SCADA : Supervisory Control And Data Acquisition

Un système SCADA supervise et contrôle des processus industriels depuis un poste central. Il s'agit d'un système de contrôle industriel (ICS) qui interagit avec des équipements et dispositifs pour piloter et monitorer des infrastructures critiques. Les systèmes SCADA assurent la surveillance et le contrôle d'actifs géographiquement distribués, tels que les réseaux électriques régionaux ou les réseaux de pipelines. Ces architectures s'appuient sur des capteurs de terrain, des automates (PLC), des unités de télémétrie (RTU) et des interfaces homme-machine (HMI) pour collecter, traiter et visualiser les données opérationnelles en temps réel.

Contexte et domaines d'application

Les systèmes ICS et SCADA régulent des processus critiques dans des secteurs comme la distribution d'énergie, le traitement de l'eau et les infrastructures de transport. L'acronyme SCADA désigne initialement une technologie développée pour automatiser des opérations lourdes ou complexes à superviser manuellement. Les systèmes permettent d'automatiser le contrôle de processus industriels trop complexes pour une gestion humaine, en détectant automatiquement les anomalies et en déclenchant des réponses programmées.

De nombreuses industries déploient ces systèmes, notamment la production d'énergie, le traitement de l'eau, la fabrication et le transport. Beaucoup de réseaux ICS et SCADA ont été conçus il y a des décennies avec peu de considération pour la cybersécurité ; leur interconnexion avec des réseaux IT d'entreprise a élargi leur surface d'attaque. Le système est prévu pour la supervision et la gestion à distance de processus complexes, ce qui le rend susceptible aux ransomwares, malwares et autres cybermenaces.

Lien avec NIS2

De nombreux pays et régions traitent désormais les secteurs énergie, eau et autres domaines dépendant fortement de SCADA comme des infrastructures critiques régulées, avec des cadres comme la directive NIS2 de l'Union européenne. La directive NIS2 impose aux entités essentielles et importantes de sécuriser l'intégralité de leur chaîne de valeur, y compris les environnements de technologie opérationnelle (OT).

Dans l'UE, NIS2 soumet les opérateurs d'infrastructures critiques à des exigences obligatoires en matière de cybersécurité. NIS2 s'adresse aux propriétaires d'installations fournissant des services essentiels ou critiques dans l'UE et fixe des exigences de cybersécurité de haut niveau, avec conformité obligatoire dans les États membres. Concrètement, cela se traduit par des obligations de segmentation réseau IT/OT, de détection d'incidents en temps réel, de gestion des accès et de notification des incidents impliquant les systèmes SCADA (article 21, mesures de gestion des risques). Les équipes SCADA doivent désormais intégrer des protocoles chiffrés, une authentification forte et une surveillance continue pour répondre aux exigences réglementaires. Voir aussi Mesures de gestion des risques de cybersécurité.

Pour aller plus loin

• IEC 62443 – Norme internationale de cybersécurité pour les systèmes d'automatisation industrielle
• NIST SP 800-82 Revision 3 – Guide to Operational Technology (OT) Security
• ANSSI – Sécurité des systèmes industriels