La cybersécurité des environnements OT est aujourd’hui un enjeu stratégique majeur pour les entreprises. Ces technologies opérationnelles, qui étaient autrefois isolées, sont désormais connectées et exposées à des menaces nombreuses et diverses. Un phénomène qui démontre à quel point la frontière entre le monde numérique et le monde réel s’estompe.
Tant que les systèmes OT resteront conçus avant tout pour la performance, mais sans suffisamment intégrer la cybersécurité, ils resteront des cibles de choix pour les attaquants. Pour y répondre, les entreprises et infrastructures doivent adopter une posture cohérente.
Qu’est-ce que les OT ?
Le terme “technologie opérationnelle” (OT de l’anglais Operational Technology) désigne l’ensemble des matériels et logiciels qui permettent de surveiller, contrôler ou automatiser des processus physiques. Ils se distinguent des processus IT (technologie de l’information), c’est-à-dire tout ce qui touche à l’informatisation. Ils comprennent notamment :
- les machines industrielles
- les lignes de production
- les installations d’infrastructures critiques
- les réseaux de transport
Pourquoi les OT sont-elles une cible principale des cyberattaques ?
Historiquement conçus pour fonctionner en autonomie (souvent sans connexion internet), ces systèmes OT étaient auparavant isolés du réseau informatique classique. Seulement, avec l’essor de la digitalisation, de plus en plus de convergences entre les environnements IT et OT apparaissent. Et ce phénomène modifie profondément les contraintes liées à leur sécurité.
Dans ce contexte, la cybersécurité OT ne se contente donc pas de protéger des données : elle vise aussi à garantir la sûreté des installations, la continuité des opérations, ou encore la sécurité des personnes.
La cybersécurité OT : des installations à haute valeur stratégique
En effet, les systèmes OT pilotent des installations critiques. Leur dysfonctionnement peut avoir des conséquences économiques, sociétales, voire humaines. Par exemple, en France en 2025, les transports sont désormais désignés comme la cible numéro un des cyberattaques OT.
Quand un attaquant perturbe ou sabote un processus OT, ce n’est plus seulement de la perte de données : c’est une interruption physique, un arrêt de production, un risque pour la continuité des services. C’est ce qui motive aujourd’hui les attaquants à orienter leurs efforts vers ces environnements.
Une surface d’attaque qui s’élargit
La transformation numérique introduit de nouveaux capteurs, objets connectés, automates communicants. Dans beaucoup d’installations, on observe des protocoles non chiffrés, des équipements obsolètes, ou encore une faible segmentation réseau.
De plus, les dépendances entre IT et OT créent des ponts d’entrée. Un attaquant peut désormais passer par l’IT puis migrer vers l’OT. Le manque de visibilité OT est souligné dans les études : seule une minorité des entreprises dispose d’une visibilité centralisée sur l’ensemble de leur OT. L’idée reçue voulait que comme l’OT n’est pas connectée, cela la rend peu vulnérable : or, aujourd’hui, c’est tout le contraire.
La maturité de cybersécurité OT souvent insuffisante
Le dernier rapport Fortinet souligne que, même si la conscience du risque OT progresse, de nombreuses entreprises restent vulnérables. Par exemple, En France, seulement la moitié déclarent suivre l’ensemble de leur OT depuis un SOC (centre opérationnel de sécurité).
En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) relève que l’interconnexion et l’hétérogénéité des acteurs dans les transports urbains contribuent à l’augmentation de la surface d’attaque.
Vulnérabilités et équipements obsolètes
Beaucoup d’installations OT utilisent des systèmes qui ne sont pas régulièrement mis à jour, ou utilisent des protocoles sans chiffrement. Cela les rend d’autant plus vulnérables aux attaques.
Pour résumer : l’OT est stratégique, exposée, mais encore souvent mal protégée, ce qui en fait une cible de choix pour les cyberattaques.
Quels sont les risques en cybersécurité pour les OT ?
Et les risques cyber vont bien au-delà des simples intrusions informatiques. Il ne s’agit pas uniquement de vol de données, mais bien de risques physiques et d’opérations.
Rançongiciels (ransomware)
Lors d’une attaque par ransomware, un cybercriminel prend le contrôle ou bloque un équipement OT, ce qui peut paralyser la production ou les services. Selon Fortinet, parmi les entreprises OT, près de la moitié ont déjà subi des dysfonctionnements de ce type, affectant leurs revenus.
AiTM et interceptions OT/IoT
Les interceptions de flux OT/IoT désignent des techniques permettant de capturer, analyser ou manipuler les communications qui circulent entre des appareils OT ou IoT (Internet of Things) et les systèmes auxquels ils sont connectés. Elles peuvent être utilisées de manière malveillante pour de l’espionnage, du sabotage ou autres manipulation de commandes.
De l’anglais Adversary in the middle (adversaire au milieu), les AiTM correspondent à des attaques dans lesquelles la personne est active. Il s’interpose entre l’utilisateur et un service légitime, dans l’objectif de capturer les identifiants de connexion et le cookie de session. En usurpant une identité, l’attaquant peut ainsi manipuler les données et les communications.
En France, on note que ces modes d’attaque gagnent du terrain dans le secteur OT.
Déni de service (DoS)
Dans les systèmes OT, la disponibilité est souvent le critère le plus critique. Une attaque par DoS ou un dysfonctionnement vise à surcharger une ressource informatique pour l’empêcher de fonctionner correctement. Cela induit alors des arrêts d’activité ou des pertes importantes.
Espionnage et cyber-sabotage étatique
Enfin, dans certains secteurs critiques (transports urbains, énergie), les attaques peuvent viser non seulement le gain financier mais aussi la déstabilisation, l’espionnage industriel ou même le sabotage.
| Type de risque | Description | Exemples typiques / conséquences |
| Rançongiciel | Blocage ou chiffrage des systèmes OT, interruption physique des opérations | Arrêt de production, perte de revenus, image affectée |
| Interception et AiTM | Interception/modification des flux entre équipements OT/IoT | Manipulation des données de contrôle, perte de confiance, sabotage |
| Déni de service | Saturation ou blocage des services OT | Arrêt ou ralentissement des installations, impact sociétal (ex : transports) |
| Obsolescence | Équipements anciens, protocoles non sécurisés | Exploitation de failles, intrusions facilitées |
| Convergence IT/OT | Passage de l’attaque via IT vers OT | Effet de contagion, manque de défense spécifique OT |
| Espionnage | Attaques ciblées contre infrastructures critiques | Atteinte à la souveraineté, grands impacts publics |
Comment éviter ces risques avec une bonne cybersécurité pour les OT ?
Pour limiter les cyberrisques sur les environnements OT, il est essentiel de combiner gouvernance, technique et formation.
Organiser la cybersécurité OT avec les employés
Afin d’éviter ces attaques, l’humain est fondamental. Sensibilisez et formez le personnel technique OT comme les équipes IT aux bons réflexes : phishing, accès à distance, vigilance. Cela évitera notamment les attaques par le hameçonnage. De même, vous pouvez organiser des exercices de simulation dans vos équipes, afin de tester la réaction en cas d’incident OT.
Et cette sensibilisation doit passer par nous les niveaux : n’oubliez pas d’impliquer la direction dans la cybersécurité OT. Vous pouvez désigner un référent pour la cybersécurité OT, idéalement au niveau exécutif. Par exemple, 95 % des entreprises transfèrent cette responsabilité à un cadre dirigeant.
Enfin, il peut être intéressant de mettre en œuvre une politique de convergence IT/OT : rapprocher les équipes IT et OT, créer des gouvernances communes.
Moyens techniques pour la cybersécurité OT
D’autres réflexes plus techniques peuvent vous éviter des attaques. Pensez notamment à :
- Recenser tous les actifs OT
- Effectuer une évaluation des risques (avec des guides comme celui de l’ANSSI)
- Séparer clairement les réseaux OT/IT
- Éviter les réseaux plats non segmentés
- Limiter les accès des équipements OT par défaut, et éviter les accès à distance
- Mettre en place une authentification multifactorielle
- Supprimer les services inutiles
- Mettre en place une surveillance capable de couvrir OT/IT/IoT
- Créer une liste blanche d’applications dans les environnements OT pour limiter l’exécution de logiciels malveillants
- Utiliser des protocoles sécurisés
- Prévoyez un plan de réponse aux attaques cyber adapté aux OT
Respecter la réglementation pour la cybersécurité OT
Enfin, le plus sûr reste de s’appuyer sur des référentiels reconnus pour l’OT. N’oubliez pas de respecter également les obligations réglementaires pour les opérateurs d’importance vitale (OIV) ou les infrastructures critiques. Pour vous aider, l’ANSSI publie de nombreux référentiels et guides. De même, réalisez des audits réguliers, des tests d’intrusion, ou encore des revues de vulnérabilités.
