Conformité NIS2 et IEC 62443 pour les opérateurs industriels.
La directive NIS2 impose aux opérateurs industriels des obligations précises de segmentation réseau et de contrôle des accès. C'est exactement ce que définit la norme IEC 62443 en termes de zones et de conduits. Access Gate permet de satisfaire ces exigences sur votre infrastructure OT multi-sites existante, sans modifier le réseau de production et sans arrêt de ligne.
Qui est concerné par la directive NIS2 ?
NIS2 (directive UE 2022/2555) s'applique à deux catégories d'organisations. Les entités essentielles (Annexe I) couvrent l'énergie, l'eau, les transports, la santé et les infrastructures numériques. Les entités importantes (Annexe II) couvrent les fabricants de produits critiques, la chimie et l'agroalimentaire.
Les seuils sont chiffrés : 250 salariés ou 50 M€ de chiffre d'affaires pour les entités essentielles, 50 salariés ou 10 M€ pour les entités importantes. En France, la transposition place l'ANSSI comme autorité de référence pour la supervision et le contrôle.
Un point souvent sous-estimé par les grands groupes industriels : une même organisation peut relever simultanément de l'Annexe I et de l'Annexe II selon ses filiales et ses secteurs d'activité. Un groupe présent dans l'énergie et la fabrication doit traiter chaque entité concernée selon son propre régime.
Les obligations de l'Article 21 pour les réseaux OT
L'Article 21 définit dix catégories de mesures minimales de gestion des risques. Trois sont structurantes pour l'OT : la segmentation réseau (zones et conduits au sens d'IEC 62443), le contrôle des accès (authentification, moindre privilège), et la journalisation et la traçabilité (audit à intégrité prouvée).
Ces mesures s'appliquent aux réseaux OT, y compris les systèmes Purdue de niveaux 1 à 3 : automates, SCADA, HMI, serveurs MES. NIS2 ne distingue pas l'IT de l'OT : l'obligation porte sur les systèmes d'information au sens large.
Pour un groupe industriel multi-sites, la conformité doit être démontrée site par site. Un site non segmenté reste une non-conformité, même si le reste du parc est couvert. C'est précisément là que les programmes de mise en conformité s'enlisent : multiplier la preuve sur 20 ou 50 sites devient ingérable avec des outils IT classiques.
Le modèle Purdue et la segmentation NIS2
Le modèle de référence Purdue (issu d'ISA-95) structure tout réseau industriel en niveaux : niveau 0 (process physique), niveau 1 (contrôle de base : automates, RTU), niveau 2 (supervision : SCADA, HMI), niveau 3 (opérations de site : historian, MES), et niveaux 4 et 5 (entreprise : ERP, IT). La frontière IT/OT se situe au niveau 3.
Les exigences de segmentation de l'Article 21 se traduisent directement en architecture de zones et de conduits IEC 62443. Une zone regroupe des actifs de même niveau de sécurité ; un conduit est le chemin de communication contrôlé entre deux zones.
Un réseau OT à plat est non conforme par défaut : il écrase les niveaux Purdue et crée un chemin direct entre la zone d'entreprise (niveau 4) et le réseau de contrôle (niveau 2) et en dessous. Pour un grand groupe exploitant plus de 20 sites de production, chacun équipé d'un réseau à plat, l'écart de conformité est multiplié par le nombre de sites.
Une architecture de zones, sans refonte réseau.
Déploiement adjacent, site par site, zéro disruption.
Access Gate se connecte à côté du réseau existant sur chaque site. Aucune modification des VLANs, aucun agent sur les équipements OT, aucun arrêt de production. Chaque site se déploie indépendamment, sans interdépendance entre sites ni bascule globale. Visibilité et contrôle des accès immédiats dès le déploiement.
Consolidation Zero Trust multi-sites.
L'overlay devient le nouveau fabric Zero Trust. Migration à environ 10 systèmes par heure via le proxy Access Gate. Les équipes IT et OT gèrent les politiques via une interface collaborative à accès différencié par rôle. La gestion centralisée inter-sites est disponible dès la Phase 2 : un groupe de 50 sites consolide son parc OT sans mobiliser d'équipes réseau partout simultanément.
Calendrier NIS2 en France.
La transposition française est portée par l'ANSSI, qui assure la supervision, le contrôle et l'accompagnement des entités concernées. Les obligations s'appliquent dès l'entrée en vigueur du dispositif national, sans période de tolérance pour les mesures de base de l'Article 21.
Les sanctions sont dissuasives : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel pour les entités essentielles. Pour un groupe à filiales multiples, chaque entité concernée peut relever de son propre calendrier et de son propre périmètre de contrôle. Attendre, c'est multiplier le risque sur l'ensemble du parc.
NIS2, IEC 62443 et Access Gate.
Segmentation, contrôle des accès et journalisation pour l'OT industriel
Si vous êtes une entité essentielle (énergie, eau, transport, santé, infrastructures numériques) de 250+ salariés ou 50 M€ de CA, ou une entité importante (fabrication de produits critiques, chimie, agroalimentaire) de 50+ salariés ou 10 M€ de CA, vous êtes concerné. Les grands groupes industriels relèvent souvent des deux régimes simultanément selon leurs filiales. En cas de doute, l'auto-évaluation ANSSI est le point de départ.
L'Article 21 impose dix catégories de mesures de gestion des risques. Pour l'OT, les plus structurantes sont la segmentation réseau (zones et conduits IEC 62443), le contrôle des accès (authentification, moindre privilège) et la journalisation à intégrité prouvée. Ces mesures s'appliquent aux automates, SCADA et HMI des niveaux Purdue 1 à 3, pas seulement à l'IT.
Oui, et ils sont complémentaires. NIS2 fixe l'obligation (segmenter, contrôler les accès, journaliser) sans nommer explicitement IEC 62443. L'orientation de l'ANSSI pour les opérateurs OT désigne IEC 62443 comme le standard technique reconnu pour mettre en œuvre ces obligations. Construire son architecture en zones et conduits IEC 62443 est donc la voie pratique pour démontrer la conformité Article 21.
Access Gate se déploie à côté du réseau existant, à la frontière niveau 3 / DMZ, et crée un overlay Zero Trust sur les zones Purdue, sans toucher aux VLANs, sans agent sur les équipements OT, sans arrêt de production. Chaque site se déploie indépendamment, sans interdépendance ni bascule globale. La segmentation et le contrôle des accès sont effectifs dès l'installation.
La Phase 1 (overlay adjacent) est active en quelques heures par site. La Phase 2 (consolidation) migre environ 10 systèmes par heure via le proxy Access Gate : un site de 100 systèmes en une journée. Comme chaque site est indépendant, un groupe de 50 sites n'a pas besoin de mobiliser une équipe réseau sur chaque site simultanément ; le déploiement se fait par vagues, avec une gestion centralisée des politiques dès la Phase 2.