Comment déployer une politique de cybersécurité pour automates programmables (PLC) et HMI

Les automates programmables (PLC) et les interfaces homme‑machine (HMI) sont au cœur des installations industrielles. Je l'ai souvent vu sur le terrain : un PLC mal protégé, une HMI accessible depuis le réseau d'entreprise ou un poste de maintenance connecté sans contrôle suffisant et voilà que la disponibilité, la sécurité des opérations et parfois même la sécurité des personnes sont menacées. Mettre en place une politique de cybersécurité dédiée à ces équipements n'est pas un luxe — c'est une nécessité opérationnelle. Dans cet article, je partage une démarche pragmatique, basée sur des retours d'expérience, des standards (IEC 62443, bonnes pratiques NIST) et des mesures concrètes que vous pouvez déployer sur vos sites.

Comprendre le périmètre et les risques

Avant toute chose, il faut cartographier. Je recommande de démarrer par un inventaire exhaustif des PLC, HMI, RTU, passerelles, commutateurs et serveurs associés. Notez : modèle, firmware, version du runtime, ports ouverts, protocoles (Modbus, EtherNet/IP, Profinet, OPC UA...), interfaces physiques (USB, Ethernet, série) et points d'accès externes (VPN, accès à distance). Sans cette visibilité, toute politique reste théorique.

Les risques typiques que j'ai rencontrés sont : accès non authentifié via protocoles propriétaires, usage de comptes par défaut, firmware obsolète, connexions croisées IT/OT sans segmentation, et procédures de maintenance laissant des backdoors temporaires (ex. accès distant mal géré). Comprendre ces scénarios aide à prioriser les actions.

Segmenter le réseau OT et définir des zones

La segmentation réseau est la mesure la plus efficace pour limiter la portée d'une compromission. Dans plusieurs projets, j'ai appliqué le modèle zones/ conduits inspiré de l'IEC 62443 : séparer les zones de sécurité (safety, control, demilitarized) et définir des conduits contrôlés entre elles.

Isoler les PLC et HMI dans des VLANs spécifiques.

Utiliser des firewalls industriels (par ex. de Fortinet, Cisco, ou des appliances spécialisées comme Nozomi/Claroty intégrées) pour autoriser uniquement les services nécessaires.

Limiter les flux nord‑sud (IT↔OT) et loguer chaque connexion.

Renforcer les automates et les HMI (hardening)

Le hardening doit être systématique et reproductible. Pour chaque famille d'équipement, je définis une checklist de configuration minimale :

Désactiver les services et protocoles non utilisés (FTP, Telnet, HTTP non sécurisé).

Changer tous les mots de passe par défaut et appliquer une politique de mots de passe robustes ou l'usage d'authentification centralisée (RADIUS/LDAP/AD quand possible).

Activer les mécanismes d'authentification forte et le chiffrement (ex. OPC UA sécurisé, SSH plutôt que Telnet).

Verrouiller les ports USB/physiques si non nécessaires, ou utiliser des contrôles d'accès physiques et logiques pour les clés USB.

Appliquer les recommandations des constructeurs : Siemens (Step7/TIA Portal hardening), Rockwell/Allen‑Bradley, Schneider — chacun fournit des guides de sécurisation.

Mise à jour et gestion des firmwares

La mise à jour régulière des firmwares et des logiciels est souvent perçue comme risquée en production. Pourtant, j'ai constaté que l'absence de patching est un vecteur majeur d'attaque. Ma méthode : validation en laboratoire, plan de roll‑out et fenêtres de maintenance.

Maintenir un inventaire des versions et un calendrier de patching.

Tester les mises à jour dans un environnement de préproduction ou sur un simulateur d'automate.

Documenter et versionner les images de firmware et les configurations via un SCM (Git ou outil spécifique).

Contrôles d'accès et principes de moindre privilège

Limiter les droits est fondamental. J'applique le principe du moindre privilège aux comptes opérateurs, ingénieurs et aux services machine‑to‑machine.

Créer des rôles clairs (opérateur, ingénieur, administrateur) et utiliser l'authentification multi‑facteur pour les comptes à haut privilège.

Garder une traçabilité des accès : journalisation centralisée des connexions, actions critiques et des changements de configuration.

Interdire les comptes partagés et imposer une authentification individuelle pour la maintenance.

Supervision, détection et réponse

La détection précoce réduit l'impact d'un incident. J'intègre des systèmes de monitoring OT capables d'identifier les anomalies (connexions inhabituelles, changements de firmware, latences réseau).

Déployer des outils de monitoring réseau (NetFlow, DPI pour protocoles industriels) et de détection d'intrusion OT (IDS/IPS spécialisés : Claroty, Nozomi, Dragos).

Centraliser les logs (SIEM) pour corréler événements IT et OT.

Mettre en place un plan d'incident OT/IT : qui coupe quoi, comment isoler une ligne de production, quelles backups restaurer.

Sauvegarde, intégrité et reprise

La résilience repose sur des sauvegardes testées. Je recommande :

Backups réguliers des programmes PLC, des HMI, des configurations réseau et des recipes de process.

Vérification d'intégrité via hachage des binaires et contrôles périodiques pour détecter des altérations.

Procédures de restauration documentées et exercices de reprise en production.

Gestion de la maintenance et accès à distance

L'accès à distance est pratique mais dangereux s'il est mal géré. Dans mes projets, j'impose :

Usage d'une solution VPN d'entreprise avec MFA et journalisation (pas de connexions directes RDP sans tunnel et contrôle).

Portails d'accès temporaire (bastion/Jump-host) avec sessions enregistrées pour les prestataires externes.

Contrats fournisseurs précisant les exigences de cybersécurité pour toute intervention à distance.

Formation, procédures et culture

La technologie seule ne suffit pas : les opérateurs et techniciens doivent être formés. Je propose des formations pratiques sur les risques (spear‑phishing, manipulation de fichiers de configuration), des drills d'incident et des procédures simples à suivre en cas d'alerte.

Ateliers réguliers sur les bonnes pratiques OT.

Simulations d'incidents mêlant IT et OT pour tester coordination et temps de réaction.

Audits, conformité et amélioration continue

Instaurer des revues régulières — audits internes, tests d'intrusion OT (pentest) et évaluations selon IEC 62443 — permet d'ajuster la politique. Je tiens un tableau de bord des actions ouvertes, priorisées selon risque business (sécurité, environnement, production).

Domaines	Mesures concrètes
Inventaire	Asset discovery, liste firmware, cycles de vie
Segmentation	VLANs, firewalls industriels, DMZ OT/IT
Hardening	Désactivation services, gestion mots de passe, chiffrement
Patching	Tests préprod, calendrier, gestion des rollback
Monitoring	IDS OT, SIEM, journaux centralisés
Accès	MFA, bastion, comptes non partagés
Sauvegarde	Backups versionnés, tests de restauration

Si vous démarrez aujourd'hui, commencez par l'inventaire et la segmentation : c'est le meilleur rapport effort/impact. Ensuite, en parallèle, automatisez le hardening et mettez en place une surveillance adaptée. N'hésitez pas à vous appuyer sur des partenaires spécialisés pour les tests d'intrusion OT — l'expertise terrain (connaissance des automates, des logiques séquentielles) fait la différence entre un test utile et un impact inutile sur la production.

Je peux partager des templates de checklists de hardening et des exemples de politiques d'accès si vous le souhaitez. Sur Bioelec, j'essaierai aussi d'ajouter bientôt un cas pratique détaillé d'un déploiement que j'ai accompagné, avec les pièges rencontrés et les solutions retenues.