Actualités

Cybersécurité : les PME industrielles seront-elles prêtes ?

Retour

Cybersécurité : les PME industrielles seront-elles prêtes ?

Comme à son habitude, notre Communauté des Offreurs de Solutions du Grand Est avait organisé plusieurs présentations pédagogiques à l’occasion du Salon BE 5.0 Industries du futur qui s’est tenu à Mulhouse fin novembre. L’une des tables-rondes portait sur la cybersécurité des PME industrielles a permis d’informer et de proposer des solutions pour anticiper les réglementations à venir. 

Pour cette table-ronde, imaginée et animée par Bernard Bloch (ÉS), avec Jean-Christophe Marpeau (Référent National Cybersécurité, chargé du développement de CAP'TRONIC en Grand Est et Bourgogne Franche-Comté) et Emmanuel Esteves (Directeur Recherche et Développement d’Eureka Solutions), nos trois membres de la COS avaient invité autour d’eux Franck Bonnard (Consultant Connectivité et Cybersécurité des environnements convergés IT-OT - NXO France) et Christophe Corne (CEO de Systancia).


Le sujet de la cybersécurité industrielle est d’autant plus d’actualité que la transformation des industries repose sur une numérisation profonde des équipements et des protocoles de communication entre les machines et les opérateurs. Et dans ce contexte, la cybersécurité industrielle devient un levier de performance et de résilience, bien au-delà de la seule protection des données. Pourtant, la sécurité des équipements industriels connectés reste trop souvent sous-estimée, tant au niveau des industriels que des acteurs publics.

Franck Bonnard souligne que la cybersécurité commence déjà par la sécurité physique des accès aux lieux sensibles. « Encore aujourd’hui, on peut trop facilement entrer dans une entreprise et s’y promener. De même, pour des questions pratiques entre les exploitants et les sous-traitants, on trouve trop souvent les mêmes mots de passe sur les équipements d’une même usine. Il s’agit avant tout d’identifier et de protéger les failles. » Jean-Christophe Marpeau confirme : « La machine n’est pas malveillante, c’est l’humain qui peut l’être, volontairement ou non. Et quand on parle de cybersécurité, il faut d’abord que l’industriel assure sa sécurité physique et humaine. »

 « En matière de cybersécurité industrielle, on ne protège pas avec les mêmes priorités que pour un système d’information classique. Le gardien de hand a une protection adaptée pour continuer à jouer ; le CRS, lui, porte une armure contre la malveillance. En usine, si on met une armure trop lourde partout, on arrête la production. »

Dans une usine, la cybersécurité ne se résume pas aux serveurs et aux PC. Elle concerne les automates, les robots, les capteurs, les systèmes de supervision, la connectivité avec les partenaires et… les habitudes de terrain. Franck Bonnard (NXO) illustre ce point avec une métaphore parlante. « En matière de cybersécurité industrielle, on ne protège pas avec les mêmes priorités que pour un système d’information classique. Le gardien de hand a une protection adaptée pour continuer à jouer ; le CRS, lui, porte une armure contre la malveillance. En usine, si on met une armure trop lourde partout, on arrête la production. »
Autrement dit : sécuriser sans bloquer, et adapter le niveau de sécurité à la réalité du terrain : maintenance, continuité de production, accès distants des équipementiers, … Christophe Corne (Systancia) rappelle que les connexions de prestataires peuvent être un point de fragilité majeur : « Beaucoup d’attaques sont passées par des partenaires connectés au SI. Le client final doit garder la maîtrise des accès et la traçabilité. »

Des exemples concrets à ne pas suivre

  • Maintenance à distance imposée par un équipementier via un VPN propriétaire, sans maîtrise par l’industriel.
  • Partage de mots de passe pour accéder aux automates « parce que c’est plus simple ».
  • Machines neuves livrées avec des versions logicielles d’automates non à jour, donc vulnérables.

« Nous avons laissé tomber les VPN « ouverts » pour basculer sur un bastion (Cleanroom de Systancia), explique Emmanuel Esteves (Eureka Solutions) partage une réponse opérationnelle, côté éditeur logiciel. Chaque action est tracée, filmable si besoin, et surtout limitée aux droits nécessaires. »

Des jalons réglementaires majeurs à intégrer dès maintenant

  • La directive NIS 2 (Network and Information Security), active depuis active 2024), vise à renforcer la cyber-résilience des organisations dans l’Union Européenne.

  • La directive RED (Radio Equipment Directive), active depuis août 2025, impose des exigences de cybersécurité à tous les équipements connectés à Internet, y compris les objets connectés industriels (IoT). Elle oblige les fabricants et intégrateurs à garantir la sécurité des communications, la protection des données et la résilience des équipements.
  • Le nouveau Règlement Machine entrera en vigueur le 20 janvier 2027, avec l'obligation d'intégrer des exigences de cybersécurité dans la conception des machines à destination de l'industrie.
  • Le Cyber Resilience Act, en cours de mise en œuvre, prévoit des obligations de cybersécurité pour les produits numériques, avec une échéance fixée au 11 décembre 2027. Il s’accompagne de schémas de certification qui deviendront incontournables pour accéder à certains marchés ou répondre aux appels d’offres publics et privés.

Christophe Corne (Systancia) résume parfaitement l’onde de choc : « Avec NIS 2, on passe de quelques centaines à plus de 10 000 organisations concernées. Et surtout, les sous‑traitants entrent dans le périmètre. » Pour les PME, cela signifie deux réalités : Être directement concernées (si leur activité relève d’un secteur visé) ; Être indirectement concernées via leurs clients grands comptes qui leur exigeront des preuves de bonnes pratiques (gestion des comptes à privilèges, hygiène de sécurité, traçabilité, etc.).

Jean‑Christophe Marpeau (CAP’TRONIC) insiste sur le volet « security by design » : « La directive RED (IoT) impose la cybersécurité dès la conception : un fabricant ne peut plus mettre sur le marché un objet connecté sans prouver l’intégration d’exigences cyber. » Il souligne la montée en puissance du Règlement Machines (application annoncée en 2027), qui transfère des exigences cyber vers les automaticiens et mécaniciens : analyse de risques, revues de code et de design, alignement avec la norme IEC 62443. Enfin, le Cyber Resilience Act (CRA) instaure des obligations transversales (gestion des vulnérabilités, supply chain, correctifs), avec la perspective d’un « passeport numérique » des produits couplant éco‑conception et cyber‑conformité. « Le marché fera son œuvre : un produit non conforme ne sera pas achetable », conclut Jean‑Christophe.

Les 5 clés pour anticiper NIS 2
1.    Cartographier vos actifs IT et OT (qui se connecte, où, comment).
2.    Gouverner les accès privilégiés (bastion, justification, enregistrements, journaux).
3.    Segmenter et cloisonner le réseau usine (zones, conduits, « compartiments » pour éviter la propagation).
4.    Mettre à jour systématiquement firmwares et logiciels des automates et équipements.
5.    Tester et auditer régulièrement (diagnostic initial, revues annuelles, plan d’amélioration).
Astuce Grand Est : la Région cofinance les diagnostics cybersécurité réalisés par des prestataires référencés — un levier pour démarrer à coût maîtrisé.


Niveau de sécurité : viser juste, pas partout au maximum

La norme IEC 62443 fournit des niveaux de sécurité (SL1 à SL4). Franck Bonnard avertit contre la tentation du tout SL3 partout : « Si vous visez SL3 sur toute l’usine, vous n’y arriverez pas. Fixez le bon niveau au bon endroit, allez par petits pas, mettez l’argent là où l’impact est critique. »
Traduction pour néophytes :

  • SL1 : protection contre les erreurs (accidentelles).
  • SL2 : protection contre des malveillances « courantes ».
  • SL3 : protection contre des adversaires plus organisés (cybercriminalité).
  • SL4 : protection contre des acteurs étatiques.
4 étapes pour un plan d’action « IT‑OT »
1) Audit & cartographie
•    Photo à l’instant T du SI et de l’usine : prises réseau, automates, passerelles, outils de maintenance, annuaire AD, contrôle d’accès physique.
•    Priorisation des risques (disponibilité, intégrité, confidentialité en contexte industriel).
2) Architecture & bastion
•    Segmenter (zones & conduits), filtrer (pare‑feu OT), superviser (sondes).
•    Bastion d’accès privilégiés pour tous les accès distants (fournisseurs, éditeurs, infogérants).
3) Hygiène & correctifs
•    Mises à jour des automates et machines, interdiction des comptes partagés, principe du moindre privilège.
•    Journalisation et traçabilité — logs et, si besoin, enregistrement vidéo des sessions sensibles.
4) Organisation & formation
•    IT et OT travaillent ensemble : « l’IT sait comment sécuriser, l’OT sait ce qui doit parler à quoi ».
•    Procédures de PRA/PCA (reprise et continuité), exercices réguliers.


Des solutions existent et servent la productivité

La cybersécurité n’est pas une fin en soi : elle protège la production et accélère la reprise en cas d’incident. « Alliez connectivité et cybersécurité, avec un accès distant bien maîtrisé, c’est aussi redémarrer plus vite », résume Franck Bonnard, avant d’évoquer des exemples opérationnels comme l’ouverture d’accès temporaires au bon niveau de droits, avec traçabilité complète, la segmentation réseau pour éviter le « paquebot sans compartiments », les sondes OT pour détecter les anomalies « industrielles » (ex. changement de consigne sur un automate), ou encore la désactivation des passerelles ‘cachées’ installées par des équipementiers.

6 erreurs à éviter
1.    VPN sans bastion pour des prestataires externes.
2.    Comptes partagés et droits administrateurs par défaut sur les automates.
3.    Machines neuves non à jour (firmware/OS d’automates).
4.    Absence de segmentation : un incident se propage à toute l’usine.
5.    Audit unique ‘one‑shot’ : pas de suivi, pas de plan d’amélioration.
6.    IT et OT qui travaillent en silos : frictions, lenteurs, contournements risqués.


NIS 2, RED, Règlement Machines, CRA : la feuille de route se précise. Les PME industrielles doivent anticiper — non pas par contrainte réglementaire, mais pour protéger leur production, accélérer leurs redémarrages, et rester éligibles aux marchés et aux chaînes d’approvisionnement.

Des actions immédiates recommandées

  • Lancer un audit (profiter du cofinancement régional Grand Est).
  • Mettre en place un bastion pour tous les accès distants.
  • Segmenter le réseau industriel et mettre à jour les automates.
  • Organiser IT‑OT autour de procédures PRA/PCA et formations.

Bref, la cybersécurité industrielle n’est plus une option. Elle est un facteur clé de compétitivité, de conformité et de pérennité pour les entreprises industrielles. La transformation numérique ne peut réussir sans une sécurité robuste et réglementairement alignée.

Le rôle de la Communauté des Offreurs de Solutions du Grand Est

La COS Grand Est joue un rôle-clé : sensibiliser, mettre en relation les industriels avec des experts (intégrateurs, éditeurs, référents), orienter vers les dispositifs régionaux (diagnostics cofinancés), diffuser les bonnes pratiques et les normes de référence (IEC 62443, ISO 27001). 
N’hésitez pas à nous solliciter : nous sommes là pour vous aider à vous mettre en ordre de bataille.
 

Publié le : 09 Dec 2025

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites.