Définition

C'est quoi une attaque OT industrielle ?

Q: Quelle différence entre IT et OT ?

IT (Information Technology) gère l'information : données, applications, communication. OT (Operational Technology) gère les processus physiques : pilotage de machines, capteurs, actionneurs. Différences clés : disponibilité prioritaire (vs confidentialité en IT), cycles de vie longs (15-30 ans vs 3-5 ans), patches difficiles (arrêt production), protocoles spécifiques (Modbus, OPC, DNP3). La convergence IT-OT depuis les années 2010 augmente l'exposition cyber.

Q: Quels sont les cas célèbres d'attaque OT ?

Stuxnet (2010) — premier ver connu pour saboter physiquement des installations (centrifugeuses iraniennes). Industroyer (2016) — coupure d'électricité Kiev pendant 1h. Triton/Trisis (2017) — manipulation des systèmes de sécurité d'une raffinerie saoudienne (risque humain). Colonial Pipeline (2021) — ransomware IT mais arrêt préventif OT, paralysie de l'approvisionnement carburant US côte est. Oldsmar (2021) — tentative de manipulation du dosage chimique d'une station d'eau potable en Floride.

Q: Comment se protéger contre une attaque OT ?

Cinq leviers spécifiques OT. (1) Cartographie des actifs OT et inventaire des protocoles utilisés. (2) Segmentation IT-OT stricte (architecture Purdue, DMZ industrielles). (3) Sondes passives de détection adaptées aux protocoles OT (Nozomi, Claroty, Tenable.OT). (4) Patch management adapté avec fenêtres de maintenance planifiées. (5) Plan de continuité industriel avec scénarios de retour au mode manuel ou dégradé.

Q: Quelles normes régissent la cybersécurité OT ?

Référentiel principal : IEC 62443 (série de normes internationales, hiérarchisée par niveau de sécurité SL1 à SL4). En France : la LPM impose des obligations aux OIV pour leurs SIIV (Systèmes d'Information d'Importance Vitale). NIS2 (octobre 2024) élargit ces obligations à un périmètre plus large d'opérateurs essentiels et importants. ANSSI publie des guides spécifiques OT. Pour les opérateurs nucléaires : doctrine ASN spécifique.

Définition, cibles (SCADA, automates, IHM), exemples célèbres (Stuxnet, Industroyer, Triton, Colonial Pipeline), normes (IEC 62443) et 5 réflexes de protection. Tout sur la cybersécurité industrielle — quand le cyber rencontre le physique.

Lire la définition ← Retour Crise cyber

Benoît Labalette

SCOPIC · Twist

📅 Publié le 25 avril 2026 ⏱ ≈ 5 min

C'est quoi une attaque OT ?

Une attaque OT (Operational Technology) cible les systèmes opérationnels industriels — automates programmables (PLC), SCADA, IHM, capteurs et actionneurs — qui pilotent les processus physiques d'une organisation industrielle. Différenciée de l'IT classique, l'OT est exposée à des conséquences physiques potentielles : arrêt de production, dégâts matériels, pollution environnementale, risque humain.

La cybersécurité OT diffère profondément de la cybersécurité IT — disponibilité prioritaire (vs confidentialité), cycles de vie longs (15-30 ans), patches difficiles, protocoles spécifiques. La convergence IT-OT depuis les années 2010 a démultiplié l'exposition cyber des installations industrielles. Référentiel principal : IEC 62443. Pour la dimension organisationnelle complète, voir crise cyber.

Spécificités OT

Pourquoi l'OT est différente de l'IT

Priorité disponibilité. En IT, on protège la confidentialité. En OT, l'arrêt de production coûte cher — la disponibilité prime. Patcher un automate de centrale nucléaire peut nécessiter un arrêt programmé annuel.
Cycles de vie longs. Un automate industriel fonctionne 15 à 30 ans. Beaucoup de systèmes OT en production tournent encore sous Windows XP / 2003 / 2008 — non patchables en 2024-2025.
Protocoles spécifiques. Modbus, OPC, DNP3, Profinet, IEC 61850 — pour la plupart conçus avant la cybersécurité, sans authentification ni chiffrement natifs.
Convergence IT-OT. L'industrie 4.0 connecte tout : capteurs IoT, MES, ERP, cloud. Cette convergence multiplie les chemins d'attaque possibles.
Conséquences physiques. Une attaque réussie peut tuer (Triton 2017 ciblait les systèmes de sécurité d'une raffinerie), polluer (Oldsmar 2021 station d'eau), saboter (Stuxnet 2010 centrifugeuses).

Statistiques

Les attaques OT en chiffres

+ 73 %

progression annuelle des attaques cyber sur l'OT

Dragos · 2024

68 %

des organisations industrielles ont subi un incident OT en 2024

Fortinet · 2024

~2 300

vulnérabilités OT/ICS publiées en 2024

Claroty · 2024

Cas célèbres

Attaques OT marquantes

2010 · Iran

Stuxnet

Premier ver à saboter physiquement des installations. Centrifugeuses du programme nucléaire iranien à Natanz. Attribué à USA/Israël.

2015-2016 · Ukraine

BlackEnergy / Industroyer

Coupure d'électricité Kiev pendant 1h en 2016. Premier blackout cyber documenté. Attribué à Sandworm GRU russe.

2017 · Arabie

Triton / Trisis

Manipulation des Safety Instrumented Systems (SIS) d'une raffinerie saoudienne. Risque humain direct. Attribué à un institut russe.

2021 · USA

Colonial Pipeline

Ransomware DarkSide sur l'IT, mais arrêt préventif de l'OT pour cantonner. Paralysie de l'approvisionnement carburant côte est US pendant 6 jours.

2021 · Floride

Oldsmar

Tentative d'augmenter le dosage de soude dans l'eau potable de 32 000 habitants par 100. Détectée à temps par un opérateur.

2022-2024 · Multi

Volt Typhoon (Chine)

Pré-positionnement chinois dans les infrastructures critiques US (eau, énergie). Documenté CISA en 2024 — préparation potentielle d'un conflit géopolitique.

Action ⚡

5 réflexes pour protéger un environnement OT

Cartographie OT

Inventaire des actifs OT, des protocoles, des connexions IT-OT. Mise à jour annuelle. Indispensable pour tout le reste.

Segmentation IT-OT

Architecture Purdue (niveaux 0 à 5), DMZ industrielles, firewalls applicatifs. L'OT ne doit pas être directement accessible depuis l'IT.

Sondes passives OT

Outils dédiés (Nozomi, Claroty, Tenable.OT) qui analysent le trafic OT sans perturber les processus. Détection comportementale.

Patch management adapté

Fenêtres de maintenance planifiées, tests préalables sur environnement de test, priorisation par criticité métier.

Plan de continuité industriel

Procédures de retour au mode manuel ou dégradé en cas de compromission OT. Tests annuels.

Approche Twist

L'approche Twist face aux attaques OT

Twist intervient sur la dimension organisationnelle et de gestion de crise — la dimension technique OT étant traitée par les équipes industrielles, le RSSI OT et les prestataires spécialisés (Dragos, Claroty, Schneider Cybersécurité).

Plan de gestion de crise industrielle articulé avec les obligations LPM (OIV) et NIS2.
Exercice OT en cellule de crise : simulation d'un incident industriel d'origine cyber, test de la coordination IT-OT-direction-communication.
Communication de crise industrielle : préparation aux questions médiatiques sensibles (risque environnemental, sanitaire, économique).

Questions fréquentes

FAQ Attaque OT industrielle

C'est quoi une attaque OT ?

Une attaque OT (Operational Technology) cible les systèmes opérationnels industriels — automates, SCADA, IHM, capteurs et actionneurs. Conséquences physiques potentielles : arrêt de production, dégâts matériels, pollution environnementale, risque humain. Concerne énergie, eau, transport, manufacturing, chimie.

Quelle différence entre IT et OT ?

IT gère l'information : données, applications, communication. OT gère les processus physiques. Différences clés : disponibilité prioritaire (vs confidentialité), cycles de vie longs (15-30 ans), patches difficiles (arrêt production), protocoles spécifiques (Modbus, OPC, DNP3). La convergence IT-OT augmente l'exposition cyber.

Quels sont les cas célèbres d'attaque OT ?

Stuxnet (2010) — sabotage nucléaire iranien. Industroyer (2016) — coupure électrique Kiev. Triton (2017) — manipulation systèmes de sécurité d'une raffinerie. Colonial Pipeline (2021) — paralysie carburant côte est US. Oldsmar (2021) — tentative manipulation eau potable. Volt Typhoon (2024) — pré-positionnement chinois infrastructures critiques.

Comment se protéger contre une attaque OT ?

Cinq leviers spécifiques OT : cartographie des actifs et protocoles, segmentation IT-OT stricte (architecture Purdue, DMZ industrielles), sondes passives adaptées (Nozomi, Claroty, Tenable.OT), patch management avec fenêtres planifiées, plan de continuité industriel avec scénarios de retour au mode manuel.

Quelles normes régissent la cybersécurité OT ?

Référentiel principal : IEC 62443 (norme internationale, niveaux SL1 à SL4). En France, LPM impose des obligations aux OIV pour leurs SIIV. NIS2 (octobre 2024) élargit ces obligations à plus d'opérateurs. ANSSI publie des guides spécifiques OT. Pour le nucléaire : doctrine ASN spécifique.

↩ Cette page est une définition de la sectorielle Crise cyber — retour au guide pilier pour le panorama complet.

↑ Crise cyber (sectorielle)Le panorama complet. → Sabotage / wiperSabotage cyber proche du sabotage industriel. → APT & espionnageActeurs étatiques principaux opérateurs des attaques OT.

Renforcer la cybersécurité de votre OT ?

30 minutes pour cadrer vos enjeux et dessiner une trajectoire réaliste. Gratuit, sans engagement.

Discuter avec un consultant

Attaque OT industrielle

C'est quoi une attaque OT industrielle ?

C'est quoi une attaque OT ?

Pourquoi l'OT est différente de l'IT

Les attaques OT en chiffres

Attaques OT marquantes

Stuxnet

BlackEnergy / Industroyer

Triton / Trisis

Colonial Pipeline

Oldsmar

Volt Typhoon (Chine)

5 réflexes pour protéger un environnement OT

Cartographie OT

Segmentation IT-OT

Sondes passives OT

Patch management adapté

Plan de continuité industriel

L'approche Twist face aux attaques OT

FAQ Attaque OT industrielle

Renforcer la cybersécurité de votre OT ?

Votre message à bien été envoyé