NIS2 et systèmes industriels (OT/ICS) : les exigences spécifiques

Les systèmes industriels (OT/ICS/SCADA) sont au coeur des secteurs critiques vises par la directive NIS2 : énergie, transport, eau, chimie, fabrication. Leurs spécificités exigent une approche de conformité adaptee.

Pourquoi l'OT est spécifique

Contrairement a l'IT classique, les environnements OT présentent des contraintes uniques : disponibilité 24/7 non negociable, équipements a longue durée de vie (15-30 ans), protocoles proprietaires, impossibilite de patcher sans arret de production, convergence IT/OT croissanté qui augmente la surface d'attaque.

Ce que NIS2 impose pour l'OT

Les 10 mesures de l'article 21 s'appliquent integralement, y compris aux environnements OT :

• Segmentation réseau : isolation IT/OT, DMZ industrielle
• Gestion des vulnérabilités : inventaire des équipements, patching planifie lors des arrets de maintenance
• Détection : sondes IDS/IPS adaptees aux protocoles industriels (Modbus, OPC-UA, S7)
• Sauvegardes : backup des configurations automates, programmes API, recettes
• Contrôle d'accès : suppression des mots de passe par defaut, MFA sur les accès distants

Le référentiel IEC 62443

La norme IEC 62443 est le référentiel de référence pour la cybersécurité des systèmes industriels. Elle est complémentaire du ReCyF et peut être utilisee pour la conformité NIS2 dans les environnements OT. L'ANSSI recommande son utilisation pour les secteurs énergie, transport, eau et chimie.

Voir le guide de mise en conformité et les pages sectorielles 18 secteurs.