BYCYB
on avril 23, 2026
Partager cet article :

Cybersécurité IIoT et conformité (CRA, IEC 62443 et recommandations de l’ANSSI…)

Le 11 décembre 2027 une date à marquer d’une pierre blanche, le Cyber Resilience Act (CRA) entrera en application complète dans tous les États membres de l’Union européenne. À cette date, tout produit comportant des éléments numériques mis sur le marché européen devra satisfaire les exigences de cybersécurité du Règlement (UE) 2024/2847 dès la conception, et sur l’ensemble de son cycle de vie. Pour les fabricants d’équipements IIoT (Internet industriel des objets), d’automates communicants, de passerelles industrielles et de systèmes de supervision, le compte à rebours est lancé.

Dans le même temps, l’ANSSI a publié en novembre 2025 la v2 de son guide sur la cybersécurité des systèmes industriels (ANSSI-PA-108), actualisant son socle de recommandations techniques et organisationnelles sur quatre niveaux de classes (cf section 1.4 guide ANSSI) et introduisant pour la première fois des correspondances explicites avec l’IEC 62443 (cf guide ANSSI section1.1). De son côté, la norme IEC 62443 fournit depuis plusieurs années un cadre de référence pour la sécurisation des architectures OT, notamment à travers ses Security Levels de SL1 à SL4 et son modèle de zones et conduits.

Les trois référentiels (le Cyber Resilience Act, le guide ANSSI-PA-108 de l’ANSSI et la norme IEC 62443) forment un cadre cohérent qui clarifie les rôles entre fabricant, exploitant et intégrateur. Cet article les croise pour fournir aux décideurs industriels des réponses concrètes et un chemin d’action réaliste, basé sur les faits, sans dramatisation ni ambiguïtés.

L’IIoT industriel, nouvelle cible prioritaire des cyberattaquants ?

Les systèmes industriels ont longtemps bénéficié d’une protection implicite : ils fonctionnaient en vase clos, sur des réseaux propriétaires inaccessibles depuis l’extérieur. Mais cette époque est révolue. La convergence IT/OT, la connexion croissante entre les systèmes de gestion d’entreprise et les équipements de production a radicalement élargi la surface d’attaque disponible.

Les capteurs, automates, passerelles et systèmes de supervision qui constituent l’IIoT sont désormais connectés à des réseaux d’entreprise, à des plateformes cloud ou à Internet, souvent accessibles via des connexions de télémaintenance ou distantes, ce qui élargit la surface d’attaque au delà des périmètres OT traditionnels.

Le Panorama de la cybermenace ANSSI 2025 confirme un niveau de menace toujours élevé, qui n’épargne aucun secteur. Parmi les tendances documentées par l’Agence, le ciblage d’automates industriels exposés sur Internet sans authentification produit désormais des effets physiques réels notamment des actions illégitimes sur des vannes et des interruptions de chaînes de production au-delà de la simple exfiltration de données.

Deux malwares illustrent ce basculement mieux que n’importe quelle statistique.

  • Fuxnet, documenté en 2024 et attribué par certaines sources au groupe Blackjack ce malware ICS a été conçu pour détruire physiquement des capteurs industriels en ciblant leurs composants internes une attaque qui ne vole pas de données, elle détruit du matériel.
  • FrostyGoop, analysé la même année par Dragos, a exploité le protocole Modbus pour interférer avec des systèmes de chauffage urbain en Ukraine, provoquant des coupures de chaleur en plein hiver pour des milliers de foyers.

Dans les deux cas, le vecteur d’entrée initial était un équipement industriel connecté insuffisamment sécurisé.

Ce qui distingue ces attaques des incidents IT classiques, c’est leur capacité à provoquer des arrêts de production, des dommages matériels et des risques pour la sécurité physique des opérateurs. Une compromission d’objets connectés industriels ne se mesure plus seulement en données exfiltrées, mais en heures d’arrêt, en lots de production perdus et en interventions d’urgence sur site.

Ce qui rend l’IIoT structurellement plus vulnérable que l’IT classique

Dans un système d’information classique, un correctif de sécurité se déploie plus rapidement, sur des équipements fréquemment remplacés (tous les trois à cinq ans), selon une logique où la protection des données prime. Cependant dans un environnement industriel ces paramètres ne sont pas adaptables notamment parce que les contraintes de disponibilité, de validation et de long cycle de vie rendent ces opérations beaucoup plus délicates. C’est cette différence structurelle au-delà d’un retard méthodologique ou de maturité, qui rend l’IIoT plus difficile à sécuriser.

Les équipements industriels ont une durée de vie qui n’a pas d’équivalent en IT. Là où un serveur bureautique se renouvelle tous les cinq ans, le guide ANSSI-PA-108 constate que dans l’industrie « les équipements sont généralement déployés pour au moins 20 ans » (cf ch.2, tableau des contraintes guide ANSSI) avec comme conséquence directe « l’obsolescence » qui rend impossible toute mise à jour ou intégration de fonctions de sécurité après mise en service. Sur ces systèmes, la logique de sécurité est inversée par rapport à l’IT classique : « la priorité est donnée à l’intégrité et à la disponibilité du système » (cf section 2.2.1 guide ANSSI), pas à la confidentialité des données. Patcher un automate, c’est donc accepter d’arrêter une ligne et potentiellement déclencher une procédure de requalification, puisque « l’application d’un correctif peut entraîner la nécessité de requalifier le système industriel du point de vue de la sûreté de fonctionnement » (cf section 2.2.1 guide ANSSI). Faute d’environnement de test dédié « l’entité responsable dispose rarement d’une plate-forme d’essai » (cf section 2.2.1 guide ANSSI) les tests de non-régression sont impossibles.

Résultat : « la plupart des systèmes n’ont pas de procédure ou de mécanisme technique pour l’application des correctifs de sécurité » (cf section 2.2.1 guide ANSSI).

À cette contrainte sur le cycle de vie s’ajoute une vulnérabilité protocolaire de conception. Les systèmes industriels recourent souvent à des protocoles réseau dépourvus de mécanismes de sécurité ni chiffrement, ni authentification. Modbus TCP, Profinet, EtherNet/IP : ces protocoles ont été conçus pour la performance et la fiabilité, pas pour résister à un attaquant. Un accès non contrôlé permet alors de modifier des trames à la volée, de forger des commandes ou de récupérer des identifiants circulant en clair.

Le modèle de référence IEC 62443 répond à cette problématique en structurant les architectures OT en zones et conduits : chaque zone regroupe des équipements partageant des exigences de sécurité communes, tandis que chaque conduit contrôle strictement les flux entre zones. Derrière cette approche se trouve le modèle de Purdue, qui distingue cinq niveaux, du terrain (capteurs, actionneurs) jusqu’aux systèmes de gestion d’entreprise. Ce cloisonnement constitue le fondement de la défense en profondeur en environnement industriel et l’absence de sa mise en œuvre est l’une des faiblesses les plus fréquemment documentées par l’ANSSI.

Évaluer votre maturité via des audits OT, la conformité au Cyber Resilience Act et des pentests IIoT adaptés.

Obtenez un devis

Les menaces concrètes qui pèsent sur les environnements IIoT

Trois typologies d’attaques dominent le paysage de la menace sur les environnements industriels connectés, telles que documentées par l’ANSSI sur la période 2024-2025.

  • La première est le rançongiciel à impact opérationnel. Le Panorama de la cybermenace ANSSI 2025 rappelle que les attaques par rançongiciel peuvent entraîner l’interruption des chaînes de production et des services fournis par la victime. Les PME et ETI industrielles restent la catégorie la plus touchée. Entre janvier et juin 2025, l’ANSSI a documenté la compromission par rançongiciel de plusieurs entités industrielles impliquées dans la chaîne d’approvisionnement de la Base Industrielle et Technologique de Défense française des entreprises de conception et fabrication de systèmes, pièces et logiciels liés aux secteurs de l’armement et de l’aéronautique.
  • La deuxième est le sabotage opportuniste via des interfaces exposées. L’Agence traite depuis 2024 des signalements répétés ciblant des installations d’énergie renouvelable : des groupes hacktivistes pro-russes visent des automates dont l’interface de gestion est exposée sur Internet sans authentification ou avec un mot de passe par défaut, avec pour objectif d’agir directement sur les vannes et turbines des installations. En 2025, ces mêmes groupes ont ciblé des équipements liés au secteur de l’eau en France et en Europe à des fins de déstabilisation.
  • La troisième est la compromission par rebond via les sous-traitants. L’ANSSI a observé en 2025 de nombreux cas où un attaquant, après avoir compromis un prestataire, s’est latéralisé vers les systèmes d’information de ses clients industriels en exploitant les interconnexions existantes et des authentifiants volés.

Ces trois vecteurs ont un point commun : ils n’exploitent pas des failles techniques inédites, mais des lacunes organisationnelles et architecturales que le guide ANSSI-PA-108 documente depuis des années comptes par défaut non modifiés, interfaces exposées sans contrôle d’accès, segmentation IT/OT inexistante ou partielle.

IIoT : comment le Cyber Resilience Act redéfinit la sécurité des produits connectés

Le Cyber Resilience Act (Règlement UE 2024/2847) impose une rupture de logique : la cybersécurité devient une exigence de mise sur le marché européen, et non plus une bonne pratique optionnelle. Pour l’IIoT, cela concerne directement les capteurs communicants, passerelles industrielles, automates connectés et systèmes de supervision intégrant des éléments numériques commercialisés dans l’Union européenne.

Le calendrier est progressif. À partir du 11 septembre 2026, les fabricants sont tenus de signaler au CERT-FR toute vulnérabilité activement exploitée et tout incident grave affectant leurs produits. Au 11 décembre 2027, l’ensemble des exigences entre en vigueur : recensement et documentation des vulnérabilités et composants, correction sans retard injustifié, tests de sécurité réguliers, distribution sécurisée des mises à jour, politique de divulgation coordonnée. La répartition est actée l’ANFR pour la surveillance du marché, l’ANSSI en appui technique mais le dispositif de contrôle suivra le même calendrier progressif.

Le CRA distingue trois positions. Le fabricant supporte la charge principale : conception sécurisée, analyse de risque sur tout le cycle de vie, gestion des vulnérabilités. L’importateur vérifie la conformité des produits avant distribution. Le distributeur assure traçabilité et coopération avec les autorités. Pour un industriel acheteur d’équipements IIoT, cela transforme ses exigences contractuelles : cybersécurité comme critère d’appel d’offres, engagements de support et de correction des vulnérabilités formalisés dans les contrats.

Un point à clarifier sans ambiguïté : le CRA ne s’applique pas rétroactivement aux équipements déjà déployés. C’est la mise sur le marché qui déclenche l’obligation pas l’usage. Un parc existant n’est pas rendu non conforme du seul fait de l’entrée en vigueur du règlement, sauf si une nouvelle version ou modification substantielle est remise sur le marché.

Évaluer votre maturité via des audits OT, la conformité au Cyber Resilience Act et des pentests IIoT adaptés.

Obtenez un devis

CRA, IEC 62443 et panorama cybermenaces ANSSI 2025 : vers une convergence des cadres de cybersécurité industrielle

Trois référentiels structurent aujourd’hui la cybersécurité des systèmes industriels connectés en France et en Europe. Leur superposition n’est pas un hasard : ils répondent à trois logiques complémentaires qui, une fois articulées, constituent un cadre cohérent de gestion du risque IIoT.

  • Le CRA (Règlement UE 2024/2847) opère au niveau du produit : il fixe les exigences de cybersécurité que tout fabricant doit respecter pour mettre un équipement comportant des éléments numériques sur le marché européen. Son Annexe I définit les exigences essentielles conception sécurisée, gestion des vulnérabilités, intégrité des mises à jour. C’est une logique de conformité produit, indépendante du secteur d’application.
  • L’IEC 62443 opère au niveau du système et de l’architecture. La norme définit quatre Security Levels (SL1 à SL4) qui caractérisent selon la définition reprise dans le guide ANSSI-PA-108 « un ensemble de mesures qui concourent à la réduction du niveau des risques relatifs à un système, une zone de sécurité ou un conduit ». Son modèle zones/conduits structure le cloisonnement des architectures OT. Sa logique est opérationnelle : elle s’applique à l’exploitation d’un système industriel, pas à la mise sur le marché d’un produit.
  • Le guide ANSSI-PA-108 (novembre 2025) opère au niveau des mesures concrètes à déployer. Il propose un socle de recommandations organisationnelles et techniques réparties sur quatre classes de criticité croissante C1 (applicable à tous les systèmes) jusqu’à C4 (systèmes à criticité maximale). Pour chacune de ses recommandations, le guide introduit des correspondances avec les exigences IEC 62443, permettant d’aligner les deux référentiels au niveau de chaque mesure de sécurité.

Ces trois référentiels ne se substituent pas l’un à l’autre. Un fabricant d’équipements IIoT doit satisfaire au CRA pour accéder au marché européen, implémenter l’IEC 62443 pour sécuriser l’architecture dans laquelle son équipement s’intègre, et s’appuyer sur le guide ANSSI pour définir les mesures concrètes adaptées à la criticité de son installation. La conformité CRA n’implique pas automatiquement la sécurité opérationnelle et inversement.

Les contrôles prioritaires à mettre en place sur un parc IIoT existant

Sécuriser un environnement IIoT ne commence pas par les outils les plus sophistiqués. Le guide ANSSI-PA-108 le documente depuis des années, et le Panorama 2025 le confirme dans ses retours d’incidents : la majorité des compromissions exploitent des faiblesses basiques. Voici les six contrôles qui réduisent le risque le plus significativement, dans un ordre de mise en œuvre réaliste.

  • Cartographier les assets avant tout autre action. Le guide ANSSI rappelle que la bonne connaissance de son système permet d’évaluer rapidement l’impact potentiel d’une vulnérabilité et de déterminer l’étendue d’une compromission (cf section 2.2.5 guide ANSSI). Sans inventaire, aucune autre mesure ne peut être cohérente. Un capteur oublié sur une ligne de production est souvent le point d’entrée initial.
  • Supprimer les identifiants par défaut et gérer les comptes. L’utilisation de mots de passe par défaut ou codés « en dur » permet à un attaquant d’utiliser directement des comptes avec des privilèges élevés (cf section 2.2.3 guide ANSSI). En pratique : pas de compte générique partagé entre opérateurs, désactivation systématique des comptes après départ d’un intervenant.
  • Segmenter les réseaux IT et OT. Le guide recommande un cloisonnement physique ou logique entre zones fonctionnelles, avec des flux limités au strict nécessaire entre le système industriel et le système d’information de gestion (cf sections 4.2.2 et 4.2.3 guide ANSSI). Une passerelle industrielle exposée sans segmentation donne accès à l’ensemble du réseau OT depuis le réseau bureautique.
  • Sécuriser les accès distants et la télémaintenance. Les connexions de télémaintenance doivent être établies à la demande pour une durée définie, avec authentification multifacteur, journalisation et cloisonnement de l’équipement accédé (cf sections 4.2.5 et R130 guide ANSSI). Les accès permanents non contrôlés sont l’un des vecteurs d’intrusion les plus fréquemment documentés.
  • Mettre en place une gestion des vulnérabilités firmware adaptée aux contraintes OT. Cela ne signifie pas patcher en continu c’est impossible dans la plupart des environnements industriels. Cela signifie planifier les correctifs lors des fenêtres de maintenance, maintenir un registre des exceptions et revoir périodiquement les risques résiduels (cf section 2.2.1 guide ANSSI).
  • Documenter les composants logiciels SBOM. Le CRA impose aux fabricants de recenser et documenter les vulnérabilités et composants de leurs produits. Pour un exploitant, disposer d’une SBOM à jour sur les équipements IIoT déployés permet de réagir immédiatement lors d’une alerte CVE, sans attendre que le fabricant communique.

Mettre en place ces six contrôles ne garantit pas l’invulnérabilité. Mais elle réduit drastiquement la surface exploitable et constitue le socle minimal que le guide ANSSI-PA-108 classe C1 applicable à tous les systèmes industriels, quelle que soit leur criticité.

FAQ : questions fréquentes sur la cybersécurité IIoT et le contexte réglementaire

Évaluer votre maturité via des audits OT, la conformité au Cyber Resilience Act et des pentests IIoT adaptés.

Obtenez un devis