Une cybersécurité au service de l’efficacité et de la modernisation industrielle

L’informatique veut imposer des exigences de sécurité qui lui semblent adaptées aux systèmes opérationnels. Mais, pour les équipes métiers, ces mêmes exigences apparaissent souvent comme une contrainte pouvant impacter la production. Mais, pour les équipes métiers, ces mêmes exigences apparaissent souvent comme une contrainte pouvant impacter la production en ralentissant les processus ou nuisant à la productivité. Sans parler de la surcharge de travail sur des équipes déjà réduites.

Une cybersécurité pragmatique, orientée efficacité, devient alors indispensable. Elle doit soutenir les opérations industrielles tout en apportant les outils nécessaires pour simplifier et sécuriser les infrastructures.

Dans l’industrie, chaque seconde compte. Les processus sont en flux tendu, et une panne peut rapidement entraîner des arrêts de production coûteux. Pourtant, IT et OT fonctionnent encore trop souvent en silos, chacun focalisé sur ses propres priorités. D’un côté, les équipes IT assurent la sécurité des systèmes d’information ; de l’autre, les équipes OT gèrent les infrastructures de production. Ce cloisonnement crée une barrière invisible entre les deux, chacun se focalisant avant tout sur ses propres objectifs. La capacité à comprendre à la fois les enjeux de sécurité et les contraintes opérationnelles devient alors essentielle pour faciliter un dialogue clair, là où, bien souvent, IT et OT pensent ne pas avoir les mêmes priorités.

Le défi : démontrer que leurs enjeux se rejoignent. Que ce soit dans la transition vers la durabilité, la transformation digitale ou l’efficacité énergétique, la cybersécurité peut être un levier pour chaque acteur industriel. Dans ces domaines, il est essentiel de travailler avec des personnes qui comprennent les contraintes de chaque métier et qui savent parler à l’ensemble des parties prenantes. Plutôt qu’une surcharge, la cybersécurité, lorsqu’elle est bien pensée, devient un moteur de modernisation et d’optimisation.

Un exemple concret en matière de RSE met en lumière l’importance de ce dialogue. Lors du remplacement d’équipements dans les usines, l’absence d’un inventaire à jour et d’une connaissance de l’architecture physique, comme logique, pose de nombreux défis. Cette situation conduit à maintenir en fonctionnement des machines anciennes que l’on n’ose pas décommissionner, fonctionnant ainsi en parallèle des nouvelles. Ces équipements inutiles consomment de l’énergie et génèrent des coûts supplémentaires. Ici, un inventaire détaillé des équipements ainsi qu’une cartographie et sa matrice des flux permettent d’identifier les ressources obsolètes et de planifier leur retrait. Ce processus en mode projet aide non seulement à réduire les dépenses, mais aussi à améliorer la performance énergétique des sites industriels.

Plutôt que de viser une convergence IT/OT sur des infrastructures communes, l’objectif est donc de créer un dialogue qui simplifie et renforce les processus.

Les usines se modernisent, mais cette évolution doit être ordonnée. Pour être réellement efficace, elle nécessite une coordination entre les équipes IT et OT. La cybersécurité joue ici le rôle de passerelle, assurant que chaque action – mises à jour d’équipements, nouveaux outils, ou services – soit pensée et sécurisée. Dans le monde de l’OT, cependant, les échelles de temps diffèrent. Les transformations y sont plus lentes que dans l’IT et requièrent une modernisation progressive, jamais brutale.

Un œil externe, neutre, peut être un atout pour simplifier et sécuriser cette évolution. Ce partenaire apporte les outils et l’expertise pour structurer les actions, proposer de nouveaux services et faciliter les échanges d’informations. Pour être efficace, une partie de ses équipes techniques doit parler SCADA première langue et PLC deuxième langue. Une autre doit parler cybersécurité opérationnelle et ce, pour montrer la maîtrise de l’environnement global. Car les responsables d’usine sont souvent réticents devant certains dispositifs de sécurité. Par exemple, l’installation de sondes réseau, essentielle pour observer et protéger l’activité des équipements, est souvent perçue comme intrusive. Ajouter des capteurs ou des équipements de surveillance dans des environnements parfois vieillissants peut, là encore, être un défi. Une cybersécurité bien pensée doit s’intégrer sans surcharger les opérations, au contraire.

En facilitant le lien entre IT et OT, un tiers favorise une collaboration bénéfique. Par exemple, de nombreux RSSI se rendent rarement, voire jamais, dans les usines, rendant la cybersécurité déconnectée du terrain. Ce soutien extérieur apporte simplification et appui aux équipes métiers, sans risque de reproches en cas d’incident.

Un dialogue bien structuré entre IT et OT autour d’une cybersécurité réfléchie peut aussi générer des économies. Prenons les équipements inutilisés : sans gestion claire, d’anciens appareils redondants, comme routeurs et switchs, restent installés, consommant des ressources inutilement. Une simplification et une modernisation permettent de rationaliser, en remplaçant, par exemple, plusieurs switchs par un seul ou en installant des modèles managés, plus récents.

Les bénéfices se retrouvent aussi dans des exemples de modernisation. À l’aéroport, des systèmes optimisent le parcours des voyageurs : dès l’atterrissage, une application signale le tapis de livraison des bagages. En usine, un dialogue IT-OT améliore les processus de logistique. Quand l’informatique prend le relais dès le départ d’une commande, la réception et la facturation deviennent automatiques, réduisant les délais de paiement par trois ou quatre.

La simplification repose donc sur une cybersécurité intégrée et proactive, qui relie les métiers, facilite les opérations, et libère des ressources. Cette coordination permet aux usines de se moderniser en sécurité, en réalisant des gains concrets.

Créer un dialogue entre IT et OT est déjà un défi. Certaines directives, comme la NIS2, semblent favoriser (ou forcer) l’établissement de cette communication en posant des bases de collaboration et de sécurité. Cependant, le report de cette directive risque de freiner l’adoption de projets de cybersécurité, laissant les initiatives en suspens. Beaucoup craignent les coûts et la complexité, mais se limiter à cette vision passe à côté de l’essentiel : NIS2 est aussi une opportunité pour optimiser les opérations.

En modernisant les contrôles, en sécurisant les données, les entreprises libèrent des ressources, rationalisent les processus et renforcent leur compétitivité. Il s’agit de voir la « Big Picture » : une mise en conformité bien pensée ne se limite pas à cocher des cases, elle permet de structurer les pratiques et de réduire les coûts sur le long terme. En s’adaptant aux normes de NIS2 tout en respectant celle de l’IEC62443 qu’ils connaissent en général, les industriels gagnent en efficacité et en sécurité, faisant de la cybersécurité un atout stratégique pour une industrie moderne et résiliente.