optionnel. Elle devient un enjeu stratégique pour les directions industrielles, les équipes méthodes, maintenance et HSE, au même titre que la sûreté de fonctionnement ou la sécurité des personnes.

SCADA, ICS, OT : de quoi parle-t-on concrètement ?

Avant de parler protection, il est indispensable de clarifier le périmètre. Dans les usines, plusieurs briques techniques coexistent :

• SCADA (Supervisory Control And Data Acquisition) : systèmes de supervision qui collectent, visualisent et pilotent les données de process (température, pression, état des machines, alarmes…). Ils permettent aux opérateurs de suivre et ajuster la production en temps réel.
• ICS (Industrial Control Systems) : terme générique qui englobe les systèmes de contrôle industriels, incluant SCADA, DCS (Distributed Control Systems), automates (PLC), RTU, etc.
• OT (Operational Technology) : ensemble des systèmes matériels et logiciels qui pilotent les équipements physiques : machines, lignes de production, robots, infrastructures (énergie, HVAC, utilities, etc.).

Historiquement, ces systèmes étaient isolés, basés sur des protocoles propriétaires, et conçus pour fonctionner de façon stable pendant 10 à 20 ans. Ils n’ont pas été pensés pour résister à des attaques informatiques. La connectivité croissante (liaison avec l’ERP, accès distant, supervision centralisée multi-sites, intégration avec des solutions cloud) a fait exploser la surface d’attaque.

Résultat : des équipements conçus pour être robustes mécaniquement, mais vulnérables numériquement, se retrouvent exposés sur des réseaux de plus en plus ouverts.

Un paysage de menaces qui se professionnalise

Les cybermenaces visant les environnements SCADA/ICS ne sont plus théoriques. Plusieurs types d’attaques sont aujourd’hui observés sur le terrain :

• Ransomware chiffrant des serveurs de supervision ou des systèmes de production : un opérateur ne peut plus accéder à son SCADA, les recettes ou séquences automates deviennent inaccessibles, la production est stoppée. Le coût se compte en heures ou jours d’arrêt de ligne.
• Intrusions via des accès distants non maîtrisés : comptes de télémaintenance partagés, VPN mal configurés, connexions 4G directes sur des automates… Un attaquant exploite ces failles pour se déplacer latéralement du réseau IT vers l’OT.
• Exploitation de vulnérabilités dans les automates ou les passerelles industrielles : mots de passe par défaut, services non sécurisés, protocoles industriels non chiffrés (Modbus, OPC, etc.).
• Attaques ciblant la chaîne d’approvisionnement : logiciel de supervision, outils de maintenance ou prestataires d’ingénierie compromis, qui deviennent des portes d’entrée vers l’atelier.

À ces menaces techniques s’ajoute un facteur humain déterminant : manque de sensibilisation des équipes de terrain, confusion sur les responsabilités entre IT et OT, absence de procédures en cas d’incident. Sur certains sites, il n’existe pas de vue consolidée de ce qui est réellement connecté, de qui s’y connecte, ni de la criticité des systèmes.

Enjeux business : pourquoi la cybersécurité OT est devenue un sujet de direction

Les impacts d’une cyberattaque sur un environnement SCADA/ICS dépassent largement le périmètre du service informatique. Ils touchent directement le P&L, la continuité d’activité et parfois la sécurité physique.

• Arrêts de production : une ligne bloquée quelques heures peut déjà coûter plusieurs centaines de milliers d’euros entre manque à gagner, primes, rebuts, pénalités contractuelles.
• Qualité et conformité : modification d’un paramètre de température, d’un dosage ou d’une consigne machine peut altérer la qualité produit, avec des risques de rappel, de non-conformité réglementaire ou de litiges clients.
• Sécurité des opérateurs : une instruction erronée envoyée à un robot, un arrêt d’urgence neutralisé ou une alarme de sécurité masquée peuvent avoir des conséquences physiques pour les équipes de production.
• Image de marque et relation client : un incident médiatisé, notamment dans les secteurs agroalimentaire, pharmaceutique ou énergie, peut durablement affecter la confiance.
• Exigences réglementaires et contractuelles : certaines industries (chimie, défense, infrastructures critiques) sont déjà soumises à des obligations fortes. Les grands donneurs d’ordre intègrent de plus en plus de clauses cybersécurité dans leurs appels d’offres.

Autrement dit, la cybersécurité industrielle n’est pas un sujet purement technique. C’est une composante clé de la résilience opérationnelle, au même niveau que la maintenance préventive ou la gestion des stocks critiques.

Cartographier et prioriser : la première étape souvent négligée

Beaucoup de sites industriels abordent la cybersécurité par le prisme des outils (pare-feu, antivirus, solutions EDR, etc.) sans avoir posé une base essentielle : savoir précisément ce qu’il faut protéger, et avec quel niveau de priorité.

Une démarche pragmatique commence par :

• Inventorier les actifs OT : automates, IHM, serveurs SCADA, stations d’ingénierie, réseaux, passerelles, capteurs connectés… Y compris les systèmes “oubliés” ou gérés uniquement par des sous-traitants.
• Qualifier la criticité de chaque système :
  • Impact en cas d’arrêt (production, sécurité, environnement, conformité).
  • Dépendances (amont/aval, données, réseaux).
• Identifier les flux de communication : qui parle à qui, sur quels protocoles, pour quels usages (télémaintenance, supervision centrale, échanges ERP/MES, etc.).
• Repérer les accès distants : VPN, solutions de télémaintenance, cartes SIM/4G intégrées dans des machines, connexions fournisseurs.

De nombreuses usines découvrent à cette occasion des “effets de bord” de projets passés : une ligne connectée directement à Internet pour faciliter l’assistance d’un OEM, un poste d’ingénierie qui sert aussi à naviguer sur le web, ou encore un automate partagé entre plusieurs réseaux sans segmentation.

Cette cartographie n’a pas besoin d’être parfaite pour être utile. Elle doit être suffisamment fiable pour permettre de prioriser : sur quoi concentrer les premiers efforts de sécurisation pour réduire rapidement le risque.

Sécuriser les SCADA et ICS : 7 leviers concrets activables rapidement

Une fois les enjeux et le périmètre clarifiés, la question devient : que faire, très concrètement, sur un site industriel souvent contraint en ressources et en temps ? Voici sept leviers opérationnels, fréquemment mis en œuvre dans les usines les plus avancées.

• 1. Segmenter les réseaux IT et OT :
  • Séparer physiquement ou logiquement les réseaux de production des réseaux bureautiques.
  • Limiter les flux entre zones (bureaux, supervision, automates, IoT) par des pare-feu industriels et des règles de filtrage simples, documentées.
• 2. Verrouiller les accès distants :
  • Supprimer les connexions directes aux automates depuis l’extérieur.
  • Centraliser et contrôler les accès VPN, activer l’authentification multi-facteur pour les prestataires.
  • Mettre en place un “saut sécurisé” (bastion) pour la télémaintenance, avec enregistrement des sessions sensibles.
• 3. Gérer les comptes et mots de passe dans l’OT :
  • Remplacer les identifiants par défaut sur les automates, IHM, serveurs de supervision.
  • Créer des comptes dédiés aux prestataires, avec droits limités dans le temps et dans le périmètre.
  • Éviter le partage d’un même compte “admin atelier” entre plusieurs personnes.
• 4. Renforcer les postes clés (SCADA, stations d’ingénierie) :
  • Durcir les systèmes : mises à jour de sécurité quand c’est possible, désactivation des services inutiles, antivirus/antimalware adaptés au contexte industriel.
  • Restreindre l’accès internet sur ces postes, limiter les usages à ce qui est strictement nécessaire au process.
• 5. Maîtriser l’usage des supports amovibles :
  • Contrôler, voire interdire, l’utilisation de clés USB non maîtrisées dans l’atelier.
  • Prévoir des procédures d’échange de fichiers “propres” entre IT et OT (poste de transfert, analyse antivirus systématique, etc.).
• 6. Organiser la sauvegarde des configurations critiques :
  • Sauvegarder régulièrement les programmes automates, les recettes, les configurations SCADA et les paramètres réseau.
  • Tester la restauration (quel intérêt d’avoir une sauvegarde si personne ne sait la remettre en service en urgence ?).
• 7. Définir un plan d’intervention en cas d’incident :
  • Qui décide de l’arrêt d’une ligne si une attaque est suspectée ?
  • Comment isoler rapidement un segment réseau ou une machine compromise ?
  • Quel est le circuit d’escalade entre équipes IT, OT, direction de site, sûreté ?

Ces actions ne nécessitent pas forcément de gros investissements initiaux. Elles demandent surtout de la coordination entre les équipes IT et les équipes de terrain, ainsi qu’une bonne dose de pragmatisme.

Retours d’expérience : des cas concrets pour mesurer l’impact

Plusieurs industriels ayant engagé une démarche structurée de cybersécurité sur leurs systèmes SCADA/ICS mettent en avant des bénéfices tangibles.

Dans une PME de mécanique de précision, la mise en place d’une segmentation réseau simple (séparation stricte entre bureaux, atelier et télémaintenance) combinée à la revue des accès prestataires a permis d’éviter la propagation d’un ransomware arrivé via une messagerie. Les serveurs bureautiques ont été touchés, mais la production est restée opérationnelle.

Un acteur de l’agroalimentaire multi-sites a lancé un inventaire systématique de ses équipements OT. Résultat : plus de 20 % des automates recensés utilisaient encore des identifiants par défaut, parfois accessibles depuis des réseaux partagés avec des sous-traitants logistiques. En 6 mois, un plan de remédiation ciblé a permis de corriger les cas les plus critiques et de définir des règles pour les nouveaux projets.

Dans une usine chimique classée Seveso, un exercice de gestion de crise “cyber” a mis en lumière l’absence de scénarios spécifiques pour les systèmes de sécurité instrumentés (SIS). L’entreprise a depuis intégré les incidents cyber dans ses études de dangers et adapté ses procédures d’arrêt d’urgence en conséquence.

Ces exemples montrent que l’enjeu n’est pas de tendre immédiatement vers un modèle “zéro risque”, mais de réduire fortement la probabilité et l’impact des scénarios les plus graves, en s’appuyant sur la réalité du terrain.

Culture, compétences, gouvernance : les trois piliers souvent sous-estimés

Les outils de cybersécurité ne suffiront pas sans une évolution des pratiques et des responsabilités. Trois dimensions sont déterminantes pour tenir dans la durée.

• Culture : sensibiliser les équipes de production, de maintenance, les automaticiens aux risques cyber via des exemples concrets, des ateliers de retour d’expérience, des campagnes régulières. L’objectif n’est pas de faire peur, mais de faire comprendre les gestes qui comptent.
• Compétences : développer un socle minimum de compétences croisées IT/OT :
  • Côté IT, mieux comprendre les contraintes des systèmes industriels (disponibilité, temps réel, cycles longs, validations réglementaires).
  • Côté OT, acquérir un niveau de base sur les risques numériques, les bonnes pratiques de configuration, la gestion des accès.
• Gouvernance : clarifier qui décide de quoi :
  • Qui est responsable de la politique de sécurité sur les SCADA et automates ?
  • Comment sont validés les nouveaux projets connectés (nouvelles lignes, IoT, télémaintenance) ?
  • Comment les incidents sont-ils remontés, analysés, capitalisés ?

De plus en plus d’industriels mettent en place un référent cybersécurité OT au niveau du site ou du groupe, travaillant en binôme avec la DSI et les responsables de production. Cette fonction joue un rôle clé pour éviter que la cybersécurité ne reste “entre deux chaises”.

Passer à l’action : une feuille de route réaliste pour les sites industriels

Pour les directions industrielles qui souhaitent structurer leur démarche sans paralyser les opérations, une approche progressive, sur 12 à 24 mois, est souvent la plus efficace :

• Étape 1 – Évaluer :
  • Réaliser une cartographie rapide des actifs OT et des flux critiques.
  • Identifier les vulnérabilités les plus évidentes (accès distants, mots de passe par défaut, absence de segmentation).
• Étape 2 – Prioriser :
  • Classer les systèmes selon leur criticité (sécurité, production, environnement, conformité).
  • Définir un plan de traitement en plusieurs vagues, en commençant par les “quick wins” à fort impact.
• Étape 3 – Mettre en œuvre les mesures de base :
  • Segmentation réseau, gestion des accès distants, renforcement des postes SCADA et stations d’ingénierie, sauvegardes.
  • Formalisation de procédures simples (connexion d’un prestataire, utilisation de clés USB, modification de configuration automate).
• Étape 4 – Structurer et industrialiser :
  • Déployer des solutions de supervision de la sécurité OT (détection d’intrusion réseau industriel, gestion centralisée des journaux).
  • Intégrer la cybersécurité dans les projets d’investissement (retrofit, nouvelles lignes, sites greenfield).
• Étape 5 – Tester et améliorer en continu :
  • Organiser des exercices de gestion d’incident mêlant IT, OT et direction de site.
  • Mettre à jour régulièrement la cartographie et la priorisation en fonction des évolutions de l’atelier.

Cette feuille de route doit rester adaptable à la taille de l’entreprise, à son secteur d’activité et à ses contraintes réglementaires. Mais la logique de fond reste la même : bâtir progressivement une résilience cyber au cœur même des opérations industrielles.

Les usines connectées offrent des opportunités de performance considérables. Protéger les systèmes SCADA et ICS n’est pas un frein à cette transformation : c’est une condition pour la rendre durable, maîtrisée et acceptable pour l’ensemble des parties prenantes, des opérateurs aux clients finaux.