/ Réglementation & Sécurité / Cybersécurité industrielle : pourquoi vos usines sont la nouvelle cible des pirates et comment les protéger
Publié le 17 mai 2024

Contrairement à une idée reçue, appliquer les politiques de sécurité informatique (IT) à l’usine (OT) ne la protège pas, mais l’expose à des risques de paralysie.

  • La priorité absolue en OT n’est pas la confidentialité des données, mais la disponibilité continue des opérations physiques.
  • Protéger l’OT exige de « traduire » les principes de cybersécurité dans le langage de l’ingénierie, en cartographiant, segmentant et planifiant pour le pire.

Recommandation : Cessez d’imposer les règles IT et commencez à collaborer avec les équipes d’ingénierie pour bâtir une culture de sécurité bilingue IT/OT, adaptée aux réalités canadiennes.

En tant que Directeur de la sécurité de l’information (RSSI), vous avez passé des années à fortifier le réseau de votre entreprise. Firewalls, authentification multi-facteurs, détection d’intrusions… Le monde de l’informatique (IT) est votre territoire. Mais lorsque vous franchissez la porte de l’usine, ces certitudes s’effritent. Les machines qui tournent 24/7, les systèmes de contrôle âgés de plusieurs décennies et les capteurs connectés par milliers ne répondent pas aux mêmes règles. Vous faites face au monde de la technologie opérationnelle (OT), un univers où un simple scan de vulnérabilités peut provoquer un arrêt de production et où un rançongiciel ne chiffre pas des fichiers, mais peut bloquer une chaîne de montage entière.

Beaucoup pensent qu’il suffit d’étendre les politiques de sécurité du bureau à l’atelier. C’est la platitude la plus dangereuse. C’est oublier que l’IT et l’OT parlent deux langues différentes avec des objectifs divergents. Mais si la véritable clé n’était pas d’imposer un dictionnaire, mais de devenir le traducteur ? Si votre mission n’était plus seulement de protéger les données, mais de garantir la sécurité physique et la continuité des opérations en traduisant vos compétences pour ce nouvel environnement ? C’est un changement de paradigme fondamental.

Cet article n’est pas une liste d’outils à acheter. C’est un guide de traduction pour vous, le RSSI, qui devez naviguer entre ces deux mondes. Nous allons d’abord décoder les différences fondamentales entre IT et OT. Ensuite, nous verrons comment cartographier ce territoire inconnu, le cloisonner stratégiquement, préparer une réponse aux crises spécifiques à l’OT et, surtout, comment faire des opérateurs vos meilleurs alliés. Enfin, nous explorerons comment cette démarche, loin d’être une simple dépense, peut devenir un investissement rentable, notamment via vos obligations envers des organismes comme la CNESST.

Pour vous guider dans cette transition essentielle, voici un aperçu des étapes que nous allons parcourir ensemble. Ce sommaire vous permettra de naviguer à travers les concepts clés pour transformer votre approche de la sécurité et protéger efficacement le cœur productif de votre entreprise.

Sommaire : Protéger les opérations industrielles : le manuel du RSSI pour la sécurité OT

IT vs OT : pourquoi les règles de cybersécurité de votre bureau ne s’appliquent pas à votre usine

La différence fondamentale entre la sécurité IT et OT ne réside pas dans la technologie, mais dans les priorités. Dans votre monde IT, le mantra est la triade Confidentialité, Intégrité, Disponibilité (CIA). Protéger les données est l’objectif suprême. En OT, l’ordre est inversé : Disponibilité, Intégrité, Confidentialité. Une minute d’arrêt de production peut coûter des dizaines de milliers de dollars. Un serveur de courriel inaccessible est un inconvénient ; une presse hydraulique incontrôlable est un danger mortel. C’est ce changement de perspective qui doit guider chacune de vos décisions.

Les systèmes OT, comme les automates programmables (PLC) ou les systèmes de contrôle-commande (SCADA), ont été conçus pour fonctionner de manière fiable pendant des décennies, pas pour être patchés chaque mois. Lancer un scan de vulnérabilités, une pratique courante en IT, peut surcharger ces systèmes fragiles et les faire planter. De même, les protocoles de communication industrielle (Modbus, Profinet) ont été créés pour la vitesse et l’efficacité, souvent sans aucune forme d’authentification ou de chiffrement. Ils partaient du principe que le réseau était physiquement isolé. Ce n’est plus le cas aujourd’hui.

Ce fossé culturel explique pourquoi les cybercriminels ciblent de plus en plus les environnements industriels. Ils savent que les défenses y sont souvent moins matures et l’impact d’une attaque, bien plus dévastateur. Le contexte canadien est particulièrement préoccupant, avec plus de 72% des PME canadiennes ayant été victimes de cyberattaques en 2024. Ignorer ces différences n’est plus une option. Votre rôle de traducteur commence ici : comprendre que la sécurité en usine ne doit jamais se faire au détriment de la production, mais en soutien à sa résilience.

Vous ne pouvez pas protéger ce que vous ne voyez pas : comment cartographier les actifs connectés de votre usine

Avant de pouvoir protéger votre réseau OT, vous devez savoir ce qui s’y trouve. Cette étape, souvent négligée, est la plus critique. Contrairement à l’IT où des outils de scan actif peuvent dresser un inventaire en quelques heures, l’OT exige une approche plus délicate. Vous devez adopter une découverte passive : écouter le trafic réseau pour identifier les appareils, les protocoles utilisés et les flux de communication sans jamais risquer d’interférer avec les opérations.

Commencez par collaborer avec les ingénieurs de l’usine. Ils connaissent leurs équipements mieux que quiconque. Votre travail est de traduire leurs schémas de procédé et d’instrumentation (P&ID) en une carte réseau intelligible. Qui communique avec qui ? Quel automate contrôle quel moteur ? Quel capteur envoie des données à quel serveur ? Cette cartographie n’est pas seulement un exercice technique ; c’est un dialogue qui jette les ponts entre l’IT et l’OT. Cet inventaire doit inclure les versions de firmware, les systèmes d’exploitation (souvent obsolètes) et les ports ouverts.

Ce travail de visibilité peut littéralement sauver des vies et préserver des infrastructures critiques. Dans un rapport récent, le Centre de la sécurité des télécommunications (CST) a révélé avoir déjoué une attaque d’un groupe étatique contre une infrastructure essentielle canadienne. L’accès initial s’était fait via un dispositif mal sécurisé, et seule une surveillance fine des actifs a permis de détecter et neutraliser la menace avant qu’elle ne cause des dommages physiques.

L’inventaire de vos actifs connectés est votre première ligne de défense. C’est la base sur laquelle toutes les autres mesures de sécurité, comme la segmentation, seront construites. Sans cette visibilité, vous naviguez à l’aveugle dans un environnement à haut risque.

Vue macro détaillée d'un capteur industriel connecté avec circuits électroniques visibles

Chaque capteur, chaque automate, comme celui visualisé ci-dessus, représente une porte d’entrée potentielle. La complexité de ces systèmes, souvent perçus comme de simples « boîtes noires », cache une surface d’attaque que vous devez impérativement comprendre et maîtriser.

Cloisonnez votre réseau d’usine comme un sous-marin : le principe de la segmentation pour limiter les dégâts

Imaginez votre usine comme un sous-marin. Si une brèche s’ouvre dans un compartiment, vous devez pouvoir l’isoler immédiatement pour empêcher l’eau d’inonder tout le navire. C’est exactement le principe de la segmentation de réseau en OT. Votre objectif est de diviser le réseau de l’usine en zones plus petites et isolées (des « compartiments ») pour qu’une compromission dans une zone ne puisse pas se propager à l’ensemble des opérations.

Historiquement, les réseaux OT étaient « plats » : tous les équipements pouvaient communiquer entre eux sans restriction. C’est un cauchemar en matière de sécurité. La segmentation utilise des pare-feux industriels et des VLANs pour créer des barrières logiques. La communication entre les zones est alors strictement contrôlée : seuls les flux absolument nécessaires sont autorisés. Par exemple, une cellule de robotique n’a aucune raison de communiquer directement avec le système de gestion du bâtiment.

Pour structurer cette segmentation, le modèle Purdue est la référence de l’industrie. Il organise l’architecture réseau en plusieurs niveaux hiérarchiques, des capteurs et actionneurs physiques (Niveau 0) jusqu’au réseau d’entreprise (Niveau 5). Votre rôle de traducteur est d’utiliser ce modèle comme langage commun avec les ingénieurs pour définir où placer les frontières et quelles règles de sécurité appliquer à chaque niveau. Une zone démilitarisée (DMZ) industrielle doit être créée entre le monde IT (Niveau 4/5) et le monde OT (Niveau 0-3) pour filtrer et inspecter tout le trafic transitant entre les deux.

La mise en place d’une architecture segmentée est un projet complexe, mais c’est l’un des contrôles de sécurité les plus efficaces en environnement industriel. Pour vous aider à visualiser cette structure, le tableau suivant, basé sur une analyse détaillée du modèle Purdue, résume les fonctions et les mesures de sécurité par niveau.

Niveaux du modèle Purdue pour l’architecture OT
Niveau Purdue Fonction Exemples d’équipements Mesures de sécurité recommandées
Niveau 0-1 Processus physiques et contrôle direct Capteurs, actionneurs, PLC Isolation physique, pas de connexion directe Internet
Niveau 2 Supervision locale HMI, SCADA local Segmentation VLAN, firewall industriel
Niveau 3 Opérations de production Serveurs MES, historiens DMZ industrielle, authentification forte
Niveau 4-5 Réseau d’entreprise ERP, bureautique Firewall état, monitoring continu

Rançongiciel dans l’usine : le plan de réponse à incident que vous devez avoir préparé

Le scénario est votre pire cauchemar : un lundi matin, les écrans de supervision des opérateurs (HMI) affichent une demande de rançon. La chaîne de production est à l’arrêt. Chaque minute qui passe coûte une fortune. Dans ce moment de panique, votre seule bouée de sauvetage est un plan de réponse à incident (PRI) spécifiquement conçu pour l’OT. Votre PRI IT ne fonctionnera pas. Ici, la priorité n’est pas de récupérer des fichiers, mais de redémarrer des processus physiques en toute sécurité.

Ce plan doit être écrit, testé et connu de tous les acteurs clés : l’équipe IT, les ingénieurs d’usine, la direction et même le service juridique. Il doit définir clairement qui appeler, dans quel ordre, et quelles sont les premières actions à mener. L’objectif premier est de contenir l’incident (grâce à votre segmentation !) et d’évaluer l’étendue de la compromission. L’exemple de la cyberattaque contre Suncor Energy en juin 2023, qui a paralysé les paiements dans les stations Petro-Canada à travers le pays, illustre parfaitement comment un incident OT peut avoir des répercussions directes sur les opérations commerciales et l’image de marque.

Le plan doit aussi aborder la question délicate du paiement de la rançon. C’est une décision d’affaires complexe, qui doit prendre en compte les avis juridiques, les clauses de votre cyberassurance et la probabilité réelle de récupérer des systèmes fonctionnels. Au Canada, la réalité est dure : une enquête révèle que 67% des PME canadiennes ont payé une rançon au cours des trois dernières années. Avoir des sauvegardes hors ligne et testées régulièrement est votre seule véritable alternative.

Votre plan doit inclure un carnet de contacts d’urgence. En situation de crise, vous n’aurez pas le temps de chercher les bons numéros. Voici les contacts essentiels à préparer pour le contexte canadien :

Votre carnet d’adresses de crise OT pour le Canada

  • Contact 1 : Centre canadien pour la cybersécurité (1-833-CYBER-88) – Pour une assistance technique immédiate et une coordination nationale.
  • Contact 2 : Avocat spécialisé en cyber-risques – Avec une expertise de la Loi 25 (Québec) ou de la LPRPDE (fédéral) pour gérer les obligations de notification.
  • Contact 3 : Votre assureur cyber – Pour vérifier les clauses de votre contrat concernant la réponse à incident et le paiement de rançon avant toute décision.
  • Contact 4 : Firme de réponse aux incidents OT certifiée – Des partenaires spécialisés (ex: Fortinet, Palo Alto) qui ont l’expertise pour intervenir sur des systèmes industriels.
  • Contact 5 : Commissaire à la protection de la vie privée – L’autorité provinciale et/ou fédérale à notifier en cas de brèche de données personnelles.
  • Contact 6 : Conseiller en relations publiques – Pour gérer la communication de crise avec les clients, les employés et les médias.

La cybersécurité en usine, c’est aussi l’affaire des opérateurs : comment les sensibiliser

Vous pouvez avoir les meilleurs pare-feux du monde, mais votre maillon le plus faible reste souvent l’humain. En milieu industriel, ce n’est pas l’employé de bureau qui clique sur un lien de phishing qui est le plus grand risque, mais l’opérateur ou le technicien de maintenance qui, avec les meilleures intentions du monde, branche une clé USB infectée ou un ordinateur portable non autorisé sur un panneau de contrôle pour faire un diagnostic.

Pour les opérateurs, la cybersécurité est un concept abstrait. Votre mission de traducteur est de la rendre concrète et pertinente pour leur quotidien. Oubliez les formations génériques sur les mots de passe. Parlez leur langage. Traduisez la menace cyber en risque physique : « Un rançongiciel sur ce système pourrait dérégler la pression de cette valve et causer un accident. » Montrez-leur que les mesures de sécurité ne sont pas là pour leur compliquer la vie, mais pour protéger leur sécurité, celle de leurs collègues et, ultimement, leur emploi.

Opérateur d'usine en formation regardant un panneau de contrôle industriel sécurisé

L’engagement passe par des actions positives et non par la peur. Au lieu de punir les erreurs, récompensez les bons comportements. Mettez en place un programme de « gamification » de la cybersécurité, en collaboration avec le comité de santé et sécurité au travail (SST) et les représentants syndicaux, comme ceux d’Unifor ou de la CSN, très présents dans l’industrie canadienne. L’objectif est de faire de chaque opérateur un capteur de menace humain.

Voici quelques idées pour un programme de sensibilisation ludique et efficace :

  • Défi « USB Mystère » : Offrez une prime à ceux qui rapportent les clés USB trouvées dans l’usine sans les brancher.
  • Simulation d’ingénierie sociale : Attribuez des points ou une reconnaissance à ceux qui signalent des tentatives de manipulation (un faux technicien au téléphone, un courriel suspect demandant des informations sur une machine).
  • Prime à l’anomalie : Encouragez et récompensez les opérateurs qui identifient et rapportent des comportements inhabituels sur leurs équipements (lenteurs, redémarrages inattendus), qui peuvent être les premiers signes d’une cyberattaque.
  • Règle d’or mobile : Ne jamais connecter un téléphone personnel à un équipement industriel, même pour le recharger. Organisez un tirage trimestriel parmi les équipes respectant cette règle.

Sécurité de l’IoT : comment protéger les milliers de nouvelles portes d’entrée que vous créez dans votre réseau

L’Internet des objets industriel (IIoT) est une révolution. Des capteurs intelligents sur vos machines permettent une maintenance prédictive, une optimisation de la consommation d’énergie et une visibilité sans précédent sur vos opérations. Cependant, chaque capteur, chaque vanne connectée, chaque caméra de surveillance est une nouvelle porte potentielle dans votre réseau. Multipliées par des milliers, ces portes créent une surface d’attaque massive que les pirates sont prompts à exploiter. Le marché de la technologie intelligente devrait d’ailleurs dépasser les 1000 milliards de dollars canadiens d’ici 2030, soulignant l’ampleur du phénomène.

La sécurité de ces dispositifs est souvent le parent pauvre. Beaucoup sont conçus pour être bon marché et faciles à déployer, avec des mots de passe par défaut, des logiciels non patchables et des communications non chiffrées. En tant que RSSI, vous devez imposer des exigences de sécurité dès le processus d’achat. Ne laissez pas le choix des équipements uniquement aux équipes d’ingénierie ou d’approvisionnement, qui privilégieront le coût et la fonctionnalité.

Votre rôle est d’établir une politique d’acquisition stricte pour tout nouvel appareil connecté. Chaque appel d’offres doit inclure un questionnaire de sécurité détaillé. Les fournisseurs doivent prouver que leurs produits sont conçus selon les principes de « security by design ». Cela inclut la conformité aux normes industrielles comme l’IEC 62443, une politique de mise à jour claire et un respect des lois canadiennes sur la protection des données comme la Loi 25 au Québec ou la LPRPDE au niveau fédéral.

Plan d’action : auditez la sécurité de votre parc IoT

  1. Points de contact : Dressez la liste exhaustive de tous les appareils IoT sur votre réseau. Identifiez chaque capteur, actionneur, caméra et passerelle connectée qui émet un signal.
  2. Collecte : Inventoriez les éléments critiques pour chaque appareil : versions de firmware, protocoles de communication utilisés (ex. LoRaWAN, NB-IoT), ports ouverts et données collectées.
  3. Cohérence : Confrontez l’architecture actuelle aux standards comme le modèle Purdue et la norme IEC 62443. Les appareils sont-ils dans le bon segment réseau ? Communiquent-ils de manière sécurisée ?
  4. Mémorabilité/émotion : Repérez les points de défaillance uniques et critiques. Quel est l’impact métier si cet appareil est compromis ? Est-ce un simple capteur de température ou la commande d’une vanne critique ?
  5. Plan d’intégration : Établissez un plan d’action priorisé. Quels appareils nécessitent une mise à jour urgente ? Lesquels doivent être isolés dans un segment réseau plus restrictif ? Quels sont ceux à remplacer ?

Comment votre performance en sécurité peut vous faire économiser des milliers de dollars sur votre facture de la CNESST

Au Québec et dans les autres provinces canadiennes, le lien entre la cybersécurité OT et la santé et sécurité au travail (SST) est direct, bien que souvent ignoré. En tant qu’employeur, vous avez une obligation de diligence raisonnable pour garantir un environnement de travail sécuritaire. Or, une cyberattaque qui manipule un robot, désactive un capteur de sécurité ou provoque une surpression dans une cuve peut entraîner un accident de travail grave, voire mortel.

Cet incident ne serait pas seulement une crise cyber, mais aussi un accident du travail relevant de la Commission des normes, de l’équité, de la santé et de la sécurité du travail (CNESST) ou de l’organisme provincial équivalent. Une enquête démontrerait que l’accident a été causé par une défaillance de sécurité. Si vous ne pouvez pas prouver que vous avez pris des mesures raisonnables pour protéger vos systèmes OT, votre entreprise pourrait être tenue pour responsable, avec des conséquences financières et juridiques considérables, incluant une hausse de vos cotisations.

La bonne nouvelle, c’est que l’inverse est aussi vrai. En documentant rigoureusement votre stratégie de cybersécurité OT, vous construisez un dossier solide de diligence raisonnable. Chaque audit, chaque formation d’opérateur, chaque pare-feu industriel installé est une preuve que vous prenez ce risque au sérieux. Vous devez intégrer formellement les cyber-risques OT dans votre programme de prévention SST. C’est un argument puissant pour justifier les investissements en sécurité auprès de votre direction : ce n’est pas un coût, c’est une protection contre des risques financiers bien réels.

Voici les étapes concrètes pour lier votre stratégie cyber à vos obligations SST :

  • Étape 1 : Identifier et évaluer formellement les risques de sécurité physique découlant d’une cyberattaque dans votre analyse de risques SST annuelle.
  • Étape 2 : Documenter vos mesures de protection cyber (segmentation, surveillance, etc.) comme des contrôles de risques physiques, au même titre qu’un garde de sécurité sur une machine.
  • Étape 3 : Former spécifiquement votre comité SST aux liens de cause à effet entre une attaque informatique et un accident industriel.
  • Étape 4 : Intégrer des points de contrôle de cybersécurité de base (ex: ports USB non utilisés, armoires de contrôle verrouillées) dans les tournées d’inspection de sécurité régulières.
  • Étape 5 : Conserver méticuleusement tous les rapports d’audit, preuves de formation et politiques de sécurité OT comme documentation de votre diligence.

À retenir

  • Le langage de l’OT est différent : La priorité absolue n’est pas la confidentialité des données (IT), mais la disponibilité et la sécurité des opérations physiques (OT).
  • La segmentation est votre assurance-vie : Cloisonner votre réseau d’usine comme un sous-marin est la mesure la plus efficace pour contenir une attaque et limiter les dégâts.
  • La sécurité est une affaire humaine et physique : Impliquer les opérateurs et intégrer les risques cyber dans votre programme de santé et sécurité (CNESST) transforme une dépense technique en un investissement dans la résilience et la sécurité des personnes.

La sécurité au travail n’est pas une dépense, c’est votre meilleur investissement

Au terme de ce parcours, il est clair que la cybersécurité industrielle n’est pas qu’une simple extension de l’IT. C’est une discipline à part entière, un changement culturel qui vous place, en tant que RSSI, dans un rôle de pont et de traducteur. Votre mission n’est plus seulement de protéger des bits et des octets, mais de contribuer directement à la sécurité des personnes, à la continuité de la production et à la pérennité financière de votre entreprise.

L’investissement dans la sécurité OT peut sembler coûteux, surtout dans un contexte où, selon une étude, 70% des PME canadiennes manquent de personnel qualifié en cybersécurité. Cependant, le coût de l’inaction est infiniment plus élevé. Il se mesure en arrêts de production, en accidents de travail, en rançons payées, en perte de confiance des clients et en sanctions réglementaires. Chaque dollar investi dans la cartographie, la segmentation et la formation est un investissement dans la résilience opérationnelle.

L’adoption généralisée de technologies sans contact augmente l’exposition des Canadiens aux activités de cybermenace, comme le vol de données, la fraude et l’extorsion.

– Centre canadien pour la cybersécurité, Évaluation des cybermenaces nationales 2023-2024

Cette observation du Centre canadien pour la cybersécurité s’applique avec une acuité particulière au monde industriel. La transformation numérique de vos usines est inévitable et souhaitable. Mais elle doit être menée avec une conscience aiguë des nouveaux risques qu’elle engendre. Votre rôle est d’être le gardien de cette transformation, en vous assurant qu’elle se fait de manière sécurisée et durable.

Commencez dès aujourd’hui. Engagez la conversation avec vos collègues ingénieurs. N’arrivez pas avec des politiques à imposer, mais avec des questions à poser. Proposez de bâtir ensemble ce pont entre l’IT et l’OT. C’est en devenant ce traducteur indispensable que vous transformerez la sécurité d’un centre de coût en un véritable avantage stratégique pour votre entreprise.

Rédigé par Mathieu Bouchard, Mathieu Bouchard est un avocat spécialisé en droit des affaires et réglementaire, fort de 18 ans de pratique au sein de firmes montréalaises. Il se consacre à la vulgarisation des enjeux de conformité pour les entreprises québécoises.
Articles récents
L’économie circulaire : cessez de vendre des produits, commencez à construire des boucles de valeur
La chasse aux gaspillages est ouverte : comment le ‘Lean Manufacturing’ peut transformer la productivité de votre PME
Cesser de regarder dans le rétroviseur : comment l’analyse prédictive vous aide à piloter votre entreprise en regardant vers l’avenir
L’Internet des Objets pour l’industrie : le guide d’architecture pour connecter votre usine de manière intelligente et sécurisée
La croissance à tout prix, c’est fini : comment bâtir une entreprise qui prospère sur le long terme