OT : Operational Technology (technologie opérationnelle)

L'Operational Technology (OT) désigne l'ensemble des systèmes matériels et logiciels utilisés pour surveiller, contrôler et automatiser les processus physiques au sein d'environnements industriels. Contrairement à l'IT (Information Technology) qui gère les données et les systèmes bureautiques, l'OT se concentre sur les opérations physiques des machines et des processus dans les usines, centrales électriques, réseaux de distribution d'eau ou sites de production.

Périmètre et systèmes OT

L'OT regroupe les systèmes de contrôle industriel (ICS) tels que les systèmes SCADA (supervisory control and data acquisition), les DCS (distributed control systems), les RTU (remote terminal units) et les automates programmables industriels (PLC). Ces équipements collectent des données en temps réel via capteurs et actionneurs, pilotent des processus critiques et garantissent la continuité opérationnelle.

L'OT contrôle des systèmes spécialisés dans les secteurs énergie, industrie manufacturière, pétrole et gaz, robotique, télécommunications, gestion de l'eau et des déchets. Historiquement isolés physiquement (air gap) pour des raisons de sécurité, les réseaux OT se sont ouverts vers l'IT et le Cloud, brisant cette isolation et augmentant leur vulnérabilité face aux cybermenaces. Le cycle de vie d'un système OT peut s'étendre sur plusieurs décennies, contrairement aux équipements IT, ce qui complique le patching ou la mise à niveau.

Lien avec NIS2

La directive NIS2 (2022/2555) impose des obligations de cybersécurité renforcées aux opérateurs de services essentiels et entités importantes, avec un accent particulier sur les systèmes OT, exigeant notamment la mise en œuvre de mesures de gestion des risques adaptées, incluant la segmentation réseau entre systèmes IT et OT.

NIS2 requiert une gestion active des cyber-risques dans l'environnement OT, ce qui représente un domaine de risque totalement nouveau pour les opérateurs OT dont la gestion de risque se concentrait traditionnellement sur la sûreté opérationnelle. Pour détecter et répondre efficacement aux incidents, les organisations doivent inventorier les actifs présents dans leurs environnements industriels et identifier les flux de données critiques. Voir les mesures de sécurité détaillées à l'Article 21 §2 de NIS2.

Les normes techniques de référence incluent la norme IEC 62443, référentiel international pour la cybersécurité des systèmes d'automatisation et de contrôle industriel (IACS), largement reconnue comme base technique pour démontrer la conformité des systèmes OT.

Pour aller plus loin

• ANSSI – Cybersécurité des systèmes industriels
• NIST SP 800-82 Rev. 3 – Guide to Operational Technology (OT) Security