Pendant longtemps, les sites industriels ont vécu en marge des enjeux cybersécurité, protégés par leur isolement (l'air gap). Cette époque est révolue. La convergence IT/OT, l'arrivée de l'IIoT (Industrial Internet of Things) et les exigences de pilotage à distance ont rebattu les cartes. Et la sensibilisation, qui s'arrêtait souvent aux bureaux, doit désormais entrer dans les ateliers.

Une exposition qui s'élargit

Les facteurs de risque dans l'industrie :

  • équipements anciens (PLC, SCADA) parfois en service depuis 20 ans, sans capacité de mise à jour,
  • réseaux interconnectés : la frontière IT/OT s'est largement effacée,
  • prestataires nombreux intervenant à distance sur les automates,
  • continuité de production comme contrainte absolue,
  • savoir-faire industriel qui constitue une cible pour l'espionnage économique.

Trois publics, trois sensibilisations

L'industrie suppose d'adresser :

  • Les fonctions support (admin, RH, comptabilité) : sensibilisation classique au phishing, mots de passe, fraude au virement.
  • Les ingénieurs et techniciens : focus sur les accès à distance, la gestion des prestataires, l'usage des supports amovibles.
  • Les opérateurs et chefs d'équipe : sensibilisation opérationnelle, courte, visuelle, intégrée dans les routines (1/4 d'heure sécurité, accueil de nouveau, etc.).

L'offre formation cybersécurité industrie de Conscio Technologies a été conçue pour cette diversité d'audiences.

Les scénarios spécifiques à connaître

  • USB inconnu trouvé sur le parking, branché par curiosité.
  • Prestataire qui demande à connecter son PC sur un automate pour maintenance.
  • Logiciel téléchargé depuis un site non officiel pour résoudre rapidement un problème.
  • Photo d'écran SCADA publiée par fierté sur un réseau social.
  • Email "facture" au service achat, déclenchant une fraude au RIB.

Ces scénarios sont précieux pour la sensibilisation : ils parlent au terrain, ils se mémorisent, et ils déclenchent les bons réflexes.

Articuler IT et OT

La sensibilisation ne peut pas être pilotée uniquement par le RSSI IT. Elle suppose une alliance avec la direction industrielle :

  • co-construire les messages avec les responsables d'usine,
  • intégrer la cyber dans les routines QSE existantes,
  • former les responsables sécurité industrielle aux enjeux cyber,
  • ne pas opposer "production" et "sécurité IT".

NIS2 et industrie

NIS2 inclut explicitement la fabrication critique (composants électroniques, dispositifs médicaux, transports) parmi les entités concernées. La sensibilisation devient donc une obligation traçable (voir NIS2 et devoir de diligence).

La chaîne d'approvisionnement

Les attaques par la supply chain se multiplient. Une PME industrielle peut être attaquée non pour elle-même, mais comme point d'entrée vers un grand donneur d'ordre. La sensibilisation doit donc s'étendre, au moins partiellement, aux sous-traitants critiques : checklist d'entrée, sensibilisation imposée par contrat, exercices conjoints.

Mesurer dans un contexte industriel

Mesurer la sensibilisation dans l'industrie suppose des indicateurs adaptés :

  • taux de signalement (et non taux de clic),
  • ancienneté moyenne de la dernière sensibilisation par site,
  • nombre d'incidents évités grâce à un signalement humain,
  • intégration de la cyber dans les briefings sécurité quotidiens.

L'article Mesurer l'impact d'une sensibilisation approfondit ces aspects.

Conclusion

Dans l'industrie, la cybersécurité n'est plus un sujet réservé au siège. C'est une affaire de culture partagée entre bureaux et ateliers. Pour structurer cette démarche, voir l'offre industrie dédiée.

Aller plus loin avec Conscio Technologies

Vous souhaitez mettre en place une démarche de sensibilisation impliquante dans votre organisation ? Découvrez l'approche de Conscio Technologies.

Voir l'offre industrie

#industrie #OT #IoT industriel