[TRIBUNE de Guillaume Crinon, KEYFACTOR] Dans les secteurs industriels et les infrastructures critiques, la cybersécurité ne se limite plus à un enjeu informatique. Elle conditionne la continuité des opérations, des installations et la fiabilité des services essentiels. À partir de ses analyses, Keyfactor, spécialiste de la confiance numérique, alerte sur un risque largement sous-estimé : la fragilité des mécanismes de confiance au cœur des environnements OT. Explications de Guillaume Crinon Directeur IoT Business Strategy de Keyfactor.

Les systèmes industriels garantissent la continuité de de la production sur les chaines de fabrication, connectent et délivrent des services en temps réel - parfois essentiels au regard de la réglementation NIS2 - protègent la sécurité des personnes et sont indispensables à la stabilité économique de l’entreprise. De fait, la disponibilité prime sur la protection de la donné.

Or, à mesure que les environnements IT (Information Technology, gestion des données de l'information, au sens large du terme) et OT (Operational Technology, gestion des données d'exploitation industrielles) convergent, une rupture de confiance numérique peut entraîner des conséquences en cascade.

Dans ce contexte, une confiance numérique fragile qu’il s’agisse d’une identité machine compromise ou d’un certificat défaillant ou expiré, peut suffire à provoquer des interruptions non planifiées, parfois sur des installations critiques, avec des effets en cascade sur l’ensemble des opérations.

Des infrastructures devenues vulnérables

De nombreuses infrastructures industrielles reposent encore sur des équipements déployés il y a plusieurs décennies. Automates, capteurs et systèmes de contrôle ont été conçus pour des réseaux isolés sans authentification forte ni chiffrement des communications, pas pour des environnements connectés comme aujourd’hui.

Cette réalité opérationnelle limite fortement les stratégies de remplacement rapide et impose aux industriels de composer avec des environnements hybrides, mêlant systèmes anciens et technologies connectées, souvent répartis sur des sites distants.

La fin de l’isolement opérationnel

L’essor de la maintenance à distance, des accès fournisseurs, de la supervision centralisée et de l’analyse en temps réel a progressivement fait disparaître la frontière entre systèmes informatiques et opérationnels. Cette convergence IT/OT, désormais incontournable pour la performance industrielle, crée néanmoins une dépendance accrue à des mécanismes de confiance robustes.

Il suffit désormais d’un seul compte IT compromis pour ouvrir un accès direct aux systèmes de contrôle industriels critiques.

Passer d’une défense réactive à une résilience proactive

Aujourd'hui, sécuriser les infrastructures critiques impose un changement de paradigme. La résilience repose sur trois piliers complémentaires :

1 - Visibilité et fondations de confiance. Impossible de protéger ce que l’on ne voit pas. La première étape consiste à cartographier l’ensemble des actifs OT et à déployer une PKI (Public Key Infrastructure) déstinée aux environnements industriels, indépendante de l’IT, afin de fournir une identité numérique fiable à chaque équipement nécessitant un ou plusieurs certificat x.509 pour s’authentifier sur le réseau local et authentifier leur communication.

C’est aujourd’hui le cas pour 95% des composants et machines industrielles qui sont connectées à des switches ethernet en usine et utilisent des protocoles tels OPC-UA qui implémentent TLS pour protéger leur communication.

2 - Segmentation pour contenir les menaces. Plutôt qu’un réseau plat, Keyfactor recommande une segmentation fine par zones fonctionnelles, par site ou par niveau de criticité. Cette approche limite drastiquement le rayon d’impact d’une attaque et empêche sa propagation.

3 - Automatisation de la gestion des certificats. La gestion manuelle des certificats à grande échelle n’est plus viable. L’automatisation du cycle de vie des certificats permet de réduire les interruptions de service, de renforcer la conformité réglementaire et d’introduire une véritable crypto-agilité, indispensable face aux nouvelles vulnérabilités.