Les enjeux de la mise en conformité NIS 2 pour les responsables du secteur industriel
L'essentiel de votre hack'tu cybersécurité
- Répondre aux défis de conformité NIS 2 : afin de répondre aux exigences réglementaires strictes, les responsables OT doivent sécuriser leurs infrastructures, parfois obsolètes, sans perturber les opérations de production ;
- Conseils pour l'intégration de mesures de cybersécurité : l'intégration de la cybersécurité dans les systèmes OT existants nécessite une planification minutieuse, une collaboration entre équipes IT et OT, et peut impliquer des investissements dans de nouvelles technologies pour éviter des interruptions de production ;
- Une approche proactive et collaborative : les responsables OT doivent adopter une posture proactive en évaluant les risques, en segmentant les réseaux, et en formant des équipes transverses pour aligner les mesures de cybersécurité avec les besoins opérationnels, transformant ainsi la conformité en un atout stratégique.
Alexandre Ayoubi, Global Product Manager chez Orange Cyberdefense, explique les principaux défis rencontrés par les responsables OT (Operational Technology ou Technologies d'exploitation) en matière de conformité NIS 2.
Quel est le principal défi à relever pour les responsables du secteur OT en matière de conformité NIS 2 ?
Alexandre Ayoubi : Le plus grand défi pour les responsables OT en matière de conformité avec la directive NIS 2 est de sécuriser l’existant sans perturber le bon déroulement des opérations de production. Contrairement aux systèmes informatiques, la conception des infrastructures OT n’a pas pris en compte le facteur cybersécurité. Ces infrastructures reposent souvent sur des technologies obsolètes, avec une faible visibilité qui limite considérablement l’identification de vulnérabilités ainsi que la détection d’intrusions. De plus, la convergence croissante des réseaux OT et IT étend la surface d’attaque.
Plus ces systèmes sont connectés aux réseaux Cloud et ceux des entreprises, plus ils sont exposés. Et il faut être très vigilant sur le fait que les approches de cybersécurité traditionnelles pour le secteur IT ne s’appliquent pas forcément à celui de l’OT. Vous ne pouvez pas déployer un patch ou une mise à jour de sécurité à n’importe quel moment. Un "gel", même temporaire, des ressources concernées, peut impliquer des retards de production, une perturbation de la chaîne d’approvisionnement ou supply chain et entraîner des risques pour la sécurité physique des techniciens sur site.
Et puis la réglementation est aujourd’hui un élément essentiel. La Directive NIS 2 apporte des exigences plus strictes en matière de gestion des risques, de reporting et de gouvernance. De nombreuses équipes du secteur OT ne disposent pas de l'expertise nécessaire en cybersécurité pour « naviguer » au cœur de ces complexités. L’objectif principal à avoir en tête est l'implémentation de mesures de cybersécurité robustes, garantissant la continuité de l’activité. Il faut trouver l'équilibre parfait entre la conformité, la résilience opérationnelle et la cybersécurité, sans que cela impacte la productivité.
Pourquoi l’intégration de mesures de cybersécurité au sein des systèmes OT existants est-elle nécessaire ?
Alexandre Ayoubi : L’intégration de nouvelles mesures de cybersécurité pour sécuriser le périmètre de son activité et répondre aux exigences réglementaires en matière de conformité représente un défi de taille. De nombreux systèmes OT ont été conçus en ommettant un paramètre aujourd'hui essentiel que la cybersécurité. De fait, leur mise en conformité au regard des exigences de la Directive NIS 2 peut s’avérer à la fois complexe et coûteuse.
L’audit approfondi d’un système OT existant est souvent nécessaire pour élaborer un plan stratégique et remédier à ses points de vulnérabilités, sans perturber le bon déroulement des opérations. Les environnements OT étant ultra spécifiques et interconnectés, l’intégration de mesures de sécurité difficile est une étape complexe, pouvant apporter son lot d’imprévus. L’application d’un correctif de sécurité ou la simple mise à jour d’un logiciel peut par exemple entraîner l’arrêt du système. Cela peut perturber la production et provoquer des pertes financières.
Les systèmes OT ont généralement un long cycle de vie, et s’appuient souvent sur une technologie obsolète, ne disposant pas de fonctions modernes dédiées à la cybersécurité. Il est donc difficile d'intégrer de nouvelles mesures de sécurité sans procéder à une refonte complète de l'infrastructure. Les besoins en détection des menaces et en surveillance continue nécessitent des solutions avancées et des stratégies de réponse aux incidents robustes.
C’est pourquoi une collaboration étroite entre les équipes IT et OT est essentielle. Leurs priorités et compétences sont bien souvent différentes, ce qui entraîne des problèmes de communication. Les responsables OT doivent favoriser un cadre de travail collaboratif. Ils doivent s'assurer que ces équipes soient bien en phase sur l'importance de la cybersécurité et les étapes nécessaires à la conformité NIS 2.
En résumé, l'intégration de mesures de cybersécurité dans les systèmes OT existants implique un investissement dans de nouvelles technologies, une planification minutieuse, une surveillance continue et une collaboration étroite entre les équipes IT et OT. En relevant ces défis, les responsables OT peuvent renforcer la sécurité de leurs systèmes et répondre aux exigences de mise en conformité NIS 2, sans altérer l’efficacité opérationnelle.
Il est essentiel d'intégrer la cybersécurité dans les processus opérationnels, plutôt que de la considérer comme un fardeau dicté par la conformité. Alexandre Ayoubi, Global Product Manager chez Orange Cyberdefense.
Comment les responsables OT peuvent-ils trouver le bon équilibre entre efficacité opérationnelle et mise en conformité ?
Alexandre Ayoubi : Les responsables OT peuvent gérer l’équilibre entre efficacité opérationnelle et conformité en adoptant une approche de la sécurité basée sur les risques. Ils doivent donner la priorité à la résilience plutôt qu'à des contrôles rigides et implémenter des mesures de cybersécurité adaptées, alignées sur les processus industriels.
Les temps d'arrêt sont une vraie problématique dans le domaine de l’OT. C'est pourquoi les responsables se concentrent sur la segmentation de leurs ressources. En d’autres termes, ils cloisonnent leurs réseaux IT et OT afin de limiter le risque d’exposition face aux attaques et assurer une productivité continue. En intégrant des outils de surveillance continue et de détection des menaces offrant une visibilité en temps réel, ils peuvent ainsi traiter les risques de manière proactive, sans avoir à subir un arrêt brutal de leurs systèmes critiques.
Une autre stratégie consiste à intégrer progressivement les protocoles de cybersécurité nécessaires, au lieu de déployer des changements radicaux qui pourraient perturber la production. Cela implique l'introduction de mécanismes de défense à plusieurs niveaux, tels que l’approche « Zero Trust » et les contrôles d'accès au réseau, afin de minimiser l'impact sur les opérations quotidiennes.
La conformité NIS 2 implique également une gouvernance solide. Les responsables OT doivent travailler en étroite collaboration avec les équipes chargées de la réglementation et de la sécurité, pour veiller à ce que les politiques de cybersécurité soient conformes aux besoins opérationnels et aux normes industrielles. Ils doivent investir dans des programmes de formation pour améliorer les compétences des équipes, en veillant à ce qu’elles puissent reconnaître les menaces et y répondre efficacement sans dépendre uniquement d'une expertise externe.
En fin de compte, il est essentiel d'intégrer la cybersécurité dans les processus opérationnels, plutôt que de la considérer comme un fardeau supplémentaire, dicté par la conformité. En positionnant la cybersécurité au centre de la résilience industrielle, les responsables OT peuvent sécuriser leur infrastructure tout en maintenant sa fiabilité et son efficacité.
Quels sont vos conseils pour les responsables OT qui n'auraient pas encore amorcé leur mise en conformité NIS 2 ?
Alexandre Ayoubi : La clé est d'aborder la conformité NIS 2 de manière proactive plutôt que réactive. Au lieu de se précipiter pour respecter les échéances réglementaires, il faut profiter de cette occasion pour créer un environnement informatique plus résilient et plus sûr.
Tout d'abord, je recommande une évaluation complète des risques. Les responsables du secteur OT ont besoin d'une visibilité totale de leur infrastructure, ce qui est essentiel pour bien répertorier, connaître et monitorer leurs ressources. Ils seront alors en capacité d'identifier les vulnérabilités de leur infrastructure, notamment au niveau des interconnexions IT et cloud. Cette compréhension essentielle contribuera à établir une feuille de route de mise en conformité et à combler les lacunes les plus critiques de leur cybersécurité.
Ensuite, il est essentiel d'adopter une posture de surveillance continue et de cloisonnement. L'un des principaux risques de cybersécurité dans le domaine de l'OT est lié à l'absence de restrictions dans la gestion de la connectivité. Une segmentation solide et une surveillance en temps réel du réseau sont deux atouts essentiels. La mise en application de ces deux critères peut limiter les risques d'exposition face aux cyberattaques et faciliter la détection des menaces au stade le plus précoce, sans pour autant perturber la productivité.
De plus, une bonne collaboration entre les équipes est tout aussi essentielle. La conformité ne concerne pas uniquement les technologies d'exploitation... La mise en conformité impacte également l'informatique, la sécurité, la gestion des risques et la Direction. C'est pourquoi je recommande aux responsables du secteur OT de former des équipes de travail transverses. Ils pourront ainsi s'assurer que les mesures de cybersécurité soient parfaitement alignées avec les besoins opérationnels et les objectifs commerciaux de l'entreprise.
Adopter une approche progressive peut également être utile. Il n'est pas nécessaire de revoir l'ensemble de votre infrastructure du jour au lendemain. Concentrez-vous sur les points d'amélioration les plus rapides à mettre en place. Vous pouvez ainsi débuter par le renforcement des contrôles d'accès sur site et à distance, mais aussi muscler votre capacité de réponse aux incidents. Une fois cette première étape passée, vous pourrez ensuite mettre progressivement en œuvre des mesures de cybersécurité plus avancées.
Enfin, traitez la conformité comme un atout et non comme une simple case à cocher. Respecter les exigences de conformité de la Directive NIS 2 ne sert pas seulement à éviter les amendes, mais aussi à renforcer la résilience face aux cyberattaques. Profitez de cette opportunité pour moderniser vos dispositifs dédiés à la cybsécurité et en faire une partie intégrante de votre activité. Etre proactif dès aujourd'hui vis-à-vis de NIS 2 vous permettra de moins subir les enjeux de conformité sur le long terme.
- Le 02 avril 2025, France PCS et Orange Cyberdefense ont annoncé un partenariat autour de l’adoption de la solution Micro SOC pour sécuriser la gestion des ports Français ;
- La solution Micro SOC détecte proactivement les tentatives de cyberattaque et contribue à apporter une réponse adaptée pour isoler la cybermenace ;
- Ludovic Jamart, Directeur Conseil & Audit chez Orange Cyberdefense, nous en dit plus sur ce partenariat fort, qui pourrait bien ouvrir un nouveau canal pour la protection du secteur maritime et portuaire.