Cybersécurité industrielle. Sans agent, sans coupure, sans refonte réseau.
Protéger les automates, HMI, SCADA et systèmes legacy contre les cyberattaques modernes, sans toucher aux équipements ni interrompre la production. Couverture des 5 risques majeurs OT et conformité NIS2, LPM, IEC 62443.
Les outils de cybersécurité IT ne fonctionnent pas sur les environnements industriels. Les agents EDR ne s'installent pas sur un firmware d'automate. Les scans actifs peuvent faire planter un PLC de 2003. Les pare-feu IT ne comprennent pas Modbus, S7 ou DNP3. Une cybersécurité industrielle sérieuse doit être sans agent, protocole-aware, et passive par défaut. Sinon, elle casse la production qu'elle est censée protéger.
Durée de vie d'un automate
Un PLC déployé en 2008 tourne encore en 2026. Vous ne pouvez pas le patcher tous les mois. La sécurité doit venir d'ailleurs.
Installable sur PLC / HMI
Les automates et HMI legacy n'exécutent pas d'agents tiers. Toute solution OT doit fonctionner à la couche réseau, à côté.
Coût type d'un arrêt OT
Pour une ETI industrielle paralysée 2 semaines par un ransomware. Principalement de la production perdue, irrécupérable.
Classés par fréquence d'apparition dans les incidents OT publics (CERT-FR, ANSSI, ENISA, Dragos). Sur chacun, la même question : comment le couvrir sans toucher aux équipements ?
Accès distants non maîtrisés
Mainteneurs, intégrateurs et fournisseurs accèdent à vos automates sans authentification forte, sans journalisation, parfois en parallèle des sessions normales. C'est le vecteur d'attaque numéro un sur l'OT industriel.
L'incident Stuxnet, et plus récemment plusieurs ransomwares industriels (Norsk Hydro, Colonial Pipeline), ont exploité des accès distants mal contrôlés.
Proxification des sessions, MFA appliquée à la couche réseau, enregistrement complet, kill-switch session par session.
Réseaux à plat sans cloisonnement
L'OT historique fonctionne souvent sur un seul VLAN. Un automate compromis peut alors atteindre tous les autres équipements industriels. La microsegmentation est rare parce qu'elle implique de toucher au câblage ou aux switches.
Le ransomware Ryuk s'est propagé latéralement dans plusieurs sites de production parce que les réseaux IT et OT n'étaient pas séparés.
Microsegmentation par overlay, application de la logique zones et conduits (IEC 62443) sans refonte du réseau physique.
Protocoles industriels non chiffrés
Modbus, Profinet, DNP3, S7 — la plupart des protocoles industriels datent d'avant la cybersécurité moderne. Pas d'authentification, pas de chiffrement, pas de notion d'identité. Tout ce qui parle à l'automate est cru sur parole.
Des outils gratuits permettent d'envoyer des commandes Modbus arbitraires à un automate accessible. Aucune barrière native.
Wrapper TLS sur les flux industriels, contrôle d'accès au niveau du protocole, autorité d'identité externe gérée par l'appliance.
Absence d'authentification forte
Les automates, HMI Windows XP et systèmes legacy ne supportent pas le MFA nativement. Un mot de passe partagé, souvent inscrit sur l'armoire, suffit à se connecter. NIS2 article 21 exige l'authentification multifactorielle — sans solution externe, c'est techniquement infaisable.
Plus de 70 % des audits de cybersécurité industrielle remontent des comptes partagés ou des mots de passe par défaut sur les HMI.
MFA appliquée à la couche réseau, devant l'équipement. L'utilisateur s'authentifie auprès de la passerelle, qui ouvre ensuite la session.
Visibilité quasi nulle sur l'OT
Combien d'automates avez-vous ? Quels firmwares ? Qui s'y connecte ? La plupart des sites industriels ne savent pas répondre. Sans inventaire, pas de gestion des vulnérabilités, pas de réponse à incident, pas de conformité NIS2.
Lors d'un audit ANSSI, l'absence de cartographie est l'un des constats les plus fréquents — y compris chez des OIV.
Cartographie passive et continue, sans scan actif qui risquerait de perturber les automates. Inventaire automatisé, mises à jour en temps réel.
Access Gate ne remplace aucun référentiel. Elle implémente les contrôles techniques que ces référentiels exigent, et fournit la preuve documentaire attendue à l'audit.
| Référentiel | Périmètre | Comment Access Gate s'y aligne |
|---|---|---|
| NIS2 — Article 21 | Entités essentielles et importantes. 18 secteurs critiques. | Couvre directement 7 mesures sur 10 (MFA, contrôle d'accès, chaîne d'appro, chiffrement, incident, journalisation, gestion des actifs). |
| LPM — OIV / SIIV | ~250 OIV désignés en France. Obligations renforcées au Code de la défense. | Architecture compatible avec les attentes ANSSI d'homologation SIIV. Preuves d'audit livrables. |
| IEC 62443 | Standard international référence pour la cybersécurité industrielle. | Implémente la logique zones et conduits par microsegmentation overlay, sans refonte réseau. |
| Guides ANSSI | Cybersécurité des systèmes industriels, Guide d'hygiène (42 mesures). | Cartographie, cloisonnement, contrôle d'accès, journalisation — alignement direct avec les recommandations. |
| ISO 27001 / ISO 27019 | SMSI général, et son extension secteur énergie. | Fournit la donnée brute pour les contrôles ISO. Ne remplace pas le SMSI, l'alimente. |
Entités essentielles et importantes. 18 secteurs critiques.
Couvre directement 7 mesures sur 10 (MFA, contrôle d'accès, chaîne d'appro, chiffrement, incident, journalisation, gestion des actifs).
~250 OIV désignés en France. Obligations renforcées au Code de la défense.
Architecture compatible avec les attentes ANSSI d'homologation SIIV. Preuves d'audit livrables.
Standard international référence pour la cybersécurité industrielle.
Implémente la logique zones et conduits par microsegmentation overlay, sans refonte réseau.
Cybersécurité des systèmes industriels, Guide d'hygiène (42 mesures).
Cartographie, cloisonnement, contrôle d'accès, journalisation — alignement direct avec les recommandations.
SMSI général, et son extension secteur énergie.
Fournit la donnée brute pour les contrôles ISO. Ne remplace pas le SMSI, l'alimente.
Quatre secteurs où la cybersécurité industrielle n'est plus optionnelle en 2026.
Industrie manufacturière
Lignes de production avec automates Siemens, Schneider, Rockwell. Souvent des décennies de matériel hétéroclite.
Pain point principal
Pression NIS2 sans budget pour une refonte réseau. La production passe avant tout.
Énergie et utilities
SCADA de réseaux électriques, gaz, eau. Sites multiples, parfois géographiquement dispersés.
Pain point principal
OIV désignés ou en passe de l'être. Obligations LPM cumulées avec NIS2.
Défense et BITD
Sous-traitants Naval Group, Safran, Thales, MBDA, Dassault. Obligations cascadées par clauses contractuelles.
Pain point principal
Conformité défense + souveraineté + cybersécurité industrielle, tout en même temps.
Pharma et chimie
Process critiques, intégration MES/SCADA, traçabilité produit obligatoire.
Pain point principal
Risque double : perte de production (mois de revenue) et non-conformité réglementaire (GxP, NIS2).
De zéro à audit-ready, sans coupure de production.
Cartographie. Microsegmentation. MFA legacy. Trois semaines, un site, des preuves d'audit livrables. Sans agent, sans refonte réseau.
3 semaines, sans coupure
Sans agent sur les équipements. Aucune modification de firmware, aucune fenêtre de maintenance. Fonctionne dans les environnements OT où le change management se compte en mois.
ROI 6-18 mois
Évitement d'arrêt + amendes NIS2 évitées + conformité contrat BITD. Sur trois leviers, le retour est généralement atteint en moins de 18 mois.
Soumis à une obligation réglementaire ?
Pour les exigences détaillées de conformité, voir : guide NIS2 et LPM pour les industriels (article 21 et obligations OIV), ou cybersécurité OT souveraine pour le détail de l'architecture sur site, sans cloud étranger.
Cybersécurité industrielle
risques majeurs à couvrir
La cybersécurité industrielle, c'est l'ensemble des pratiques, technologies et processus qui protègent les systèmes industriels — automates programmables (PLC), systèmes SCADA, interfaces homme-machine (HMI), capteurs, robots — contre les cyberattaques. Elle se distingue de la cybersécurité IT classique par trois contraintes : (1) les équipements industriels ont des durées de vie de 15 à 30 ans et tournent souvent sous des systèmes obsolètes (Windows XP, firmwares figés), (2) toute interruption est extrêmement coûteuse (production arrêtée, sécurité physique potentiellement impactée), (3) les protocoles industriels sont historiquement sans authentification ni chiffrement.
Trois différences majeures : (1) priorité — en IT, c'est la confidentialité d'abord ; en OT, c'est la disponibilité d'abord (un automate qui s'arrête, c'est une ligne qui s'arrête). (2) Cycle de vie — un serveur dure 5 ans, un automate 20 à 30. Vous ne pouvez pas patcher un automate de 2003 comme un Windows Server. (3) Méthodes — les scans actifs IT peuvent faire planter un automate. Les agents IT ne s'installent pas sur un firmware embarqué. Une solution OT doit fonctionner sans toucher aux équipements.
Non. La réglementation accélère la prise en main du sujet, mais le risque existait avant elle. Toute entreprise industrielle, même petite, peut être ciblée par un ransomware, un sabotage ou un espionnage industriel. La conformité NIS2 ou LPM est un déclencheur utile pour structurer le programme, mais la cybersécurité industrielle est d'abord une question de continuité d'activité. Une PME industrielle paralysée pendant deux semaines par un ransomware peut faire faillite.
Trois raisons techniques. (1) Les agents EDR/XDR ne s'installent pas sur un firmware embarqué — l'automate refuse, ou pire, plante. (2) Les pare-feu IT ne comprennent pas les protocoles industriels (Modbus, S7, DNP3) — ils laissent passer toutes les commandes ou bloquent tout. (3) Les scans actifs (Nessus, etc.) peuvent faire crasher un automate ancien. Une approche OT doit être : sans agent, protocole-aware, et passive. C'est exactement la conception d'Access Gate.
Trois composantes : (1) évitement du coût d'arrêt — un ransomware OT coûte typiquement 2 à 10 M€ pour un ETI industriel, principalement en production perdue. (2) Conformité NIS2 / LPM — éviter les amendes (jusqu'à 10 M€ ou 2 % du CA) et les inspections renforcées. (3) Continuité commerciale — un donneur d'ordre BITD qui exige la conformité de ses sous-traitants ne renouvellera pas un contrat sans dossier de sécurité. Le ROI typique d'un déploiement Access Gate est de l'ordre de 6 à 18 mois.
Pilote en 3 semaines sur un site, sans coupure de production. Semaine 1 : cartographie passive des actifs (inventaire automatisé). Semaine 2 : microsegmentation et accès distants proxifiés. Semaine 3 : MFA legacy et chiffrement bout-en-bout. Sur un parc multi-sites, comptez 1 à 3 mois par site supplémentaire selon la complexité. Pas de fenêtre de maintenance requise, pas de modification des automates.