Langage Commun : Comment les Équipes IT et OT Peuvent S'Aligner

Introduction : Les Silos Que Nous Avons Construits

Les environnements industriels et critiques ont longtemps été marqués par des divisions prononcées entre les équipes Technologies de l'Information (IT) et Technologies Opérationnelles (OT). Tandis que l'IT est chargée de gérer les données, les systèmes d'affaires et la cybersécurité, l'OT a historiquement géré les machines, les systèmes de contrôle et les processus permettant la production physique. Mais à mesure que l'automatisation se développe et que les systèmes industriels s'interconnectent—souvent directement connectés à l'entreprise et même à Internet—ces silos menacent non seulement l'efficacité mais aussi la sécurité et la fiabilité.

Perspective Historique : Origines de la Grande Division

Les architectures IT et OT ont évolué avec des priorités distinctes. L'IT, basée sur des standards comme les modèles TCP/IP et OSI, se concentre sur l'interopérabilité, la centralisation et la sécurité. L'OT, quant à elle, a été formée par des protocoles conçus pour le déterminisme, la faible latence et la fiabilité dans le monde physique : pensez à Modbus (1979), PROFIBUS (1989) et DNP3 (années 1990). Jusqu'à récemment, l'isolation (le fameux "air gap") était considérée comme une sécurité OT suffisante.

Cependant, les deux dernières décennies ont vu une convergence rapide. Les systèmes OT ont adopté les communications basées sur Ethernet, tandis que la numérisation et les initiatives Industrie 4.0 ont forcé le raccordement avec l'IT d'entreprise. Cette convergence a apporté des avantages cruciaux, mais a également exposé les réseaux de contrôle auparavant isolés à de nouveaux risques cybernétiques et a accru la complexité du dépannage, du contrôle des changements et de la réponse aux incidents.

Langages Différents, Préoccupations Différentes

L'alignement est difficile parce que les deux disciplines non seulement utilisent des vocabulaires techniques différents mais encadrent également les problèmes différemment:

• Priorités de l'IT : Confidentialité, intégrité, disponibilité (la fameuse triade CIA). Axée sur la protection des données, la conformité, le temps de disponibilité, et les mises à jour rapides.

• Priorités de l'OT : Sécurité, fiabilité, contrôle de processus déterministe, et très haute disponibilité. Les mises à jour et les changements sont vus comme des risques potentiels à la continuité.

Par exemple, la notion de "disponibilité" a des significations différentes. Pour l'IT, des pannes de quelques minutes ou heures peuvent être tolérées; pour l'OT, des millisecondes peuvent faire la différence, et les pannes peuvent coûter des millions voire mettre des vies en danger.

Vers un Langage Commun : Stratégies Techniques et Organisationnelles

1. Modèles de Référence et Normes Partagés

L'adoption de cadres de l'industrie comme le ISA/IEC 62443 peut combler le fossé. Ces normes codifient des exigences de sécurité dans des termes compris par les praticiens IT (“zones” et “conduits,” par exemple) et OT. Le Modèle de Purdue, développé dans les années 1990, reste un outil visuel efficace pour segmenter les couches d'entreprise, DMZ et de contrôle dans une usine ou installation.

• Architecture de Référence d'Entreprise Purdue (PERA): Définit les Zones 0 à 5, des dispositifs de terrain à l'IT d'entreprise, permettant aux deux équipes de visualiser et de convenir des frontières de confiance et des contrôles nécessaires.

• IEC 62443: Redéfinit la sécurité en termes de cycle de vie et basés sur les risques, promouvant l'inventaire des actifs, la mise en base de sécurité et la réponse aux incidents incorporant les deux mondes.

2. Segmentation Réseau : Plus que de Simples Pare-feu

Un véritable alignement IT/OT est impossible sans une segmentation robuste. Les VLAN, les pare-feu et les DMZ fournissent le point de départ, mais la micro-segmentation (jusqu'au niveau du dispositif ou de la fonction) devient une meilleure pratique. Des technologies comme le réseau défini par logiciel (SDN) et les architectures zéro confiance peuvent imposer une politique granulaire, mais seulement lorsque les deux équipes coordonnent les besoins d'accès et les flux de trafic.

Étapes Concrètes :

• L'inventaire exhaustif des actifs et des protocoles est non négociable. Les deux parties doivent partager la connaissance de chaque point de terminaison et service de communication.

• Implémenter des cartes réseaux qui sont maintenues conjointement et accessibles à la fois à l'IT et à l'OT.

• Les réseaux OT ne devraient jamais avoir de chemins directs non contrôlés vers l'Internet public ou les réseaux d'entreprise.

3. Réponse aux Incidents : Plans d'Action Communs

Un incident dans les réseaux industriels modernes ne reste que rarement contenu dans les domaines IT ou OT. Les ransomwares, par exemple, peuvent passer d'un serveur de fichiers d'entreprise à des automates programmables (PLC) dans les bonnes conditions.

• Développer des plans de réponse qui traitent non seulement les pointes de terminaison mais aussi l'analyse de l'impact sur les processus, la restauration des opérations de confiance, et la communication avec les régulateurs ou autorités de sécurité industrielle.

• Les exercices de simulation doivent inclure les acteurs IT et OT—en exécutant des scénarios de menace qui "franchissent la clôture".

4. Les Murs Tombent avec la Formation Croisée et l'Intégration

L'intégration du personnel IT dans les environnements de fabrication et vice versa est prouvée pour encourager un vocabulaire technique commun. Quand le personnel OT apprend à propos d'Active Directory ou de PKI, et l'IT découvre les protocoles HMI, SCADA, ou fieldbus, les deux développent une compréhension des contraintes et défis de chacun.

Meilleures Pratiques :

• Sessions de formation croisée régulières et formelles. Utiliser des plongées en profondeur, pas des aperçus superficiels.

• Établir des "traducteurs"—personnel sachant naviguer dans les deux domaines, idéalement avec des rôles hybrides.

5. Engagement en Gouvernance et en Leadership

En fin de compte, l'alignement exige une structure de gouvernance transversale unique. Créer un comité de revue de la sécurité IT/OT conjoint, ou au moins des groupes de travail pour les initiatives clés, garantit que toutes les voix sont entendues et qu'aucun aspect technique n'est négligé. Le rôle du RSSI a évolué pour couvrir non seulement les actifs numériques mais aussi la sécurité et la résilience des usines — cela est maintenant une exigence incontournable.

Conclusion : Pas de Remède Magique, Mais le Progrès est Incontournable

La convergence IT/OT est là pour rester, poussée par la transformation numérique, les opérations à distance, et les réalités des adversaires modernes. Les leçons de la dernière décennie—du Stuxnet (2010) aux vagues de ransomwares ciblant les entreprises industrielles—soulignent que les ponts techniques et culturels entre l'IT et l'OT ne sont plus optionnels.

Atteindre un langage commun est moins une question de déploiement d'une nouvelle pile technologique qu'une question de collaboration persistante et structurée. L'éducation croisée, les cadres normalisés et le partage formalisé de politiques sont fondamentaux. Avant tout, le leadership doit reconnaître que ces mondes ne fusionnent pas—ils sont entrelacés, et seule leur alignement délibéré supportera la résilience cyber-physique exigée par les infrastructures critiques d'aujourd'hui.

Références et Lectures Complémentaires

• Sécurité des Systèmes Automatisés et de Contrôle Industriel ISA/IEC 62443

• Architecture de Référence d'Entreprise Purdue (PERA)

• NIST SP 800-82 Guide de Sécurité des Systèmes de Contrôle Industriel (ICS)

• CISA Objectifs de Performance en Cybersécurité Inter-Secteurs

• Laboratoires Nationaux Sandia : Convergence IT/OT : Combler le Fossé