La cybersécurité industrielle entre gouvernance, souveraineté technologique et IA

L’intervention d’ouverture réalisée par Anthony Di Prima, RSSI des périmètres industriels du groupe Orano, a mis en perspective la manière dont les industriels cherchent désormais à concilier résilience cyber et contraintes opérationnelles. Ce cadrage a donné le ton d’une journée centrée sur les arbitrages concrets auxquels se trouvent confrontées les organisations industrielles : protéger les environnements sensibles, préserver la production, qualifier les dépendances et intégrer la cybersécurité dans les mécanismes de décision.

La convergence IT/OT impose une nouvelle gouvernance

La table ronde consacrée à la convergence IT/OT a constitué l’un des temps forts de la journée. Les discussions ont montré que les difficultés rencontrées par les industriels ne relèvent plus uniquement de l’intégration technique entre systèmes d’information et environnements de production. Elles concernent désormais les mécanismes mêmes de gouvernance. Olivier Ligneul, Group CISO d’EDF, l’illustre de la manière suivante : « Le sujet relève d’abord d’une problématique de gouvernance et d’intégration entre deux univers distincts, celui de la production et celui du numérique ». Cette convergence impose donc d’inscrire la cybersécurité dans les circuits de décision industriels.

Les échanges ont également rappelé pourquoi la formule « Si cela fonctionne, alors nous n’y touchons pas » reste si présente dans les environnements OT. Elle traduit une logique de prudence industrielle : toute modification d’un système de production peut introduire un risque d’indisponibilité, de dérive opérationnelle ou d’impact sur la sûreté. Dans ces contextes, la cybersécurité doit composer avec des contraintes d’exploitation qui limitent les interventions directes sur les équipements.

Des cultures du risque encore différentes

Cette différence de culture reste au cœur des tensions entre équipes cybersécurité, directions industrielles et opérationnels de terrain. Helmi Rais, Group Cyber Security Practice Leader chez Expleo France, rappelle que « les industriels raisonnent d’abord en risque de production, de sécurité des personnes et d’environnement alors que la cybersécurité raisonne en confidentialité, intégrité et disponibilité ». 

Les temporalités accentuent encore cette complexité. Les cycles industriels s’inscrivent souvent sur plusieurs décennies alors que les menaces cyber évoluent à un rythme beaucoup plus rapide. Cette asymétrie limite les approches qui consisteraient à transposer directement dans l’OT les standards historiques du monde IT. Dans ce contexte, les intervenants ont insisté sur la nécessité de bâtir des instances d’arbitrage mieux préparées entre production, cybersécurité et métiers. Les décisions en situation de crise ne peuvent pas reposer sur des choix improvisés. Elles supposent des responsabilités clarifiées en amont, des protocoles connus et des circuits de décision partagés.

Les compétences hybrides deviennent indispensables

La question des compétences occupe également une place significative dans cette transformation. Les industriels recherchent désormais des profils capables de comprendre simultanément les contraintes opérationnelles des sites industriels et les exigences de cybersécurité.

Les automaticiens et les correspondants OT locaux apparaissent progressivement comme des acteurs de terrain particulièrement importants. Leur connaissance des équipements, des flux industriels et des contraintes d’exploitation facilite la traduction des exigences cyber dans des environnements où la disponibilité reste prioritaire. À l’inverse, les analystes cybersécurité doivent mieux comprendre le contexte usine afin d’éviter les erreurs d’interprétation sur les flux et alertes OT.

Cette convergence ne repose donc pas seulement sur des outils ou des architectures. Elle suppose une acculturation réciproque entre métiers industriels, équipes numériques et fonctions sécurité.

La virtualisation déplace le contrôle

Les échanges consacrés à la virtualisation, au cloud et plus globalement à la souveraineté technologique ont prolongé cette réflexion sous un autre angle : celui de la dépendance aux fournisseurs et aux infrastructures numériques. La modernisation des architectures industrielles repose de plus en plus sur des environnements virtualisés, des plateformes cloud et des solutions intégrées mêlant matériel, logiciel et services managés. Cette évolution modifie la nature du contrôle exercé par les industriels sur leurs propres systèmes.

Pour Pascal Steichen, CEO de la Luxembourg House of Cybersecurity, « La virtualisation ne doit pas conduire à perdre la capacité de réaction interne sur les actifs les plus sensibles ». Derrière les gains d’agilité, les débats ont donc souligné le déplacement du risque vers les couches d’administration, les mécanismes de mise à jour, les dépendances contractuelles et les plateformes d’hébergement.

La supply chain devient une grille d’analyse du risque

Ce déplacement du contrôle oblige les industriels à élargir leur lecture du risque au-delà de leurs seuls systèmes internes. Les composants matériels, les couches logicielles, les outils d’administration à distance, les mécanismes de maintenance et les services cloud participent tous à l’exposition globale des environnements industriels. La chaîne d’approvisionnement devient ainsi un axe d’analyse à part entière.

Cette problématique prend une dimension particulière dans un contexte géopolitique marqué par les tensions sur les chaînes d’approvisionnement et la dépendance européenne à certains fournisseurs technologiques. Les intervenants ont notamment souligné la difficulté pour l’Europe de disposer d’alternatives suffisamment matures sur certaines briques critiques.

Les textes réglementaires européens occupent désormais une place importante dans cette évolution. NIS2, le Cyber Resilience Act (CRA, règlement européen sur la cyber-résilience des produits numériques) et la révision du Cybersecurity Act (CSA 2) traduisent une montée en puissance des enjeux liés à la supply chain et à la confiance dans les produits numériques.

Les investissements cyber changent de registre

Lors de la table ronde consacrée à la cyber-résilience et à la robustesse industrielle, plusieurs intervenants ont insisté sur la nécessité de traduire les analyses de risques en impacts métiers compréhensibles pour les décideurs. Alexandre Magloire, chef de division adjoint à l’ANSSI (Agence nationale de la sécurité des systèmes d’information), souligne ainsi que « la cybersécurité protège avant tout l’activité opérationnelle, ce qui permet de repositionner les investissements comme des enjeux métiers plutôt que techniques ».

Cette évolution modifie les logiques budgétaires. Les investissements en cybersécurité OT ne sont plus seulement présentés comme des dépenses de conformité ou de protection informatique. Ils s’inscrivent davantage dans une logique de maîtrise de l’exposition économique et de limitation des interruptions d’activité.

L’IA élargit encore le périmètre de vigilance

La dernière partie de la journée a ouvert les débats aux impacts de l’IA sur les environnements industriels et les infrastructures critiques. Pour Mathieu Morichon, RSSI d’Exaion, « Un des problèmes principaux avec les IA grand public, c’est que nous sommes tributaires de l’éditeur du chatbot. Nous ne savons jamais ce qui est fait des données que nous uploadons, ni des prompts que nous rédigeons ».

Cette dépendance aux environnements d’IA grand public soulève des problématiques de supervision, de contrôle et de responsabilité. L’automatisation ne supprime pas le rôle humain dans la gestion des environnements sensibles. Elle modifie plutôt la nature des responsabilités et la manière dont les organisations doivent piloter leurs dispositifs de sécurité.

Enfin, la remise des prix du Challenge Cyber4OT a prolongé cette trajectoire en fin de journée. Organisé par Advens et le CESIN, ce challenge proposait d’aborder la cybersécurité industrielle non seulement comme une protection des systèmes OT, mais aussi comme une capacité à encadrer l’IA lorsqu’elle commence à produire, recommander ou influencer l’action industrielle. Le trophée a été décerné à l’équipe cyber de Servier France, pour un scénario d’analyse de risque d’IA en environnement industriel, retenu parmi 17 candidatures.