Un automate de contrôle-commande planté en pleine nuit sur un réseau d’eau potable, sans procédure de reprise documentée : on a tous vu ce scénario, ou un proche équivalent. La protection des systèmes critiques (Critical System Protection) ne se résume pas à empiler des couches de sécurité réseau. Elle commence par une compréhension fine de ce qui tourne réellement sur les machines, de qui y accède, et de ce qui se passe quand un composant lâche.
Les infrastructures critiques (énergie, transport, eau, santé) partagent un point commun : leurs systèmes de contrôle ont été conçus pour durer des décennies, souvent sans intégrer la cybersécurité dès l’origine. Appliquer des bonnes pratiques de Critical System Protection sur ces environnements demande une approche adaptée au terrain, pas un copier-coller de recettes IT classiques.
A lire également : Trois objectifs clés de la sécurité informatique : protection, détection et réaction
Verrouiller les postes de contrôle avant de penser au réseau
Sur une infrastructure critique, la première surface d’attaque n’est pas le pare-feu périmétrique. C’est le poste opérateur, souvent un système ancien sous Windows embarqué ou Linux durci a minima, connecté directement aux automates.
Le durcissement du poste de contrôle précède toute segmentation réseau. Concrètement, on parle de listes blanches applicatives (seuls les exécutables autorisés tournent), de désactivation des ports USB non utilisés, et de verrouillage des comptes locaux avec des droits strictement limités au rôle opérationnel.
A voir aussi : Sécurité de l'information : identifier le maillon faible pour renforcer votre protection
Sur les systèmes SCADA ou DCS, la difficulté est que les éditeurs imposent parfois des prérequis logiciels incompatibles avec un durcissement agressif. On se retrouve à négocier entre le fournisseur du système de contrôle et la politique de sécurité interne. Les retours varient sur ce point : certains exploitants obtiennent des dérogations documentées, d’autres requalifient entièrement le poste.
Gestion des accès et des identités sur les systèmes critiques
Dans les environnements IT classiques, on déploie un annuaire centralisé et on applique du MFA partout. Sur un réseau industriel, les automates et les IHM ne supportent souvent ni Active Directory ni authentification multifacteur. On travaille donc avec des comptes locaux, parfois partagés entre opérateurs sur un même poste.
La bonne pratique consiste à mettre en place un bastion d’accès (jump host) entre le réseau bureautique et le réseau de contrôle. Toute connexion passe par ce point unique, qui journalise les sessions et impose une authentification forte côté utilisateur, même si le système cible ne la gère pas nativement.
- Bastion d’administration dédié au réseau OT, avec enregistrement vidéo des sessions sur les postes de contrôle les plus sensibles
- Comptes nominatifs sur le bastion, même quand le compte sur l’automate reste générique, pour garantir la traçabilité
- Revue trimestrielle des droits d’accès, en croisant la liste des comptes actifs avec les plannings d’astreinte réels
- Suppression immédiate des accès des prestataires en fin d’intervention, via un workflow de désactivation automatique
Ce dispositif ne supprime pas le problème des comptes partagés sur les automates, mais il crée une couche d’imputabilité qui manque cruellement dans la majorité des installations industrielles.
Segmentation réseau OT : ce que la directive NIS2 change sur le terrain
La segmentation entre réseau IT et réseau OT est un principe connu depuis le modèle Purdue. Ce qui change avec la directive NIS2 et la directive CER sur la résilience des entités critiques, c’est que ces pratiques deviennent légalement contraignantes pour les opérateurs d’infrastructures critiques en Europe.
Au Luxembourg, par exemple, la loi sur la résilience des entités critiques impose la notification des incidents ayant un impact significatif, la désignation d’un correspondant sécurité, et la formalisation de plans de sécurité et de continuité d’activité. On passe de la recommandation au contrôle administratif.
Segmenter ne suffit pas sans supervision
Poser des pare-feu entre zones IT et OT, c’est la base. Le vrai sujet, c’est la supervision du trafic à l’intérieur du réseau OT. Les protocoles industriels (Modbus, OPC-UA, Profinet) sont rarement chiffrés. Une sonde de détection d’intrusion positionnée sur le réseau industriel repère les comportements anormaux : requêtes inhabituelles vers un automate, scan de ports, modification de firmware non planifiée.
Sans cette visibilité, on peut segmenter autant qu’on veut : un attaquant qui a franchi la DMZ industrielle se déplace latéralement sans déclencher la moindre alerte.
Plan de continuité et reprise d’activité pour installations critiques
La protection des systèmes critiques ne s’arrête pas à la prévention. Quand un incident survient (cyberattaque, défaillance matérielle, erreur humaine), la question devient : en combien de temps remet-on le système en état opérationnel ?
Un plan de continuité testé régulièrement fait la différence entre quelques heures d’arrêt et plusieurs jours. Sur les infrastructures critiques, « régulièrement » signifie au minimum un exercice par an en conditions réalistes, avec les équipes d’astreinte réelles, pas uniquement un document PDF relu en comité.
- Sauvegardes hors ligne des configurations automates et des programmes SCADA, stockées sur un support déconnecté du réseau
- Procédure de reprise manuelle documentée pour chaque sous-système, testée avec les opérateurs terrain
- Identification préalable des fournisseurs capables d’intervenir sous astreinte pour le remplacement de matériel spécifique (automates, cartes d’E/S, switches industriels)
Les obligations issues de la directive CER formalisent cette exigence : les entités critiques doivent désormais démontrer leur capacité de reprise, et pas seulement déclarer en posséder une.
Compétences et gouvernance : le maillon souvent sous-dimensionné
On investit dans les firewalls, les sondes, les bastions. On investit moins dans les personnes qui les exploitent au quotidien. Les profils capables de comprendre à la fois les protocoles industriels et les enjeux de cybersécurité restent rares.
Des formations spécialisées en cybersécurité opérationnelle pour infrastructures critiques commencent à se structurer dans l’enseignement supérieur français. Des fiches de poste dédiées apparaissent aussi dans les administrations, comme celle de chargé d’études en protection des infrastructures critiques au Luxembourg.
Côté gouvernance, la désignation d’un correspondant sécurité unique, exigée par les nouvelles réglementations, clarifie les responsabilités. Sur le terrain, cela signifie qu’une personne identifiée coordonne la remontée d’incidents, le suivi des plans de sécurité et le lien avec les autorités compétentes.
La protection des infrastructures critiques ne repose pas sur une technologie miracle. Elle tient à la rigueur d’exécution : des postes durcis, des accès tracés, une segmentation supervisée, un plan de reprise testé, et des équipes formées pour faire tourner l’ensemble. Les nouvelles contraintes réglementaires européennes ne font que rendre explicite ce que les exploitants sérieux appliquaient déjà.
