Aller au contenu principal
COO at WORK !
Le média des directeurs des opérations
Espace partenaires
Cybersécurité industrielle : pourquoi la sécurisation OT ne peut plus être déléguée à la DSI groupe

Cybersécurité industrielle : pourquoi la sécurisation OT ne peut plus être déléguée à la DSI groupe

12 mai 2026 21 min de lecture
Cybersécurité industrielle OT et NIS2 : pourquoi le COO doit piloter la cyber résilience des réseaux et systèmes de contrôle, transformer la conformité en levier de performance et structurer une gouvernance OT efficace.
Cybersécurité industrielle : pourquoi la sécurisation OT ne peut plus être déléguée à la DSI groupe

Cybersécurité industrielle OT NIS2 : un sujet d’exécution opérationnelle avant d’être un sujet SI

Sur un site industriel, la cybersécurité des systèmes OT et la conformité NIS2 ne sont pas des notions théoriques mais une condition directe de disponibilité des machines. La protection des systèmes de production, des réseaux industriels et des technologies opérationnelles détermine votre capacité à livrer, à tenir les délais et à protéger les données critiques de vos clients comme de vos équipes. Pour un directeur des opérations, déléguer ces enjeux aux seules équipes SI revient à abandonner un levier clé de performance, de résilience et de conformité réglementaire.

Les incidents récents sur des systèmes industriels en France et dans l’Union européenne ont montré que la frontière historique entre systèmes d’information et environnements de production ne tient plus. L’attaque contre Norsk Hydro en 2019, largement documentée dans les analyses post-mortem de l’éditeur lui-même et de plusieurs CERT européens, ou encore les rançongiciels ayant touché plusieurs groupes agroalimentaires français entre 2020 et 2022, ont paralysé des lignes entières pendant plusieurs jours. Les réseaux OT sont désormais interconnectés aux réseaux IT, aux plateformes cloud et aux solutions d’IA industrielle, ce qui multiplie les surfaces d’attaque et rend la gestion des risques cyber une responsabilité partagée entre DSI et direction des opérations. La directive NIS et sa nouvelle directive NIS2, dont le texte et les lignes directrices sont publiés par la Commission européenne, renforcent encore cette exigence en imposant des mesures de sécurité, une notification des incidents et une gouvernance claire pour les entités essentielles et importantes.

Pour vous, COO, la question n’est donc pas de savoir si la cybersécurité industrielle OT NIS2 relève de la technique ou de la conformité, mais comment l’intégrer dans la gestion quotidienne des opérations. La sécurité des réseaux, la protection des systèmes de contrôle et la cyber résilience des lignes de production doivent être pilotées comme des KPI opérationnels au même titre que l’OEE, le taux de service ou le coût unitaire. C’est ce changement de posture – considérer la sécurité numérique comme un déterminant de la performance industrielle – qui permet de renforcer la protection des actifs tout en préservant la marge et la continuité d’activité.

Disponibilité des machines, sécurité des réseaux et responsabilité du COO

La disponibilité des machines et des équipements industriels est un indicateur de résultat, pas un sujet d’architecture technique. Quand un rançongiciel chiffre les systèmes de contrôle ou paralyse les réseaux industriels, c’est votre capacité à produire, expédier et facturer qui s’effondre, bien avant que la DSI ne parle de logs ou de correctifs. En 2021, l’attaque contre le pipeline Colonial aux États-Unis, décrite en détail dans plusieurs rapports d’enquête publics, a entraîné plusieurs jours d’arrêt et des pertes estimées à plusieurs dizaines de millions de dollars ; des ordres de grandeur similaires sont observés sur des sites européens de taille comparable. Dans ce contexte, la cybersécurité des environnements OT devient un pilier de la performance industrielle autant qu’un impératif de conformité NIS2.

Les environnements industriels modernes combinent automates, capteurs IoT, passerelles vers le cloud et systèmes d’information de type MES ou ERP, ce qui crée une cartographie complexe de réseaux et de flux de données. Sans une vision précise des réseaux industriels, des systèmes de contrôle et des interconnexions avec les systèmes d’information, vous ne pouvez pas arbitrer entre production et mise à jour de sécurité, ni prioriser la gestion des vulnérabilités. Or ces arbitrages patch versus production sont profondément métier, car ils engagent la promesse client, les stocks et la planification. Un arrêt de deux heures pour appliquer un correctif sur une ligne critique peut éviter un arrêt non planifié de deux jours en cas d’incident cyber.

Dans ce cadre, la mise en place de mesures de sécurité adaptées aux technologies opérationnelles ne peut pas être pensée uniquement depuis le siège ou la DSI groupe. Les exigences de cybersécurité NIS2 imposent des contrôles techniques, mais aussi des processus de gestion des risques, de sécurité des réseaux et de sécurité des systèmes qui doivent être intégrés dans les routines quotidiennes des usines. C’est pourquoi de plus en plus d’entreprises industrielles positionnent un responsable de la cybersécurité OT rattaché au COO, afin d’aligner sécurité, disponibilité et performance opérationnelle, tout en gardant un lien fonctionnel fort avec le RSSI pour la cohérence globale.

Patch, production et gestion des vulnérabilités : un triptyque à piloter côté opérations

Les environnements industriels hérités, souvent en France comme dans d’autres pays de l’Union européenne, fonctionnent avec des systèmes de contrôle anciens, parfois non supportés, qui ne tolèrent pas les approches classiques de sécurité IT. Appliquer un correctif sans tenir compte des contraintes de production peut provoquer une panne de machine, une dérive de qualité ou un arrêt de ligne complet. C’est pourquoi la gestion des vulnérabilités OT doit être intégrée dans la planification industrielle, avec des fenêtres de maintenance négociées entre production, maintenance et cybersécurité, par exemple une plage mensuelle de 4 à 8 heures sur les lignes critiques et des créneaux plus fréquents sur les équipements redondants.

Dans ce modèle, la mise en place d’un principe de Zero Trust adapté aux réseaux industriels ne se limite pas à segmenter les réseaux ou à durcir les systèmes d’information. Il s’agit de définir des zones de sécurité autour des machines critiques, de contrôler les accès distants des prestataires et de sécuriser les flux de données entre OT et IT, tout en préservant la flexibilité opérationnelle. Concrètement, cela passe par une segmentation en zones et conduits (modèle ISA/IEC 62443), des accès VPN nominatifs avec authentification forte, et une supervision en temps réel des flux entre ateliers et systèmes centraux. La sécurité des réseaux et la sécurité des systèmes doivent ainsi être pensées comme des garde-fous qui protègent la capacité à produire, plutôt que comme des contraintes imposées depuis l’extérieur.

La directive NIS et la directive NIS2 exigent une gestion des risques structurée, incluant des mesures de sécurité techniques et organisationnelles, mais la manière de les appliquer sur le terrain reste une décision opérationnelle. Vous devez décider quels systèmes industriels peuvent être arrêtés, à quel moment, avec quel plan de reprise et quelles mesures compensatoires en cas de vulnérabilité non corrigée (surveillance renforcée, restrictions d’accès, procédures manuelles). C’est cette capacité à arbitrer, en connaissance de cause, qui distingue une simple conformité NIS d’une véritable cyber résilience industrielle.

Convergence IT / OT : quand la cybersécurité devient un arbitrage de production

La convergence entre systèmes d’information et technologies opérationnelles transforme la cybersécurité industrielle OT NIS2 en sujet d’arbitrage quotidien sur le terrain. Chaque nouveau capteur connecté, chaque passerelle vers le cloud ou chaque projet d’IA industrielle augmente la dépendance au réseau et aux données, tout en élargissant la surface d’attaque potentielle. Dans ce contexte, la sécurité des réseaux industriels, la sécurité des automates et la sécurité des systèmes de contrôle deviennent des paramètres structurants de votre schéma directeur industriel et de vos feuilles de route de digitalisation.

Les études menées par des acteurs comme L’Usine Digitale montrent que la cybersécurité et la qualité des réseaux figurent parmi les principaux freins au passage à l’échelle de l’IA industrielle. Une enquête publiée en 2022 indiquait que près de 60 % des industriels interrogés citent ces deux facteurs comme obstacles majeurs à l’industrialisation des cas d’usage, un chiffre régulièrement repris dans les synthèses de marché. Quand un projet de maintenance prédictive repose sur des flux de données temps réel issus des machines, la moindre coupure de réseau ou la moindre attaque sur les systèmes industriels peut bloquer la chaîne de décision. La directive NIS2, en élargissant le périmètre des entités concernées, oblige les entreprises industrielles à intégrer ces enjeux de sécurité dans la conception même de leurs architectures OT et de leurs projets d’IA.

Pour un COO, cela signifie que la gestion des risques cyber ne peut plus être traitée en silo, séparée des décisions d’investissement, de la planification des arrêts et de la gestion des stocks. Un arrêt non planifié lié à un incident de cybersécurité sur des équipements industriels peut coûter plus cher qu’un arrêt programmé pour mise à jour de sécurité, surtout si la notification des incidents aux autorités et aux clients entraîne des pénalités contractuelles. Comprendre les dynamiques de coûts cachés en gestion des opérations, y compris ceux liés à la cyber résilience, devient alors essentiel ; un éclairage utile sur ces coûts cachés est proposé dans cet article sur la dynamiques des coûts cachés en gestion des opérations.

Patch, production et gestion des vulnérabilités : un triptyque à piloter côté opérations

Un cas concret illustre ces arbitrages : dans une usine de composants automobiles de taille moyenne, un audit de cybersécurité OT a mis en évidence une vulnérabilité critique sur les automates d’une ligne représentant 35 % du volume du site. Le plan d’action prévoyait une mise à jour logicielle nécessitant un arrêt de 6 heures. La direction des opérations a d’abord hésité à immobiliser la ligne en pleine haute saison, avant de décider un arrêt programmé un samedi, avec constitution préalable de stocks de sécurité. Coût estimé de l’arrêt : environ 80 000 € (heures supplémentaires, énergie, replanification). Six mois plus tard, un site du même groupe, n’ayant pas appliqué le correctif, a subi un incident cyber sur une ligne similaire, entraînant 3 jours d’arrêt complet, plus de 700 000 € de pertes directes et des pénalités de retard. La comparaison chiffrée a définitivement ancré, pour le COO, l’intérêt d’intégrer la gestion des vulnérabilités dans la planification industrielle.

Pour piloter ce triptyque patch / production / vulnérabilités, il est utile de définir quelques indicateurs simples, suivis au niveau des opérations :

  • Pourcentage d’actifs OT inventoriés et classés par criticité.
  • Taux de correctifs de sécurité appliqués dans les délais définis (SLA).
  • Nombre d’incidents cyber ayant un impact sur la production par trimestre.
  • Temps moyen de reprise (MTTR) après incident, exprimé en heures.
  • Nombre d’accès distants actifs et pourcentage d’accès revus chaque mois.

Ces KPI de cyber résilience OT, intégrés aux revues de performance, permettent au COO de suivre l’efficacité des mesures de sécurité sans entrer dans le détail technique, tout en reliant directement les décisions de cybersécurité aux résultats industriels.

Conformité réglementaire NIS2 : un levier de performance opérationnelle pour le COO

La cybersécurité industrielle OT NIS2 est souvent perçue comme une contrainte réglementaire supplémentaire, alors qu’elle peut devenir un levier de performance opérationnelle si elle est pilotée par les opérations. La directive NIS2 impose aux entités essentielles et importantes de l’Union européenne des exigences de cybersécurité renforcées, couvrant la sécurité des réseaux, la sécurité des systèmes et la gestion des incidents. Pour un COO, l’enjeu est de transformer ces obligations en opportunité pour structurer la gouvernance des sites, clarifier les responsabilités et standardiser les pratiques de sécurité, tout en démontrant la maîtrise des risques aux clients et aux autorités.

La conformité NIS2 repose sur plusieurs piliers qui recoupent directement vos priorités opérationnelles : gestion des risques, continuité d’activité, sécurité des chaînes d’approvisionnement et notification des incidents significatifs. En alignant ces exigences de cybersécurité avec vos processus de planification, de gestion des stocks et de pilotage de la supply chain, vous pouvez réduire les temps d’arrêt, mieux maîtriser les coûts et renforcer la confiance des clients. La mise en conformité NIS devient alors un projet d’excellence opérationnelle, et non un simple exercice documentaire piloté par la DSI ou la direction juridique, avec des indicateurs concrets comme le temps moyen de reprise après incident ou le pourcentage de fournisseurs critiques évalués sur leurs pratiques cyber.

Pour structurer cette démarche, il est utile de s’appuyer sur des approches déjà éprouvées en gestion des opérations, comme la standardisation des processus, la mesure des performances et l’amélioration continue. La conformité réglementaire en gestion des opérations peut ainsi être transformée en avantage compétitif, comme le montre l’analyse détaillée proposée dans cet article sur la conformité réglementaire en gestion des opérations. En appliquant ces principes à la cybersécurité industrielle, vous créez un cadre où chaque site sait précisément quelles mesures de sécurité appliquer, comment les documenter et comment remonter les incidents, avec des standards communs et des marges de manœuvre locales clairement définies.

De la conformité NIS à la cyber résilience industrielle : rôle central du COO

La conformité NIS et la conformité NIS2 exigent une cartographie détaillée des systèmes industriels, des réseaux industriels et des flux de données critiques, ce qui rejoint directement vos enjeux de visibilité opérationnelle. En pilotant cette cartographie depuis les opérations, vous vous assurez que les systèmes de contrôle, les équipements industriels et les systèmes d’information de production sont correctement recensés, classés et protégés selon leur criticité réelle pour la production. Cette approche évite les plans de sécurité théoriques qui ignorent les contraintes de terrain et les réalités des ateliers, et permet de concentrer les investissements sur les actifs dont l’indisponibilité aurait l’impact le plus fort.

La mise en place de mesures de sécurité exigées par la directive NIS2, comme la gestion des vulnérabilités, la sécurité des réseaux ou la notification des incidents, doit être intégrée dans vos routines de pilotage. Cela signifie par exemple d’inclure des indicateurs de sécurité des systèmes dans vos revues de performance, de suivre les incidents cyber au même titre que les incidents qualité, et de lier les plans d’action de cybersécurité aux plans d’amélioration continue. Parmi les KPI utiles pour un COO : pourcentage d’actifs OT inventoriés et classés, taux de correctifs appliqués dans les délais définis, nombre d’incidents cyber impactant la production, temps moyen de reprise après incident et nombre d’accès distants contrôlés. En procédant ainsi, vous renforcez la cybersécurité tout en améliorant la discipline opérationnelle et la standardisation des pratiques entre sites.

Pour faciliter la lecture et le pilotage, ces indicateurs peuvent être synthétisés dans un tableau de bord simple :

Indicateur Définition Exemple de cible
% d’actifs OT inventoriés Part des équipements OT recensés et classés par criticité > 95 % sur les sites critiques
% de correctifs appliqués dans le SLA Correctifs de sécurité déployés dans le délai défini > 90 % pour les vulnérabilités hautes
MTTR cyber (en heures) Temps moyen de reprise après incident cyber impactant la production < 8 h sur les lignes majeures
# d’incidents cyber impactant la production Nombre d’événements ayant généré un arrêt ou une dégradation significative Tendance à la baisse sur 12 mois
% d’accès distants revus Part des comptes d’accès distants OT revus au moins une fois par mois > 98 % sur les sites sensibles

La cyber résilience industrielle ne se limite pas à résister à une attaque, mais à maintenir ou rétablir rapidement la capacité de production avec un impact maîtrisé sur les clients et les coûts. En tant que COO, vous êtes le mieux placé pour arbitrer entre redondance des systèmes, plans de secours manuels et investissements dans la sécurité des réseaux ou des systèmes de contrôle. La directive NIS2 devient alors un cadre qui légitime ces investissements et qui vous donne un langage commun avec la DSI, la direction financière et les autorités de régulation, en reliant clairement les choix techniques à leurs conséquences opérationnelles et économiques.

Organisation cible : un modèle de gouvernance OT où le COO tient le volant

Pour que la cybersécurité industrielle OT NIS2 soit réellement efficace, l’organisation doit refléter la réalité des responsabilités opérationnelles, et non l’organigramme historique entre IT et production. Les entreprises industrielles les plus avancées positionnent désormais un responsable de la cybersécurité OT rattaché au COO, en étroite coordination avec le RSSI groupe, afin de piloter la sécurité des systèmes de contrôle et des réseaux industriels au plus près du terrain. Ce modèle permet de traiter la sécurité comme un enjeu de résultat livré, pas comme un projet transverse sans propriétaire clair, et de donner aux sites des interlocuteurs capables de traduire les exigences cyber en décisions d’exploitation concrètes.

Dans cette organisation, la gestion des risques cyber est intégrée dans les processus existants de gestion des opérations, depuis la planification des arrêts jusqu’à l’optimisation de la gestion de stock et de la facturation. Les décisions de mise en place de mesures de sécurité, de segmentation des réseaux ou de renforcement de la sécurité des systèmes sont prises en tenant compte des impacts sur la capacité de production, les délais et les coûts. Un éclairage complémentaire sur l’optimisation de la gestion de stock et de la facturation pour une performance durable est proposé dans cet article sur l’optimisation de la gestion de stock et de la facturation, qui peut être directement relié aux arbitrages de cybersécurité OT, par exemple pour dimensionner les stocks de sécurité en fonction des risques d’arrêt liés à un incident cyber.

Les équipes OT, maintenance, production et qualité sont alors formées aux exigences de cybersécurité NIS2, aux procédures de notification des incidents et aux bonnes pratiques de sécurité des réseaux et des systèmes. La mise en place d’un modèle Zero Trust adapté aux environnements industriels, combiné à une gestion des vulnérabilités structurée et à une cartographie vivante des réseaux, permet de renforcer la cybersécurité sans alourdir inutilement les opérations. La France, comme les autres pays de l’Union européenne, voit émerger ce type de gouvernance hybride où le COO et la DSI co pilotent la cyber résilience industrielle, chacun sur son périmètre d’expertise, avec des comités conjoints pour arbitrer les investissements et les priorités.

De la théorie à l’exécution : ancrer la cybersécurité OT dans les routines d’usine

Un modèle de gouvernance ne vaut que par son exécution quotidienne sur les sites, là où les systèmes industriels tournent et où les incidents surviennent. Pour ancrer durablement la cybersécurité industrielle, il est nécessaire d’intégrer les contrôles de sécurité dans les routines existantes, comme les tours d’usine, les réunions de performance ou les revues de maintenance. Les mesures de sécurité deviennent alors des gestes métier, au même titre que les contrôles qualité ou les vérifications de sécurité physique, avec des checklists simples et des points de contrôle réguliers.

Concrètement, cela signifie par exemple de vérifier régulièrement les accès distants aux machines, de contrôler les supports amovibles utilisés sur les systèmes de contrôle, ou encore de suivre des indicateurs de sécurité des réseaux industriels au niveau de chaque site. Une checklist type pour un atelier critique peut inclure : inventaire mensuel des actifs OT, revue hebdomadaire des accès distants, test trimestriel des plans de reprise, validation systématique des mises à jour avant déploiement en production. La gestion des vulnérabilités doit être planifiée, priorisée et suivie comme un plan d’actions opérationnel, avec des responsabilités claires et des délais réalistes, plutôt que comme une liste technique gérée uniquement par la DSI. En procédant ainsi, vous transformez la cybersécurité OT en composante naturelle de la gestion des opérations, alignée avec vos objectifs de performance, de conformité et de résilience.

Pour faciliter l’appropriation par les équipes de terrain, cette checklist peut être détaillée sous forme de points concrets :

  • Vérifier chaque semaine les connexions distantes actives sur les automates et systèmes de contrôle.
  • Interdire l’usage de supports amovibles non approuvés et consigner les exceptions.
  • Mettre à jour mensuellement l’inventaire des actifs OT et des réseaux industriels.
  • Tester au moins une fois par trimestre les procédures de reprise après incident cyber.
  • Valider systématiquement les mises à jour de sécurité en environnement de test avant déploiement en production.
  • Documenter et remonter tout incident ou quasi-incident cyber lors des revues de performance.

Les exigences de cybersécurité de la directive NIS2, qu’il s’agisse de la sécurité des systèmes, de la sécurité des réseaux ou de la notification des incidents, deviennent alors des standards opérationnels partagés par toutes les entités industrielles du groupe. En tant que COO, vous prenez la main sur ces standards, vous les adaptez aux réalités de vos environnements industriels et vous en faites un levier de différenciation face à des concurrents moins matures. La cybersécurité industrielle OT NIS2 cesse d’être un sujet subi pour devenir un avantage compétitif, mesurable en disponibilité, en qualité de service et en confiance client, avec des résultats visibles dans vos indicateurs de performance industrielle.

Chiffres clés et repères pour le COO sur la cybersécurité industrielle OT et NIS2

  • Selon une enquête publiée par L’Usine Digitale en 2022, près de 60 % des industriels ayant déployé des projets d’IA citent la qualité des réseaux et la cybersécurité comme freins majeurs au passage à l’échelle, ce qui illustre l’impact direct de la sécurité des systèmes sur la performance opérationnelle.
  • La directive NIS2, adoptée en 2022 et à transposer dans les droits nationaux d’ici 2024, élargit significativement le nombre d’entités concernées par les obligations de cybersécurité en Europe, en incluant davantage de secteurs industriels et de tailles d’entreprises, ce qui augmente la pression réglementaire sur les directions des opérations.
  • Les analyses de cabinets spécialisés en cybersécurité industrielle montrent qu’un arrêt de production lié à un incident cyber peut coûter plusieurs centaines de milliers d’euros par jour pour un site de taille moyenne, avec des cas dépassant le million d’euros quotidien dans l’automobile ou la chimie, ce qui dépasse largement le coût annuel de mesures de sécurité préventives bien ciblées.
  • Les études sur la supply chain publiées par des acteurs comme Akanea indiquent que l’intégration de la cybersécurité dans les priorités de la chaîne logistique devient un critère de sélection des partenaires, renforçant le lien entre conformité NIS2, fiabilité des flux et compétitivité commerciale.