Prestataires cybersécurité pour le secteur Chimie

Profil cyber du secteur Chimie : surface d'attaque, vecteurs typiques et contraintes réglementaires

Le secteur chimique conjugue des risques cyber et des risques technologiques majeurs. La France compte 1 301 établissements SEVESO dont 692 seuil haut et 609 seuil bas, et nombre d'entre eux relèvent de l'industrie chimique. L'interconnexion croissante entre systèmes informatiques (IT) et systèmes de contrôle industriel (OT) expose ces installations à des attaques qui peuvent provoquer un arrêt de production, des dommages matériels, voire une pollution environnementale.

Une cyberattaque par ransomware contre une usine chimique où le blocage du système de refroidissement d'un réacteur pourrait provoquer une surchauffe et un risque d'explosion illustre la gravité de la menace. Les vecteurs d'attaque dominants restent les ransomwares, les attaques ciblées (APT) et les dénis de service (DDoS) qui ont doublé entre 2023 et 2024. L'interconnexion croissante entre IT et OT augmente la surface d'attaque, tandis que l'obsolescence technologique de nombreux systèmes industriels les rend peu préparés aux menaces modernes.

Au-delà de NIS2, le secteur chimique est soumis à un arsenal réglementaire exigeant. La directive Seveso III renforce les exigences en matière de prévention des accidents majeurs, en tenant compte des risques émergents comme les cyberattaques. Le Code de l'environnement impose aux exploitants d'ICPE de maîtriser l'ensemble des risques liés à leur activité, y compris les risques cybernétiques. Si l'installation fait partie des établissements classés Seveso, elle est concernée par la directive 2012/18/UE dite « directive Seveso 3 ». Les sites d'importance vitale (OIV) doivent en outre se conformer à la Loi de Programmation Militaire (LPM) et à ses obligations en matière de sécurité des systèmes d'information d'importance vitale.

Mesures NIS2 prioritaires pour le secteur Chimie

Analyse de risques : la convergence IT/OT impose une cartographie exhaustive des actifs critiques — automates, SCADA, superviseurs — et l'identification des scénarios d'accidents cyber-physiques (surchauffe, fuite, explosion). Les méthodes EBIOS Risk Manager ou IEC 62443 permettent d'intégrer les risques cyber dans les études de dangers SEVESO.

Gestion des incidents de sécurité : élaborer un plan de reprise d'activité (PRA) pour restaurer rapidement les systèmes en cas d'incident est indispensable. Le plan doit articuler le POI (Plan d'Opération Interne) SEVESO et les procédures cyber, prévoir la bascule sur des systèmes redondants et définir les seuils de déclenchement — arrêt de production, mise en sécurité des réacteurs, remontée CERT-FR ou ANSSI.

Continuité d'activité : les installations chimiques à risque doivent garantir la disponibilité des systèmes de commande et de surveillance même en mode dégradé. Sauvegardes hors ligne des configurations d'automates, plans de délestage, capacité à basculer en pilotage manuel et formation des opérateurs sont des éléments clés.

Cyberhygiène et formation : former le personnel aux risques cybernétiques et aux bonnes pratiques réduit la surface d'attaque humaine. Tous les intervenants sur site doivent détenir des habilitations sécurité spécifiques (N1, N2 référentiel DT40 France Chimie) et suivre des modules de sensibilisation cyber adaptés aux environnements industriels.

Quels prestataires mobiliser

PASSI : indispensables pour auditer la sécurité des systèmes OT et IT. Les PASSI réalisent des tests d'intrusion sur les réseaux industriels, évaluent la robustesse des automates et des pare-feux zone IT/OT, et vérifient la conformité aux exigences LPM et Seveso. Privilégiez les prestataires disposant d'une expérience sectorielle et de compétences en normes IEC 62443.

PRIS : en cas d'incident cyber — ransomware, sabotage — le PRIS intervient pour contenir la menace, analyser les compromissions et restaurer les capacités opérationnelles. La connaissance des environnements industriels et la capacité à interagir avec les équipes de maintenance sont critiques.

PDIS : la détection précoce d'anomalies sur les réseaux OT limite les impacts opérationnels et physiques. Un SOC industriel capable de corréler les événements IT et OT et de détecter les comportements anormaux (commandes hors gabarit, accès non autorisés aux automates) renforce la résilience.

PACS : pour accompagner la mise en conformité NIS2, Seveso III et LPM. Le PACS aide à construire les politiques de sécurité, à définir l'architecture réseau (segmentation IT/OT), à rédiger les études de dangers intégrant les scénarios cyber et à préparer les audits DREAL ou ANSSI.

Pour le contexte réglementaire NIS2 détaillé de Chimie, voir notre fiche complète.

Sources de cette fiche

• https://www.securipro.eu/blog/securite/les-obligations-des-sites-seveso/
• https://www.previnfo.net/article/cybers-curit-industrielle-anticiper-les-risques-technologiques-en-529.html
• https://bigmedia.bpifrance.fr/nos-dossiers/la-cybersecurite-industrielle-un-enjeu-de-demain
• https://www.advens.com/media/securite-operationnelle/cyberattaques-industrie/
• https://www.techniques-ingenieur.fr/base-documentaire/automatique-robotique-th16/systemes-d-information-et-de-communication-42397210/cybersecurite-des-installations-industrielles-s8257/les-aspects-reglementaires-s8257niv10007.html
• https://www.francechimie.fr/positions-expertises/sante-securite-environnement/securite-et-surete-des-sites-industriels/surete-des-sites-chimiques-et-de-la-chaine-logistique