Plus de 70 % des fabricants connectent désormais leur usine aux réseaux informatiques de l’entreprise. Ce chiffre continuera à augmenter à mesure que la maintenance prédictive, la surveillance à distance et l’intégration MES/ERP deviendront des attentes de base plutôt que des avantages concurrentiels. Le problème est que la plupart des dispositifs OT n’ont jamais été conçus pour être installés sur un réseau connecté, et que les approches de sécurité conçues pour l’informatique ne fonctionnent tout simplement pas sur un automate programmable ou une interface homme-machine.
Ce guide explique pourquoi la convergence IT-OT s’accélère, quels sont les risques qu’elle engendre et comment l’isolation en ligne vous permet d’étendre la confiance zéro à l’atelier sans agents, sans temps d’arrêt et sans risque pour la production.
Qu’est-ce que la convergence IT-OT ?
La convergence IT-OT est le processus de connexion des réseaux de technologie de l’information (courrier électronique, ERP, applications en nuage) avec les réseaux de technologie opérationnelle (PLC, HMI, systèmes SCADA, capteurs) dans une infrastructure partagée ou pontée. L’objectif est de débloquer des données opérationnelles en temps réel pour les décisions commerciales, l’accès à distance et l’automatisation. La difficulté réside dans le fait que les dispositifs OT ne disposent pas des capacités d’authentification, de cryptage et de correction dont dépend la sécurité informatique.
Pourquoi les réseaux IT et OT convergent-ils ?
Les réseaux d’usine sont restés isolés pendant des décennies. Le vide d’air entre l’informatique et l’informatique de terrain était à la fois un choix de conception et une couverture de sécurité. Quatre facteurs commerciaux ont rendu cet isolement insoutenable.
Surveillance et maintenance à distance. Les techniciens qualifiés sont rares. Les organisations ont besoin d’ingénieurs pour diagnostiquer les équipements à distance plutôt que de se rendre sur chaque site. Pour cela, il faut que les données OT transitent par l’infrastructure informatique vers les tableaux de bord et les systèmes d’alerte.
Maintenance prédictive. Les données des capteurs introduites dans les plateformes d’analyse peuvent prédire les défaillances des roulements, la dégradation des moteurs et la dérive des processus avant qu’ils ne provoquent des arrêts non planifiés. Les données de l’industrie suggèrent que les coûts des temps d’arrêt peuvent atteindre 22 000 dollars par minute dans certains environnements de fabrication. L’analyse de rentabilité de la connectivité s’écrit d’elle-même.
Intégration des systèmes MES et ERP. Les systèmes d’exécution de la fabrication ont besoin de données de production en temps réel. Les plateformes ERP ont besoin des données MES pour l’inventaire, la qualité et la planification. Le chemin des données entre l’atelier et la salle de conférence passe directement par la frontière IT-OT.
Les jumeaux numériques et l’analyse de l’IA. La simulation des processus de production, l’optimisation de l’utilisation de l’énergie et l’exécution de prévisions de qualité nécessitent tous des flux de données à haut volume provenant de capteurs OT vers des environnements informatiques en nuage ou en périphérie.
Le marché de la convergence IT-OT reflète cette dynamique. Selon les estimations des analystes, il représentera environ 88 milliards de dollars en 2026, soit une croissance de plus de 17 % par an. Pourtant, seulement 30 % des organisations ont pleinement intégré leurs opérations de sécurité informatique et télématique, ce qui révèle un écart important entre les ambitions de connectivité et l’état de préparation à la sécurité.
Que se passe-t-il lorsque l’entrefer disparaît ?
Le fait de relier l’OT à l’IT n’ajoute pas seulement du trafic sur le réseau. Elle crée des voies d’attaque qui n’existaient pas auparavant. Trois scénarios illustrent le risque.
Scénario 1 : l’ordinateur portable compromis arrive sur la ligne de production. Un employé clique sur un lien d’hameçonnage. Le logiciel malveillant atterrit sur son ordinateur portable informatique. Dans un réseau plat ou mal segmenté, cet ordinateur portable peut communiquer avec des appareils du segment OT. L’attaquant découvre un automate fonctionnant avec un micrologiciel obsolète, envoie des commandes modifiées et la production change sans que personne ne s’en aperçoive pendant des heures.
Scénario 2 : le fournisseur VPN ouvre la porte de l’usine. Un intégrateur tiers se connecte via un VPN pour assurer la maintenance d’une IHM spécifique. Les VPN traditionnels accordent un large accès au réseau une fois que le tunnel est établi. Si l’appareil du fournisseur est compromis ou si ses informations d’identification sont volées, un pirate hérite de ce même accès étendu aux systèmes OT.
Scénario 3 : les rançongiciels franchissent la frontière entre les technologies de l’information et les technologies de l’information. Les rançongiciels se propagent par mouvement latéral à travers le trafic est-ouest. Lorsque l’informatique et les technologies de l’information partagent des segments de réseau ou des relations de confiance, les routines de cryptage qui ont commencé dans le département financier peuvent atteindre les serveurs SCADA et les bases de données historiques. L’attaque de 2024 contre le fabricant allemand d’électronique Medion AG a démontré exactement ce schéma, le ransomware BlackBasta ayant causé une perturbation opérationnelle prolongée.
Les données de l’ENISA pour 2025 montrent que les menaces liées aux technologies de l’information et de la communication représentent désormais 18,2 % de toutes les catégories de cybermenaces identifiées dans l’UE. Le ransomware reste la méthode dominante, responsable de plus de 81 % des incidents ciblant les organisations de l’UE. Le délai moyen entre la compromission initiale et le déploiement du ransomware n’est que de 16 heures, ce qui est bien trop court pour une détection et une réponse manuelles dans la plupart des équipes du marché intermédiaire.
Pourquoi les pare-feu et les réseaux locaux virtuels (VLAN) ne suffisent pas
La plupart des organisations tentent de gérer les frontières IT-OT à l’aide d’outils familiers. Chacun d’entre eux présente des limites qui ont leur importance dans les environnements de production.
Les DMZ de pare-feu entre l’informatique et l’industrie ajoutent une couche de contrôle, mais la configuration de règles de pare-feu pour des milliers de flux de protocoles industriels est complexe et sujette aux erreurs. Les pare-feu ne peuvent pas non plus arrêter les menaces qui se trouvent déjà à l’intérieur du segment OT. Le modèle traditionnel de Purdue plaçait les pare-feu entre des niveaux hiérarchiques, mais la convergence a aplani ces niveaux. Les données circulent désormais directement des capteurs de niveau 0 aux plateformes en nuage de niveau 5, contournant ainsi les défenses en couches que le modèle Purdue supposait.
La segmentation des VLAN permet une séparation logique, mais dépend d’une configuration correcte. Les VLAN n’authentifient pas les appareils ou les utilisateurs. Un port de commutateur mal configuré ou un appareil malhonnête sur le bon VLAN permet de contourner l’ensemble du contrôle. Comme nous l’avons souligné dans notre guide sur la segmentation du réseau en 2026, les approches basées sur les VLAN ont du mal à gérer les modèles d’accès dynamiques et basés sur l’identité qu’exigent les environnements modernes.
Les serveurs de saut sont une solution de contournement courante pour l’accès à distance à l’OT. Dans la pratique, ils deviennent des goulots d’étranglement et des cibles. Le personnel les contourne lorsqu’ils ralentissent les tâches de maintenance urgentes. Les attaquants les ciblent parce qu’un seul serveur de saut compromis donne accès à tout ce qui se trouve derrière lui.
| Approche | Force | Limites en OT |
|---|---|---|
| Pare-feu DMZ | Familier, bien compris | Gestion complexe des règles, pas de protection intra-segment |
| Segmentation VLAN | Faible coût, utilisation des commutateurs existants | Pas d’authentification, risque de dérive de configuration |
| Serveurs de saut | Point d’accès centralisé | Point de défaillance unique, souvent contourné |
| VPN traditionnel | Tunnel crypté | Large accès une fois connecté, pas de contrôle par application |
Les normes telles que la norme IEC 62443 recommandent de diviser les environnements OT en zones et en conduits, chaque zone regroupant les actifs ayant des exigences de sécurité similaires et les conduits contrôlant la communication entre les zones. Pour les entreprises de taille moyenne qui ne disposent pas d’équipes dédiées à la sécurité des technologies de l’information, la mise en œuvre de cette architecture à l’aide de pare-feu et de réseaux locaux virtuels traditionnels est souvent trop coûteuse et trop complexe à maintenir.
Comment l’isolation en ligne comble le fossé entre les technologies de l’information et de la communication (IT) et l’informatique (OT)
Le problème de base est simple. Les dispositifs OT ne peuvent pas exécuter d’agents de sécurité. Ils ne peuvent pas s’authentifier à l’aide de protocoles modernes. Ils ne peuvent pas faire l’objet de correctifs réguliers. Pourtant, ils doivent communiquer avec des systèmes informatiques spécifiques pour apporter une valeur ajoutée à l’entreprise.
L’isolation en ligne résout ce problème en plaçant l’application au niveau du réseau, physiquement entre l’appareil et le reste du réseau. Le contrôleur d’accès à l’isolation du réseau (NIAC) de Jimber se place en ligne avec les appareils sans agent et applique les politiques de communication par appareil sans toucher à l’appareil lui-même.
Comment fonctionne la NIAC dans la pratique. L’appliance matérielle est déployée entre un dispositif OT (un PLC, un HMI, un capteur ou un contrôleur industriel) et le commutateur du réseau. Il inspecte et contrôle tout le trafic qui le traverse sur la base de règles d’autorisation explicites. Un automate qui doit communiquer avec un serveur MES spécifique bénéficie d’une politique autorisant exactement ce chemin. Toutes les autres communications sont bloquées par défaut.
Cette approche offre trois avantages que les outils traditionnels ne peuvent pas offrir.
Application d’une politique par appareil. Chaque dispositif sans agent dispose de ses propres règles de communication. Un capteur compromis ne peut rien atteindre au-delà de son chemin défini. Les mouvements latéraux se heurtent à une impasse à chaque limite de dispositif.
Prise en charge de protocoles autres que HTTP. De nombreuses solutions ZTNA ne gèrent que le trafic TCP/HTTP. Les environnements OT reposent sur des protocoles tels que Modbus, BACnet, EtherNet/IP et PROFINET, qui utilisent souvent des flux UDP ou TCP non standard. Le NIAC de Jimber gère à la fois le trafic TCP et UDP, ce qui le rend compatible avec la réalité protocolaire des réseaux industriels.
Aucune interruption de la production. Aucun logiciel n’est installé sur le dispositif OT. Aucun changement de micrologiciel. Pas de redémarrage. Le NIAC fonctionne de manière transparente, en appliquant une politique sans modifier le comportement ou la disponibilité de l’appareil. Dans les environnements où le moindre redémarrage est synonyme de perte de production, il ne s’agit pas d’une commodité mais d’une exigence.
Comme NIAC est géré par la même console Jimber qui gère les politiques ZTNA, SWG et SD-WAN, les équipes IT ont une vue unique de la sécurité IT et OT. Il n’y a pas d’outil de sécurité OT distinct à apprendre, ni de console supplémentaire à surveiller.
Connexion des réseaux d’usine étape par étape
Passer d’une frontière IT-OT non protégée à l’application de la confiance zéro ne nécessite pas un projet sur plusieurs années. La plateforme Jimber permet une approche progressive qui commence à apporter de la valeur dès la première semaine.
Étape 1 : inventaire de tous les actifs d’OT
Vous ne pouvez pas protéger ce que vous ne connaissez pas. Cartographiez chaque appareil du réseau OT : PLC, HMI, capteurs, historiens, postes de travail d’ingénierie. Enregistrez les versions des microprogrammes, les schémas de communication et la criticité de l’entreprise. Cet inventaire devient la base des décisions politiques et répond également aux exigences de gestion des actifs de NIS2.
Étape 2 : définir les voies de communication
Pour chaque dispositif OT, documentez exactement les systèmes qu’il doit atteindre. Un automate programmable peut avoir besoin de communiquer avec un serveur MES et un poste de travail d’ingénierie. Un historien peut avoir besoin de recevoir des données de 50 capteurs et d’envoyer des rapports à une plateforme de BI. Supprimez toutes les voies de communication qui ne sont pas strictement nécessaires. Il s’agit du principe du moindre privilège appliqué au niveau du réseau, aligné sur les cinq principes de confiance zéro qui devraient guider chaque décision d’accès.
Étape 3 : déployer l’isolation en ligne pour les appareils critiques
Commencez par les appareils les plus à risque : ceux qui contrôlent les processus physiques, manipulent des données sensibles ou sont les plus exposés. Déployez le matériel NIAC en ligne et configurez les règles d’autorisation définies à l’étape 2. Exécutez d’abord en mode surveillance pour vérifier que le trafic légitime circule correctement avant de passer en mode exécution.
Étape 4 : intégrer les politiques de ZTNA en matière d’accès aux ressources humaines
L’accès des fournisseurs et de la maintenance aux systèmes OT devrait passer par le ZTNA de Jimber plutôt que par les VPN traditionnels. Chaque technicien dispose d’un accès limité dans le temps et basé sur l’identité à des appareils spécifiques. Les contrôles de posture des appareils pour NIS2 garantissent que seuls les terminaux conformes peuvent initier des connexions. Finis les tunnels VPN étendus qui exposent l’ensemble du segment OT.
Étape 5 : contrôler, rendre compte et affiner
Lorsque le NIAC et le ZTNA sont tous deux actifs, tous les accès aux dispositifs OT passent par des canaux contrôlés par les politiques. La console Jimber permet d’enregistrer de manière centralisée qui a accédé à quoi, quand et à partir de quel appareil. Cette piste d’audit soutient directement les obligations de rapport d’incident de NIS2 et les exigences de documentation de CyberFundamentals (CyFun). Révisez les politiques tous les trimestres, ajoutez de nouveaux appareils au fur et à mesure qu’ils sont mis en ligne et renforcez les règles au fur et à mesure que vous gagnez en confiance.
Pour un examen plus approfondi de la manière dont ces principes s’appliquent à des environnements de production spécifiques, consultez notre guide SASE pour la production.
Questions fréquemment posées sur la convergence IT-OT
Quelle est la différence entre la sécurité informatique et la sécurité opérationnelle ?
La sécurité informatique protège la confidentialité, l’intégrité et la disponibilité des données dans les systèmes d’entreprise tels que le courrier électronique, l’ERP et les applications en nuage. La sécurité OT protège les processus physiques contrôlés par les automates, les IHM et les systèmes SCADA, où la disponibilité et la sécurité sont prioritaires par rapport à la confidentialité. Le défi de la convergence est que les outils informatiques supposent que vous puissiez installer des agents et appliquer des correctifs régulièrement, ce que les environnements OT ne peuvent souvent pas prendre en charge.
Pouvez-vous appliquer la confiance zéro aux appareils qui ne prennent pas en charge l’authentification moderne ?
Oui. L’isolation en ligne basée sur le matériel applique la confiance zéro au niveau du réseau sans que l’appareil lui-même n’ait besoin de prendre en charge l’authentification, le cryptage ou un logiciel agent. L’appliance NIAC agit comme un point d’application de la politique entre l’appareil et le réseau, contrôlant toutes les communications sur la base de règles d’autorisation explicites.
Le NIS2 s’applique-t-il aux entreprises manufacturières ?
Le NIS2 couvre un large éventail de secteurs, notamment la fabrication de produits chimiques, de denrées alimentaires, d’appareils médicaux, d’équipements électriques et d’autres produits critiques. Les organisations classées comme entités « importantes » ou « essentielles » doivent mettre en œuvre des mesures de sécurité basées sur le risque, qui comprennent la segmentation du réseau, le contrôle de l’accès et le signalement des incidents. En Belgique, le cadre des Cyberfondamentaux offre une voie structurée vers la conformité au NIS2.
En quoi l’isolation en ligne diffère-t-elle d’un pare-feu traditionnel ?
Un pare-feu se situe généralement à la frontière entre les zones du réseau et applique des règles au trafic qui franchit cette frontière. L’isolation en ligne opère au niveau de l’appareil individuel, en contrôlant exactement les chemins de communication que chaque appareil peut utiliser. Cela permet d’obtenir une granularité de microsegmentation sans la complexité de la gestion de milliers de règles de pare-feu dans plusieurs zones.
Qu’est-ce que le modèle Purdue et est-il toujours d’actualité ?
Le modèle Purdue est une architecture de référence qui organise l’automatisation industrielle en niveaux hiérarchiques, depuis les processus physiques (niveau 0) jusqu’aux réseaux d’entreprise (niveaux 4-5), en passant par les systèmes de contrôle (niveaux 1-2) et les opérations (niveau 3). Le modèle reste un cadre conceptuel utile, mais la convergence IT-OT a érodé sa stricte séparation en couches. Les approches modernes complètent la structure de Purdue par des principes d’architecture de confiance zéro qui vérifient chaque connexion, quel que soit le niveau du réseau.
La convergence IT-OT peut-elle se faire sans arrêt de production ?
Oui, lorsque la couche de sécurité est appliquée au niveau du réseau plutôt que sur les appareils eux-mêmes. Le matériel d’isolation en ligne tel que NIAC est déployé entre l’appareil et le commutateur sans modifier la configuration de l’appareil. Les politiques peuvent être testées en mode surveillance avant d’être appliquées. Cette approche protège la continuité de la production tout en renforçant la sécurité de manière incrémentale.
Prêt à combler le fossé entre vos réseaux IT et OT sans mettre la production en danger ? Réservez une démonstration pour voir comment le matériel NIAC de Jimber et la plateforme SASE unifiée vous permettent d’appliquer la politique Zero Trust à tous les appareils de l’usine, gérés à partir d’une seule console.
