L’industrie manufacturière a été le secteur le plus ciblé par les cyberattaques pendant cinq années consécutives, représentant près de 28 % de tous les incidents recensés par IBM X-Force en 2025. Le problème n’est pas la prise de conscience. La plupart des équipes de production savent qu’elles courent un risque. Le problème est la mise en œuvre. Les automates, les IHM et les capteurs industriels ne peuvent pas exécuter d’agents de sécurité. Ils fonctionnent sur des systèmes d’exploitation en temps réel qui ne laissent pas de place aux logiciels d’extrémité. La sécurité informatique traditionnelle s’arrête à la porte de l’usine.
Les plates-formes SASE avec isolation en ligne basée sur le matériel changent cette équation. Elles étendent les contrôles Zero Trust à l’atelier de production sans toucher aux appareils eux-mêmes et sans perturber les opérations. Ce guide explique en quoi les réseaux de production sont différents, comment l’isolation en ligne fonctionne en pratique et ce que les fabricants du marché intermédiaire doivent évaluer avant leur échéance CyFun en avril 2026.
Comment sécuriser un réseau de production sans perturber les opérations ?
Vous placez une isolation matérielle en ligne entre chaque appareil sans agent et le réseau. L’appliance d’isolation applique des politiques de communication par appareil, permettant à un automate de n’atteindre que son serveur MES et bloquant tout le reste. Aucun logiciel n’est installé sur l’appareil. Aucun remaniement du réseau n’est nécessaire. Le déploiement s’effectue appareil par appareil pendant les fenêtres de maintenance planifiées, et la ligne de production continue à fonctionner pendant toute la durée du déploiement.
Pourquoi l’industrie manufacturière est la cible privilégiée (et pourquoi la sécurité informatique n’est d’aucune aide)
Les ransomwares frappent l’industrie plus durement que tout autre secteur pour une raison simple : les temps d’arrêt sont synonymes de perte de production, et la perte de production est synonyme de paiement. Selon Siemens et Forrester, les temps d’arrêt non planifiés coûtent aux entreprises industrielles environ 125 000 dollars par heure en moyenne. Dans la construction automobile, ce chiffre dépasse les 2 millions de dollars par heure. Lorsque des attaquants cryptent des systèmes de production, la pression pour payer est immédiate et immense.
La surface d’attaque ne cesse de s’étendre. Les données d’IBM X-Force de 2025 montrent une augmentation de 44 % des attaques exploitant des applications accessibles au public, qui constituent désormais le principal vecteur d’entrée avec 40 % de tous les incidents de fabrication. Les voleurs d’informations, les campagnes d’hameçonnage générées par l’IA et les compromissions de la chaîne d’approvisionnement complètent le paysage des menaces. Les fabricants belges sont confrontés aux mêmes groupes actifs dans tout le Benelux : Qilin, Akira et Clop ont comblé le vide laissé par LockBit.
Les outils de sécurité informatique traditionnels ne permettent pas de résoudre ce problème. Les logiciels de détection et de réponse des points finaux nécessitent un agent sur chaque appareil. Les pare-feu protègent le périmètre mais ne peuvent pas voir ou arrêter les mouvements latéraux à l’intérieur du réseau. Les antivirus détectent les signatures connues mais ne détectent pas les nouvelles attaques sur les protocoles industriels. Un automate programmable fonctionnant sous VxWorks avec 64 Mo de RAM ne peut héberger aucun de ces outils.
La réponse n’est pas un autre outil de surveillance boulonné sur le réseau. Il s’agit d’une plateforme qui isole chaque appareil au niveau du réseau, sans agents, sans interruption de la production.
En quoi les réseaux de production diffèrent-ils des réseaux informatiques ?
La convergence IT-OT n’est pas un concept futur. Elle est déjà à l’œuvre dans la plupart des usines de taille moyenne. Les données de production circulent entre les automates, les systèmes MES et les plateformes ERP. Les techniciens de télémaintenance se connectent aux IHM depuis leur domicile. Les données des capteurs alimentent les tableaux de bord d’analyse en nuage. Chacune de ces connexions crée un chemin qu’un pirate peut suivre.
Le modèle Purdue, qui séparait traditionnellement l’IT et l’OT en niveaux distincts avec un vide entre les deux, s’est largement effondré. Le niveau 3.5 (la zone démilitarisée) était censé être le seul point de passage. Dans la pratique, les connexions directes entre le niveau 2 (systèmes de contrôle) et le niveau 4 (informatique d’entreprise) sont courantes.
Ce qui rend ces réseaux fondamentalement différents des environnements informatiques :
| Aspect | Réseau informatique | Réseau de production |
|---|---|---|
| Cycle de mise à jour | Rustines mensuelles | Années entre les mises à jour |
| Prise en charge des agents | Standard sur tous les points d’extrémité | Rarement possible |
| Tolérance de temps d’arrêt | Fenêtres de maintenance planifiée | Tolérance proche de zéro |
| Protocoles | TCP/IP, HTTPS | Modbus TCP, BACnet, EtherNet/IP, PROFINET |
| Priorité à la sécurité | Confidentialité | Disponibilité de l’information |
| Contraintes des fournisseurs | Écosystème ouvert | Configurations certifiées, garantie annulée en cas de changement |
La combinaison des protocoles est plus importante que ne le reconnaissent la plupart des vendeurs de sécurité. Modbus fonctionne sur TCP. BACnet fonctionne sur UDP. EtherNet/IP utilise à la fois TCP et UDP. PROFINET fonctionne à la couche 2. Les outils de sécurité qui n’inspectent que le trafic TCP passent à côté d’une grande partie de la communication OT. Le NIAC (Network Isolation Access Controller) de Jimber gère le trafic TCP et UDP à partir d’une seule appliance, ce qui constitue un avantage concret par rapport aux solutions limitées à l’inspection TCP uniquement, comme le montre la comparaison avec FortiSASE.
Comment l’isolation en ligne sécurise les dispositifs qui ne peuvent pas se protéger eux-mêmes
C’est là que la conversation passe du problème à la solution. Et la solution a un nom.
Le NIAC de Jimber se situe physiquement entre l’appareil sans agent et le reste du réseau. Il s’agit d’un dispositif matériel qui applique des politiques de communication par appareil au niveau du réseau. Un automate ne peut communiquer qu’avec son serveur MES. Une IHM peut accéder à la base de données de l’historien et à rien d’autre. Toute autre tentative de connexion est bloquée et enregistrée.
Le NIAC utilise l’empreinte digitale des appareils basée sur l’intelligence artificielle pour identifier ce qu’est chaque appareil sans configuration manuelle. Il établit un profil des schémas de communication normaux, puis applique des politiques basées sur ce profil. Les protocoles TCP et UDP sont pris en charge. Tout cela est géré à partir de la même console cloud qui contrôle ZTNA, SWG, FWaaS et SD-WAN, ce qui signifie que l’équipe informatique n’a pas besoin d’un outil ou d’une interface distincte pour la sécurité du réseau de production.
Voici ce que cela donne en pratique.
Scénario 1 : Clé USB sur un VLAN partagé
Un technicien de maintenance branche une clé USB sur une IHM pour mettre à jour un fichier de recettes. La clé USB contient un logiciel malveillant qui infecte l’IHM. Sur un réseau plat traditionnel ou un VLAN partagé, ce logiciel malveillant recherche d’autres appareils et se propage en quelques minutes aux automates, aux historiens et aux postes de travail des ingénieurs.
Avec le NIAC de Jimber en place, l’IHM infectée ne peut communiquer qu’avec les systèmes spécifiques que sa politique autorise. L’analyse du réseau par le logiciel malveillant ne donne rien. La compromission reste circonscrite à un seul appareil. L’équipe de sécurité est alertée par la tentative de trafic anormal. La production se poursuit sur toutes les autres lignes.
Scénario 2 : Accès à distance du fournisseur par VPN
Un ingénieur externe doit dépanner un automate. L’approche standard est une connexion VPN qui donne accès à l’ensemble du segment du réseau OT. Le fournisseur voit chaque appareil, chaque protocole, chaque système sur ce segment.
Jimber remplace ce vaste VPN par le ZTNA : un accès limité dans le temps et par application. Le fournisseur n’accède qu’à l’automate spécifique dont il a besoin. La session est enregistrée de bout en bout. L’accès expire automatiquement à la fermeture de la fenêtre de maintenance. Aucun mouvement latéral n’est possible car le fournisseur n’entre jamais dans le réseau plus large.
Scénario 3 : Le ransomware passe de l’informatique à la production
Le ransomware chiffre les serveurs de fichiers sur le réseau informatique de l’entreprise. Il se propage à travers les partages SMB et se déplace vers le segment de production via un commutateur ou un routeur partagé. Sur un réseau traditionnel, le ransomware atteint les automates, les IHM et les historiens dans le même domaine de diffusion.
Avec l’isolation en ligne, chaque appareil de production se trouve derrière un NIAC qui n’autorise que ses voies de communication définies. L’automate communique avec le serveur MES et le serveur de mise à jour. Tout le reste est bloqué. Le mouvement latéral du ransomware se heurte à un mur à la frontière de chaque appareil. Le service informatique se remet de l’incident du ransomware alors que la production ne s’arrête jamais.
Pour une comparaison technique détaillée de la façon dont cela contraste avec les approches OT basées uniquement sur le périmètre, voir la comparaison des réseaux Cato.
NIS2 et IEC 62443 : ce que la conformité exige de votre réseau de production
Les entreprises manufacturières belges classées comme « entités importantes » dans le cadre du NIS2 sont confrontées à une échéance concrète. Le cadre CyberFundamentals (CyFun), administré par le Centre for Cybersecurity Belgium (CCB), exige une première vérification de la conformité d’ici avril 2026. La certification complète des entités essentielles suivra en avril 2027.
CyFun s’appuie sur des cadres internationaux tels que NIST CSF 2.0 et ISO 27001, mais ajoute des contrôles spécifiques à la Belgique. Pour les fabricants, les exigences pertinentes comprennent la segmentation du réseau et le contrôle de l’accès aux systèmes de production, la détection des incidents et les capacités d’enregistrement, la gestion des risques de la chaîne d’approvisionnement (y compris l’accès des fournisseurs aux environnements OT) et la responsabilité du conseil d’administration en ce qui concerne les mesures de cybersécurité.
La norme internationale IEC 62443 relative à la sécurité de l’automatisation industrielle complète la norme NIS2 avec son modèle de zones et de conduits. Elle exige des fabricants qu’ils définissent des zones de sécurité autour de groupes d’actifs ayant des exigences de sécurité similaires et qu’ils contrôlent toutes les communications qui traversent les limites de la zone par le biais de conduits définis.
L’isolation en ligne s’applique directement aux deux cadres. Chaque NIAC crée une zone de sécurité d’un appareil. Les politiques de communication définissent les conduits. Chaque décision d’accès est enregistrée.
La console de gestion unique de Jimber fournit la journalisation centralisée et la piste d’audit que les évaluateurs NIS2 attendent. Chaque décision d’accès, chaque flux de communication entre appareils et chaque changement de politique est enregistré en un seul endroit. Pour les fabricants classés comme entités importantes, la plateforme Jimber génère les preuves que les évaluations de conformité de CyFun exigent, sans assemblage manuel des journaux à partir de cinq outils différents.
Pour connaître l’ensemble des exigences de conformité NIS2 et une liste de contrôle pratique de la conformité NIS2, consultez les guides en lien. Le guide sur les vérifications de la posture des dispositifs couvre la manière dont les dispositifs gérés s’intègrent dans le même tableau de conformité.
Quels sont les éléments à prendre en compte lors du choix d’une solution de sécurité pour les entreprises de taille moyenne ?
Toutes les plateformes SASE ne sont pas conçues pour les environnements de production. Lors de l’évaluation des options, ces cinq critères permettent de distinguer les solutions qui fonctionnent en usine de celles qui ne fonctionnent qu’en centre de données.
1. Prise en charge des dispositifs sans agent : isolation en ligne ou surveillance uniquement
Les outils de surveillance passive d’OT tels que Claroty et Nozomi détectent les anomalies mais ne les bloquent pas. Ils vous indiquent que quelque chose n’a pas fonctionné. L’isolation en ligne permet d’éviter que cela ne se produise. Le NIAC de Jimber fournit une isolation en ligne basée sur le matériel, et non une surveillance passive. Il applique les politiques en temps réel, en bloquant les communications non autorisées avant qu’elles n’atteignent l’appareil cible.
2. Prise en charge des protocoles : TCP et UDP
Les environnements de production utilisent à la fois des protocoles basés sur TCP (Modbus, EtherNet/IP CIP) et des protocoles basés sur UDP (BACnet, PROFINET). Une solution de sécurité qui n’inspecte que le trafic TCP laisse la communication UDP sans surveillance et sans contrôle. Jimber prend en charge les protocoles TCP et UDP à partir de la même appliance.
3. Console unique pour les technologies de l’information et les technologies de la terre
Gérer la sécurité de la production à partir d’un outil séparé crée des angles morts et double la charge opérationnelle. Jimber gère les politiques NIAC, les règles d’accès ZTNA, la configuration SWG et la connectivité SD-WAN à partir d’une seule interface. L’équipe informatique voit l’ensemble du réseau, IT et OT, dans un tableau de bord unique.
4. Rapport de conformité NIS2
L’assemblage manuel des journaux à partir de plusieurs outils prend du temps et est source d’erreurs. L’enregistrement centralisé génère les preuves d’audit dont les évaluateurs de CyFun ont besoin. La console Jimber capture toutes les décisions politiques à travers chaque composant dans un journal consultable.
5. Déploiement sans interruption de la production
Toute solution qui nécessite une refonte du réseau, une restructuration des VLAN ou un temps d’arrêt prolongé n’est pas adaptée à un environnement de production. NIAC s’installe en ligne sans reconfigurer l’infrastructure réseau existante. Déploiement progressif, appareil par appareil, pendant les fenêtres de maintenance planifiées. Un atelier de production typique d’un marché intermédiaire comprenant 20 à 50 appareils sans agent peut être entièrement couvert en quelques jours, et non en quelques mois.
Pour une vision plus large de la manière dont l ‘architecture SASE réunit ces composants et dont la microsegmentation fonctionne au niveau de l’identité, les guides liés approfondissent chaque sujet. Le guide sur la segmentation du réseau couvre l’évolution des VLAN vers l’isolation basée sur l’identité.
Qu’est-ce que la sécurité des technologies de l’information et de la communication et en quoi diffère-t-elle de la sécurité des technologies de l’information ?
La sécurité OT se concentre sur la protection des systèmes qui contrôlent les processus physiques : PLC, HMI, systèmes SCADA, capteurs et actionneurs. La priorité est la disponibilité et la sécurité, et non la confidentialité. Les correctifs sont rares car les mises à jour peuvent perturber la production. Les appareils fonctionnent pendant des décennies. Les protocoles ne comportent pas d’authentification intégrée. La sécurité informatique suppose que vous puissiez installer des agents, appliquer des correctifs tous les mois et tolérer de brèves interruptions pour la maintenance. Aucune de ces hypothèses n’est valable dans une usine.
Puis-je sécuriser des automates sans y installer de logiciel ?
Oui. Un matériel d’isolation en ligne tel que le NIAC de Jimber s’interpose entre l’appareil et le réseau, appliquant des politiques de communication par appareil sans aucun logiciel sur l’automate lui-même. Le NIAC identifie l’appareil par l’empreinte du trafic, apprend ses schémas de communication normaux et bloque tout ce qui est en dehors de cette ligne de base. L’automate ne sait pas que le NIAC est là.
Le NIS2 s’applique-t-il aux entreprises manufacturières ?
Oui. L’industrie manufacturière est explicitement répertoriée comme un secteur dans le cadre du NIS2. Les entreprises des catégories de l’annexe I et de l’annexe II, qui comprennent les fabricants de dispositifs médicaux, d’électronique, de machines et d’équipements de transport, sont classées comme entités importantes ou essentielles en fonction de leur taille et de leur impact sociétal. En Belgique, le CCB utilise le cadre CyFun pour la vérification de la conformité. La première échéance est fixée à avril 2026. Pour en savoir plus, consultez la liste de contrôle complète de la conformité au NIS2.
Quelle est la différence entre SASE et les outils de monitoring d’OT tels que Claroty ou Nozomi ?
Les outils de surveillance OT offrent une visibilité sur le trafic du réseau industriel et détectent les anomalies. Ils sont utiles pour comprendre ce qui se passe sur votre réseau de production. Mais ils ne permettent pas d’appliquer des politiques ou de bloquer des communications non autorisées en temps réel. SASE avec isolation en ligne, comme le propose Jimber avec NIAC, combine la détection et la mise en application. Il ne se contente pas de vous indiquer qu’un automate a reçu une commande non autorisée. Il empêche la commande d’atteindre l’automate.
Qu’est-ce que la norme IEC 62443 et en ai-je besoin ?
La norme IEC 62443 est la norme internationale pour la sécurité des systèmes industriels d’automatisation et de contrôle. Elle définit un modèle de zone et de conduit dans lequel les actifs sont regroupés en zones de sécurité et toutes les communications entre zones passent par des conduits contrôlés. Bien qu’elle ne soit pas légalement obligatoire en Belgique, CyFun fait référence à ses principes et de nombreux fabricants de secteurs réglementés (pharmacie, alimentation, énergie) l’utilisent comme base de référence. L’isolation en ligne s’aligne naturellement sur la norme IEC 62443, car chaque appareil situé derrière un NIAC devient effectivement sa propre zone.
Combien de temps faut-il pour déployer l’isolation en ligne sur un site de production ?
Le NIAC de Jimber peut être déployé appareil par appareil pendant les fenêtres de maintenance planifiées. Aucun remaniement du réseau n’est nécessaire. L’appliance est placée en ligne, apprend les schémas de trafic normaux en mode de surveillance, puis passe en mode d’application une fois la base de référence établie. Un atelier de production typique d’un marché intermédiaire comprenant 20 à 50 appareils critiques peut être entièrement couvert en quelques jours, et non en quelques mois. Le déploiement est échelonné, de sorte que la production ne s’arrête jamais.
La plateforme SASE de Jimber apporte les mêmes contrôles Zero Trust que votre réseau informatique utilise déjà à l’atelier de production. Pas d’agents sur les automates. Pas de temps d’arrêt pendant le déploiement. Une seule console pour tout. Si votre échéance CyFun approche et que vos appareils de production ne sont toujours pas protégés, il est temps de combler cette lacune. Consultez le cas d’utilisation de la sécurité OT industrielle pour plus de détails sur le déploiement, ou réservez une démonstration pour voir l’isolation en ligne fonctionner sur des protocoles industriels réels.
