En matière de technologies opérationnelles (OT), la visibilité est la base d'une sécurité efficace

En matière de technologies opérationnelles (OT), la visibilité est le fondement d'une sécurité efficace.

Par Phil Muncaster • 18 November 2025

Les technologies de l'information (TI) font souvent la une des journaux, surtout à l'aube d'une nouvelle ère où l'intelligence artificielle est omniprésente. Pourtant, ce sont les technologies opérationnelles (TO) qui restent au cœur de nombreuses activités mondiales. Des usines aux centrales électriques, des hôpitaux aux réseaux de transport, ces technologies interagissent généralement avec le monde physique pour contrôler des machines industrielles essentielles. Un seul problème subsiste : elles n'ont jamais été conçues pour faire face aux cybermenaces du XXIe siècle.^st siècle.

C'est pourquoi nouvelle orientation L'initiative du Centre national de cybersécurité (NCSC) devrait être bien accueillie par les opérateurs de technologies opérationnelles. Elle souligne l'importance cruciale de la visibilité comme première étape de la sécurisation des technologies opérationnelles et propose la norme ISO 27001 comme une excellente solution pour y parvenir.

Pourquoi la sécurité OT est importante

Étant donné que les technologies opérationnelles (OT) gèrent les systèmes de contrôle industriels, il est aisé de comprendre les enjeux. Le détournement de tels systèmes permettrait à des acteurs malveillants de potentiellement perturber les infrastructures critiques (ICN). De fait, des adversaires soutenus par l'État chinois ont été découverts l'année dernière au sein de réseaux d'ICN américains. se prépositionnèrent déclencher des attaques destructrices en cas de conflit militaire.

Outre les dommages physiques potentiels que de telles attaques pourraient causer aux individus et aux sociétés entières, elles pourraient engendrer de lourdes pertes financières et nuire considérablement à la réputation des fournisseurs d'infrastructures critiques et autres opérateurs de télécommunications. Il y a quelques mois à peine, un assureur Marsh McLennan a cherché à quantifier L'entreprise a évalué l'ampleur de ce risque grâce à sa base de données exclusive sur les sinistres et à d'autres renseignements. Elle a calculé que le risque financier annuel associé aux incidents liés aux accidents du travail pourrait atteindre 329.5 milliards de dollars (250 millions de livres sterling).

Le problème est que les systèmes OT sont souvent mal protégés. Leur durée de vie est bien supérieure à celle des équipements informatiques classiques, ce qui implique qu'ils doivent souvent exécuter des logiciels et des systèmes d'exploitation anciens pour lesquels aucun correctif n'est plus disponible. Même lorsque des mises à jour de sécurité existent, la priorité est généralement donnée à la disponibilité plutôt qu'à la sécurité. De plus, ces machines fonctionnent souvent dans des environnements critiques où leur mise hors service pour tester et appliquer des correctifs représente un véritable défi logistique. Enfin, des protocoles de communication obsolètes et non sécurisés peuvent engendrer des risques de sécurité supplémentaires.

Ce que dit le NCSC

L’approche du NCSC est judicieuse : on ne peut protéger ce qu’on ne voit pas. C’est pourquoi il souhaite que les opérateurs OT se concentrent en priorité sur la création d’une « vue définitive » de leur architecture OT. Cela va bien au-delà d’une simple liste d’actifs et inclut :

Composants tels que les dispositifs, les contrôleurs, les logiciels et les systèmes virtualisés, tous classés selon leur criticité, leur exposition et leurs exigences de disponibilité.
Connectivité: c’est-à-dire comment ces ressources interagissent au sein du réseau OT et au-delà.
Architecture système plus large y compris les zones, les conduits et les mesures de segmentation ; les dispositions relatives à la résilience ; et la justification des choix de conception
Chaîne d'approvisionnement et accès des tiers : c’est-à-dire, quels fournisseurs, intégrateurs et prestataires de services se connectent à l’environnement OT, et comment ces connexions sont gérées et protégées
Contexte commercial et d'impact : Comprendre les conséquences, sur le plan opérationnel, financier et de la sécurité, d'une défaillance ou d'une compromission d'un actif ou d'une connexion.

Conseils du NCSCCe document, élaboré également par des agences des États-Unis, du Canada, de la Nouvelle-Zélande, des Pays-Bas et de l'Allemagne, repose sur cinq principes. Il enjoint aux opérateurs de technologies opérationnelles de concevoir des processus pour établir et gérer leur « registre définitif », identifier et catégoriser les actifs, identifier et documenter la connectivité et documenter les risques liés aux tiers.

Protéger votre dossier définitif

Le plus intéressant est peut-être Principe 2: Il est essentiel de mettre en place un programme de gestion de la sécurité des informations relatives aux technologies opérationnelles (OT). Ce programme est indispensable compte tenu de la sensibilité des informations contenues dans le dossier de référence. Ce dernier peut inclure des informations de conception et d'activité, des données d'identité et d'autorisation, des données opérationnelles liées au contrôle en temps réel des systèmes OT, ainsi que des évaluations des risques en matière de cybersécurité et de sécurité.

Les adversaires pourraient utiliser ces renseignements pour affiner leurs attaques, en se faisant une idée précise de l'architecture du système et en sélectionnant les composants à cibler et à exploiter, explique le NCSC. « Votre organisation doit disposer de politiques et de procédures clairement documentées sur la manière de sécuriser chaque type d'information », ajoute-t-il, en incitant les organisations à adopter le modèle classique de la « CIA » (Confidentialité, Disponibilité, Intégrité). Cela implique de garantir :

Les informations sensibles ne sont accessibles qu'aux systèmes et aux utilisateurs autorisés à y accéder (confidentialité).
L'information est complète, intacte et fiable, et n'a pas été modifiée (intégrité).
Les organisations protègent l'information contre les pannes, les retards et la dégradation du service (disponibilité).

Les avantages de la norme ISO 27001

Le NCSC recommande aux opérateurs de bloc opératoire d’« utiliser des normes telles que ISO / IEC 27001 « Pour faciliter la mise en œuvre d’un système de gestion de la sécurité de l’information OT. » Voilà qui réjouit Sam Peters, directeur des produits chez ISMS.online, qui affirme que cela reflète un consensus croissant : « les principes d’un système de gestion de la sécurité de l’information structuré et basé sur les risques s’appliquent aussi efficacement aux technologies opérationnelles qu’aux technologies de l’information. »

Peters explique à ISMS.online qu'après avoir travaillé avec cette norme pendant de nombreuses années, il sait exactement à quel point elle peut être efficace pour aider à gérer les risques liés aux technologies opérationnelles.

« Je sais par expérience que la norme ISO 27001 offre une approche cohérente de la visibilité des actifs, de la gestion de la configuration et du contrôle des changements – autant d'éléments essentiels dans les environnements OT complexes et anciens où des modifications non planifiées peuvent avoir des conséquences concrètes sur la sécurité », ajoute-t-il. « Elle renforce également la confiance tout au long des chaînes d'approvisionnement en formalisant la manière dont l'accès, les correctifs et la maintenance sont encadrés par des tiers. »

La norme ISO 27001 apporte également une aide technique, en permettant aux organisations de combler le fossé entre les technologies de l'information et les technologies opérationnelles grâce à une « terminologie partagée, des contrôles standardisés et un traitement des risques fondé sur des preuves », explique Peters.

« Cela appuie assurément l’appel du NCSC en faveur d’une vision définitive de l’architecture OT, garantissant que les décisions en matière de sécurité soient fondées sur une connaissance précise et actuelle du système plutôt que sur des suppositions », conclut-il.

« Soyons clairs : il ne s’agit pas de superposer des contrôles informatiques aux technologies opérationnelles. Il s’agit d’appliquer un système de gestion éprouvé qui tienne compte des contraintes spécifiques des systèmes industriels, en privilégiant la disponibilité, la sécurité et la résilience tout en assurant la traçabilité et l’amélioration continue. C’est précisément cet équilibre dont les technologies opérationnelles ont besoin depuis un certain temps. »

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster

Sécurité de l'Information 9 December 2025

Une année de conformité : cinq leçons apprises en 2025

Une année de conformité : cinq leçons tirées de 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement à l'abri des incidents. Les failles de sécurité majeures coûtent cher aux organisations…

Phil Muncaster