Futuristic image that represents IT/OT isolation

Résilience des infrastructures opérationnelles et critiques : quand les États parlent d’isolation

En l’espace de quelques mois, les pays du Five Eyes (alliance des services de renseignement comprenant l’Australie, le Canada, la Nouvelle-Zélande, le Royaume-Uni et les États-Unis), le Japon et la France ont, tour à tour, publié des guides de résilience cyber destinés aux opérateurs d’infrastructures critiques. Le ton a résolument changé. On ne parle plus de « renforcer les défenses ». On parle d’isoler les systèmes OT, de fonctionner en mode dégradé en cas d’attaques, de reconstruire à partir de sauvegardes hors ligne.

Ce virage n’est pas théorique. Il est dicté par deux réalités convergentes : des campagnes de pré-positionnement étatique découvertes dans des infrastructures civiles, et un conflit armé, celui qui oppose les États-Unis et Israël à l’Iran, au cours duquel des attaques OT ont causé des disruptions opérationnelles réelles sur le sol américain.

À retenir

Les États-Unis, le Royaume-Uni, l’Australie, le Canada, le Japon et la France ont tous publié des guides de résilience cyber pour les infrastructures critiques.
Tous les guides convergent : inventaire, identification des systèmes vitaux, isolation proactive de ces systèmes, détection continue, reconstruction testée.
La plateforme Seclab Xcore permet de répondre aux recommandations de ces guides grâce à un parcours en trois phases : Discover, Isolate, Detect.

1. Le contexte : des menaces qui ne sont plus hypothétiques

Des acteurs étatiques déjà à l’intérieur

Volt Typhoon, un groupe attribué à la Chine aurait maintenu des accès persistants dans des infrastructures critiques américaines (énergie, eau, télécommunications, transports) pendant au moins cinq ans avant d’être détecté. Le groupe a notamment été observé en train de tester des accès à des systèmes OT, comme des équipements de climatisation ou des systèmes de contrôle d’énergie et d’eau.

Salt Typhoon, également attribué à la Chine, aurait compromis au moins neuf opérateurs télécoms majeurs aux États-Unis et plus de 200 organisations dans 80 pays. Le FBI a confirmé en février 2026 que les menaces restaient actives.

L’objectif de ces campagnes n’est pas le renseignement classique. Les agences américaines l’affirment avec un haut degré de confiance : il s’agit de pouvoir perturber ou détruire des fonctions OT critiques au moment choisi par l’attaquant, typiquement en cas de conflit armé autour de Taïwan.

Des attaques OT désormais opérationnelles

Le 7 avril 2026, six agences fédérales américaines (FBI, CISA, NSA, EPA, DoE, CNMF) ont publié un avis conjoint confirmant que des acteurs APT affiliés à l’Iran exploitaient activement des automates programmables (PLC) accessibles depuis Internet, dans les secteurs de l’eau, de l’énergie et des services gouvernementaux. Certaines victimes ont ainsi subi des perturbations opérationnelles et des pertes financières.

Le contexte géopolitique est direct : ces attaques se sont intensifiées dans la foulée de l’opération militaire Epic Fury lancée le 28 février 2026 contre l’Iran. Cyberattaques et conflit cinétique avancent désormais en parallèle. En Europe, la Pologne a subi en décembre 2025 des cyberattaques coordonnées contre ses centrales électriques, en plein hiver, visant les systèmes de chauffage.

Le verdict des agences

La formulation du NCSC britannique dans son guide publié en janvier 2026 résume le changement de paradigme : la résilience, et non la prévention, est désormais l’exigence structurante. Les cyberattaques ne seront pas toujours arrêtées au périmètre. Les organisations doivent pouvoir maintenir leurs opérations et se rétablir sous pression.

2. Les initiatives nationales : ce que demandent les guides

🇺🇸 États-Unis, mai 2026

Dans l’actualité toute récente, la CISA a lancé CI Fortify, son initiative de résilience pour les infrastructures critiques. Le document est sans ambiguïté sur le scénario de planification : les opérateurs doivent présumer que, dans un scénario de conflit, les connexions tierces (télécommunications, Internet, fournisseurs, prestataires de services) seront peu fiables, et que des acteurs malveillants auront un accès au réseau OT.

Recommandations :

Déconnecter proactivement les réseaux OT des réseaux d’entreprise et des connexions tierces pour maintenir les opérations essentielles dans un environnement de communications dégradé.

Documenter les systèmes, sauvegarder les fichiers critiques, et s’entraîner au remplacement de systèmes ou au passage en mode manuel en cas d’échec de l’isolation.

La CISA a commencé des évaluations ciblées auprès d’organisations supportant la sécurité nationale, la santé publique et la continuité économique, avec un objectif de montée en charge dans les prochains mois.

🇬🇧 Royaume-Uni, janvier 2026

Le National Cyber Security Centre a également publié son guide à destination des opérateurs d’infrastructures critiques. Le document définit le concept de menace cyber sévère : une attaque délibérée, hautement perturbatrice ou destructrice, visant à arrêter des services critiques pendant des périodes prolongées, à endommager physiquement des systèmes ou à effacer des données pour rendre la reprise impossible.

Recommandations :

Développer des stratégies et plans de réponse à l’échelle de l’organisation

Améliorer la conscience situationnelle par le monitoring et le partage de renseignement

Durcir les systèmes et réseaux pour réduire les vulnérabilités

Garantir la capacité de maintenir les opérations et de se rétablir pendant une perturbation

🇦🇺 Australie, octobre 2025

L’Australie a été la première de l’alliance Five Eyes à publier son propre programme CI Fortify. Le document s’inscrit dans le sillage de l’évaluation annuelle de l’ASIO (agence de renseignement intérieur), qui qualifie l’espionnage et l’ingérence étrangère de niveaux extrêmes et en voie d’intensification.

Le CI Fortify australien est structuré autour de trois étapes préparatoires et deux actions planifiées :

Étapes préparatoires :

Maintenir un inventaire à jour de tous les actifs OT et systèmes supports, classés par criticité
Identifier les systèmes OT vitaux nécessaires à la continuité des services critiques
Définir des seuils de risque pour évaluer l’impact de l’isolation sur les opérations

Actions planifiées :

Être capable d’isoler les systèmes OT vitaux pendant 3 mois
Être capable de reconstruire intégralement ces systèmes à partir de sources hors ligne

Le programme indique que ces capacités doivent servir au-delà du seul scénario cyber : elles améliorent aussi la réponse aux catastrophes naturelles et aux perturbations de chaîne d’approvisionnement.

🇨🇦 Canada, avril 2026

Le Centre canadien pour la cybersécurité a lancé l’initiative CIREN (Critical Infrastructure Resilience and Escalated Threat Navigation).

Recommandations :

Être préparés à isoler les systèmes pendant 3 mois maximum

Développer et tester des plans pour opérer de manière indépendante (sans connectivité externe)

Planifier la reconstruction complète des systèmes en réponse à des incidents cyber sévères

🇯🇵 Japon, octobre 2025

Le Ministère de l’Économie du Japon a défini des directives spécifiques de sécurité OT pour les usines de semi-conducteurs, reconnaissant qu’une cyberattaque contre une fabrication aurait des répercussions mondiales en cascade. Cette approche sectorielle de la résilience, centrée sur les infrastructures dont la défaillance provoquerait un effet domino international, fait écho à la logique de priorisation que portent les programmes CI Fortify et CIREN.

🇪🇺 Europe, NIS2

L’Europe a été précurseur sur le sujet de la résilience des infrastructures critiques. En 2016, la Directive NIS1 posait déjà les bases d’un cadre réglementaire bien avant les guides opérationnels du Five Eyes. NIS2 (2022) a considérablement élargi l’initiative.

Là où les Five Eyes ont choisi une approche directement opérationnelle, l’Europe a emprunté une voie réglementaire. L’ambition est plus large, le cadre plus structurant sur le long terme… mais la mise en œuvre est sensiblement plus lente.

En France, la Loi Résilience, qui transpose entre autres NIS2, est attendue pour juillet 2026. L’ANSSI a donc publié le ReCyF v2.5 en mars 2026, encourageant les organisations à s’emparer du sujet sans attendre et à appliquer les mesures recommandées pour atteindre les objectifs de sécurité de NIS2.

Ce que ces guides ont en commun

Malgré des formats et contextes nationaux différents, un socle de recommandations converge :

Inventorier tous les actifs OT, leurs dépendances et leurs connexions externes.

Toutes les initiatives placent l’inventaire exhaustif des actifs OT comme prérequis non négociable à toute stratégie de résilience.

L’inventaire doit être continu (les environnements OT changent), classifié par criticité (tous les actifs n’ont pas la même importance pour la continuité de service), et inclusif des systèmes habilitants (serveurs d’authentification, DNS, NTP, serveurs de licences, systèmes de sauvegarde) dont la défaillance peut rendre les actifs OT inopérants.

Identifier les systèmes vitaux nécessaires au maintien d’un service minimal.

Dans un environnement OT de plusieurs centaines ou milliers d’actifs, il est irréaliste (et contre-productif) de tout protéger au même niveau. La complexité explose, les coûts deviennent ingérables, et les équipes opérationnelles, déjà peu dimensionnées pour la cybersécurité, se retrouvent submergées.

Au lieu de déployer une protection uniforme puis de gérer les exceptions, on identifie d’abord les actifs dont la défaillance provoquerait un arrêt de la production ou un risque pour la sûreté, et on concentre sur ce périmètre restreint la protection maximale : isolation matérielle, sauvegardes hors ligne, procédures de reconstruction testées.

Réduire la surface d’attaque en supprimant les actifs, flux et accès obsolètes ou inutiles.

La découverte des actifs n’est pas seulement un exercice de cartographie. Elle doit aussi conduire à une réduction active de la surface d’attaque en identifiant et en supprimant les actifs, les flux et les accès qui ne sont plus nécessaires au fonctionnement opérationnel.

L’expérience montre que les environnements OT accumulent au fil du temps des équipements obsolètes restés connectés, des accès distants de prestataires jamais révoqués, des flux réseau configurés pour un projet ponctuel puis oubliés, des protocoles activés par défaut mais jamais utilisés. Chacun de ces éléments constitue un point d’entrée potentiel pour un attaquant. Les campagnes Volt Typhoon ont précisément exploité des équipements de périphérie oubliés (routeurs SOHO, appliances VPN non patchées) pour établir leurs accès.

Isoler proactivement les systèmes OT critiques des réseaux IT et d’Internet, avec une capacité testée de fonctionnement en mode isolé pendant des semaines à des mois.

La capacité d’isolation proactive des systèmes OT vitaux doit être vue, non pas comme un dernier recours improvisé, mais comme une capacité planifiée, testée et maîtrisée.

Une séparation matérielle ou logique vérifiable entre les réseaux OT et les réseaux IT/Internet, pas seulement des règles de pare-feu, mais une rupture protocolaire garantissant qu’aucun paquet réseau ne peut traverser la frontière de manière non contrôlée. Le système doit permettre aux fonctions vitales de continuer à tourner avec le minimum de connexion nécessaire.
Des points d’isolation identifiés et documentés permettant de déconnecter rapidement les segments OT critiques.
Des sauvegardes hors ligne vérifiées des firmwares, configurations et documentation, permettant une reconstruction sans dépendance à des services en ligne.
Des procédures de basculement en mode manuel pour les processus automatisés qui traversent la frontière OT/IT.
Des tests réguliers de ces procédures, car l’isolation qui n’a jamais été exercée est de l’isolation qui échouera le jour où elle sera nécessaire.

Détecter en continu les menaces et anomalies sur l’ensemble de l’infrastructure, y compris via du threat hunting avant toute reconnexion après une période d’isolation.

En environnement OT, la détection ne peut pas reposer sur les mêmes approches qu’en IT. Les réseaux industriels changent peu : un nouveau flux, un nouvel équipement, un changement de comportement sont des signaux significatifs.

L’approche la plus adaptée consiste à détecter les déviations par rapport à un état de référence connu, plutôt que de chercher à identifier chaque menace individuellement. Contrairement à l’approche privilégiée dans l’IT, cette méthode produit moins de faux positifs et se prête mieux aux équipes opérationnelles qui ne sont pas dimensionnées pour traiter des centaines d’alertes quotidiennes.

Préparer la reconstruction à partir de sauvegardes hors ligne vérifiées.

Les sauvegardes doivent être stockées sur des supports physiquement déconnectés du réseau (air-gapped) pour éviter toute dégradation intentionnelle. Elles doivent être vérifiées régulièrement : une sauvegarde non testée est une promesse, pas une garantie. Les procédures de restauration doivent être documentées et exercées, idéalement dans des conditions proches du scénario réel, c’est-à-dire sans accès Internet, sans support fournisseur distant, et avec des équipes qui n’ont peut-être jamais pratiqué une reconstruction complète.

3. L’approche Seclab : du constat à l’action

Les recommandations convergentes de ces initiatives se retrouvent dans l’approche de la plateforme Xcore de Seclab. Cette approche structure le parcours de cybersécurité OT en trois phases : Discover, Isolate, Detect. Chaque phase apporte une valeur immédiate et prépare la suivante, sans nécessiter un déploiement monolithique ni interrompre la production.

Phase 1 : DISCOVER, construire une connaissance approfondie de l’environnement OT

Identifier tous les actifs et flux OT. C’est le point de départ. On ne protège pas ce qu’on ne connaît pas. Le module Seclab Xplore réalise une cartographie non-intrusive de l’ensemble des équipements connectés au réseau OT et des ports USB utilisés, sans injecter de trafic ni perturber les processus. L’objectif : obtenir une photographie fidèle de ce qui existe réellement sur le terrain, y compris les équipements oubliés, les connexions non documentées et les flux non autorisés.

Construire un inventaire structuré, une matrice de flux et une cartographie réseau. L’identification brute ne suffit pas. Il faut structurer l’information : classer les actifs par type, par fonction et par zone, cartographier les flux entre équipements et entre zones, et produire une représentation réseau exploitable aussi bien par les équipes IT qu’OT. Cet inventaire structuré est le livrable exigé par l’agence australienne, par le CIREN canadien, et par NIS2 (article 21). Il constitue aussi la base indispensable pour tout audit IEC 62443 ou toute évaluation de conformité.

Identifier les vulnérabilités et évaluer les risques. Sur la base de l’inventaire, on confronte chaque actif aux vulnérabilités connues, aux configurations à risque et aux expositions réseau. L’objectif est de produire une évaluation des risques priorisée, qui distingue les vulnérabilités critiques (celles qui pourraient être exploitées pour compromettre un processus industriel) des risques secondaires.

Définir les actifs critiques à protéger (MVDI) et les flux métier à autoriser. C’est l’étape décisive. Toutes les initiatives demandent d’identifier les « systèmes vitaux » (Australie), le « service minimal en mode isolé » (États-Unis), les « fonctions essentielles » (Canada). Seclab formalise ce concept sous le nom de MVDI (Minimum Viable Digital Industry) : le périmètre minimal d’actifs numériques dont la continuité est indispensable au maintien des opérations industrielles. On identifie les actifs dont la défaillance provoquerait un arrêt de production ou un risque pour la sûreté, les systèmes habilitants qui les supportent, et les flux métier strictement nécessaires à leur fonctionnement. Le MVDI est le socle de survie numérique de l’usine.

Phase 2 : ISOLATE, déployer une protection guidée par la découverte

Isoler les actifs critiques (MVDI) au niveau réseau. C’est le cœur de la promesse de résilience. Les guides demandent une séparation vérifiable entre réseaux OT et IT, pas seulement des règles de pare-feu. Les campagnes Volt Typhoon et Salt Typhoon ont précisément exploité des équipements de sécurité logiciels (Fortinet non patchés, routeurs SOHO compromis) pour maintenir leurs accès pendant des années. Quand l’attaquant est déjà dans le réseau IT avec des accès privilégiés, la séparation logicielle entre IT et OT devient une ligne Maginot numérique.

Seclab Xchange répond à cette exigence par une isolation électronique qui crée un véritable airgap matériel entre les deux réseaux. La technologie Electronic AirGap de Seclab rompt physiquement le protocole réseau. Il n’existe aucun chemin réseau direct entre les deux côtés. Les données autorisées sont reconstruites et transférées à travers cette rupture matérielle, en respectant strictement la politique de sécurité définie (sens de transfert, types de fichiers, protocoles). Cet airgap matériel ne peut pas être corrompu par un attaquant, même s’il dispose d’un accès administrateur d’un côté de la frontière. Le résultat : une isolation qui laisse passer uniquement les flux nécessaires au fonctionnement opérationnel, tout en garantissant qu’aucune attaque réseau ne peut traverser la frontière, y compris les zero-days.

Sécuriser les actifs critiques legacy ou déconnectés via l’isolation USB. Certains équipements du MVDI ne sont pas connectés au réseau : automates sur des sites distants, postes de supervision en zone restreinte, systèmes legacy sans interface réseau. Pour ces environnements, l’USB est le seul moyen d’interagir avec les machines et équipements OT. Mises à jour de firmware, chargement de recettes automate, export de logs, transfert de configurations… tout passe par la clé USB.

C’est aussi le cas dans les scénarios d’isolation prolongée décrits par CI Fortify et le CIREN : quand les connexions réseau sont coupées pendant des semaines ou des mois, le média USB devient le dernier cordon ombilical opérationnel. Or ce vecteur est aussi l’un des plus exploités en OT (37 % des menaces OT sont conçues pour se propager via USB, selon Honeywell). L’isolation USB devient alors indispensable. Seclab Xport, branché entre le média USB et le poste critique, crée un point de contrôle matériel : vérification de l’intégrité et de l’authenticité des fichiers, blocage des attaques physiques et contrôle directionnel des transferts. Il est totalement plug and play et ne nécessite aucune installation logicielle.

Segmenter les actifs non critiques avec des équipements de sécurité standard. Tous les actifs OT ne relèvent pas du MVDI. Pour les systèmes non critiques, une segmentation réseau classique (pare-feux industriels, VLAN, zones DMZ) reste appropriée et proportionnée. La découverte réalisée dans la phase DISCOVER permet de dimensionner cette segmentation sur la base d’une connaissance réelle des flux, et non sur des hypothèses.

Phase 3 : DETECT, surveiller en continu les menaces et anomalies

Maintenir un monitoring continu des changements. L’environnement OT évolue : nouveaux équipements connectés, modifications de flux, ajouts d’accès distants. Seclab Xplore assure une surveillance continue qui détecte tout écart par rapport à l’état de référence établi lors de la phase Discover. Un nouvel actif, un flux inattendu, un port USB utilisé sur un poste où il ne devrait pas l’être : autant de signaux qui déclenchent une alerte avant qu’ils ne deviennent des vecteurs d’attaque.

Détecter les menaces et anomalies en temps réel. Au-delà du suivi des changements, Seclab Xplore embarque trois moteurs de détection complémentaires (signatures Sigma, Suricata, AI) pour identifier les attaques en cours : scans réseau, tentatives de connexion sur des ports industriels comme Modbus ou S7, comportements anormaux d’automates, mouvements latéraux. L’isolation du MVDI réduit mécaniquement le périmètre de surveillance et le volume d’alertes, concentrant la détection là où elle est le plus nécessaire.

Adapter l’isolation ou la segmentation en réponse. La détection n’a de valeur que si elle débouche sur une action. Quand une menace est confirmée sur un segment non critique, la réponse peut consister à renforcer la segmentation, à isoler temporairement une zone supplémentaire, ou à resserrer les politiques de filtrage sur le Seclab Xchange. Le modèle boucle ainsi sur lui-même : la détection alimente la protection, qui alimente la détection.