Fabrication, production et distribution de produits chimiques et NIS2 : risque OT cyber-physique et exigences Seveso

L'industrie chimique est l'archétype du secteur où une cyberattaque peut déclencher un accident industriel majeur. En intégrant la fabrication, la production et la distribution de produits chimiques au sens du règlement CLP (Classification, Labelling and Packaging, règlement (UE) 1272/2008) dans son annexe II, la directive NIS 2 distingue deux catégories d'entités régulées : les entités « essentielles » et les entités « importantes », désormais soumises à des obligations de cybersécurité qui viennent s'articuler avec les régimes Seveso et le Code de l'environnement. L'INERIS, dans son rapport annuel 2024, souligne une augmentation significative des incidents ciblant les infrastructures critiques, et l'année 2024 a vu une nette intensification des cyberattaques sur les environnements industriels, avec notamment un intérêt grandissant pour les systèmes OT (Operational Technology).

Périmètre : quelles entités chimiques françaises sont concernées par NIS2

Deux caractéristiques qualifient une entité d'essentielle : son appartenance à un secteur d'activité « hautement critique » et le dépassement de certains seuils d'effectifs ou d'activité, à savoir le fait d'employer 250 personnes ou d'avoir un chiffre d'affaires annuel excédant 50 millions d'euros et un bilan annuel de plus de 43 millions d'euros. Les entités importantes se situent entre 50 et 249 employés ou entre 10 et 50 millions d'euros de chiffre d'affaires.

En France, le secteur couvre les industriels de la chimie de base (Arkema, Solvay, Ineos), de la chimie de spécialité, de la pharmacie chimique en amont ainsi que les distributeurs grossistes de produits chimiques. Le périmètre croise étroitement avec les réglementations Seveso — qui classifie les sites à risque industriel — et REACH (Registration, Evaluation, Authorisation and Restriction of Chemicals). Les sites classés Seveso seuil haut, dont le risque d'accident majeur impose une étude de dangers approfondie, sont particulièrement visés. Le Code de l'environnement (articles L511-1 et suivants) impose aux exploitants d'ICPE de maîtriser l'ensemble des risques liés à leur activité, y compris les risques cybernétiques, et la directive Seveso III (2012/18/UE) renforce également les exigences en matière de prévention des accidents majeurs, en tenant compte des risques émergents comme les cyberattaques.

La directive NIS2 se transpose en France via le projet de loi Résilience, présenté en octobre 2024 et adopté par le Sénat en mars 2025, qui couvre simultanément NIS2, REC (directive Résilience des entités critiques) et DORA. Les estimations indiquent qu'entre 15 000 et 18 000 entités en France relèveront du champ de la directive, contre une population beaucoup plus réduite sous le cadre NIS 1.

Cadre réglementaire : NIS2, Seveso et Code de l'environnement

L'articulation entre NIS2 et Seveso constitue la spécificité française du secteur chimique. L'arrêté du 29 septembre 2005 relatif à l'étude de dangers exige une analyse approfondie des scénarios d'accidents potentiels, intégrant désormais les menaces cyber. La directive Seveso III, transposée en droit français via le Code de l'environnement, impose aux exploitants de sites à risques une politique de prévention des accidents majeurs. NIS2 vient compléter ce dispositif en structurant la dimension cyber : là où Seveso imposait déjà la sûreté de fonctionnement des installations, NIS2 contraint à protéger les systèmes de contrôle industriels contre les intrusions malveillantes.

Pour les sites Seveso, la gestion du risque cyber devient un sous-ensemble de la gestion du risque industriel global : une compromission du DCS (Distributed Control System), du SIS (Safety Instrumented System) ou d'un automate de sécurité peut conduire à une réaction emballée, une fuite de produit dangereux, voire une explosion. L'ANSSI a publié une méthode de classification des systèmes industriels, qui définit quatre classes de cybersécurité : Classe 1 pour impact faible, Classe 2 pour impact modéré, et Classe 3 pour impact fort. Les usines chimiques classées Seveso, les installations nucléaires de base et les centrales nucléaires seront assurément de classe 3.

La transposition française — via la Loi Résilience — est en phase finale. Le texte, présenté en octobre 2024 et adopté par le Sénat en mars 2025, n'a toujours pas achevé son parcours législatif, alors même que la directive devait être transposée avant le 17 octobre 2024. La promulgation est attendue au premier trimestre 2026, suivie des décrets d'application au second trimestre 2026. Le 17 mars 2026, l'ANSSI a publié le ReCyF (Référentiel Cyber France), qui liste les mesures recommandées par l'ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2 et correspond au référentiel de cybersécurité mentionné à l'article 14 du projet de loi Résilience.

Spécificités cybersécurité : risques OT cyber-physiques et menace de sabotage

L'industrie chimique expose un risque OT cyber-physique : une cyberattaque peut provoquer un accident physique réel. Une cyberattaque réussie peut avoir des conséquences désastreuses : arrêt de production, dommages matériels, pollution environnementale, voire pertes humaines. Les systèmes de contrôle industriels (ICS/SCADA), autrefois isolés par air gap, sont aujourd'hui connectés aux réseaux d'entreprise IT pour des raisons d'efficacité opérationnelle, d'optimisation de production et de maintenance à distance. Les systèmes de contrôle industriels (ICS), autrefois isolés, sont désormais connectés aux réseaux d'entreprise et à Internet, les exposant à des attaques sophistiquées.

Les vecteurs d'attaque typiques incluent le ransomware, les attaques ciblées (APT), les malwares spécifiques ICS et le déni de service. Les risques cybernétiques dans le secteur industriel sont variés : ransomwares bloquant les systèmes de contrôle, attaques ciblées (APT) pour intrusion furtive et sabotage, malwares entraînant dysfonctionnements et arrêts, déni de service (DoS) rendant les systèmes inaccessibles. Un exemple marquant est l'attaque par ransomware contre une usine chimique, où le blocage du système de refroidissement d'un réacteur pourrait provoquer une surchauffe et un risque d'explosion.

L'ANSSI alerte également sur l'émergence d'une logique de sabotage : sabotage de petites installations industrielles relevé, escalade vers impacts physiques réels au-delà du numérique. L'industrie manufacturière et l'agro-alimentaire sont des secteurs ciblés par les cybercriminels car une attaque a des impacts immédiats sur la capacité de production et donc le chiffre d'affaires. Cyberattaques sur maritime OT ont augmenté de 150 % en 2025, avec 87 % motivés par ransomware, une tendance observable dans l'ensemble des environnements industriels.

Les protocoles OT (Modbus, DNP3, OPC-UA, Profinet) ne disposent souvent d'aucun mécanisme de chiffrement ou d'authentification natif, contrairement aux protocoles IT classiques. Les automates programmables industriels (PLC), les systèmes de supervision (SCADA), les IHM (interfaces homme-machine) et les DCS doivent être protégés selon la norme internationale IEC 62443. Le principe cardinal de l'IEC 62443 est la défense en profondeur (defense-in-depth). Cette approche consiste à sécuriser chaque sous-ensemble du système industriel plutôt que de se limiter à une protection périmétrique.

Incidents marquants : attaques OT sur sites industriels 2023–2026

Plusieurs cas documentés attestent la réalité du risque cyber-chimique. En septembre 2025, Jaguar Land Rover a été la cible d'une cyberattaque majeure. Les systèmes informatiques du constructeur ont été compromis, entraînant l'arrêt complet de plusieurs chaînes de production pendant plusieurs semaines. Bien qu'automobile, ce cas illustre le mode opératoire dans des environnements industriels complexes.

En 2022, Tata Power, la plus grande compagnie d'électricité intégrée d'Inde, a subi une attaque majeure par ransomware du groupe Hive. Les attaquants ont violé l'environnement IT, déployé le chiffrement et exfiltré de grands volumes de données confidentielles. Le ransomware Hive a chiffré les systèmes critiques, paralysant les opérations internes. Les données exfiltrées incluaient dossiers d'employés, données clients, données financières, plans techniques et clés cryptographiques privées.

Plus proche du secteur chimique, en février 2021, des cyberattaquants ont ciblé une usine de traitement d'eau à Oldsmar, Floride, tentant d'augmenter les niveaux de soude caustique (hydroxyde de sodium) à des niveaux toxiques. Les attaquants ont accédé à l'interface de contrôle de l'usine via une application de bureau distant partagée, exploitant une mauvaise hygiène des identifiants (mots de passe faibles et réutilisés), puis ont augmenté les dosages chimiques de 100 fois, mais ont été arrêtés par un opérateur alerte qui a remarqué les changements anormaux en temps réel. Ce near-miss, bien que dans le secteur de l'eau, illustre parfaitement le scénario de sabotage cyber-physique applicable aux installations chimiques Seveso.

En France, l'année 2024 et le début de 2025 resteront gravées dans l'histoire comme une période noire pour la cybersécurité en France. Avec près de 50 entités majeures victimes de cyberattaques dévastatrices, des millions de données personnelles compromises et un coût estimé à plus de 100 milliards d'euros. L'ANSSI a traité 4 386 événements de sécurité (dont 3 004 signalements et 1 361 incidents) en 2024, +15 % par rapport à 2023. Les attaques par rançongiciel sont restées très mobilisatrices et l'exploitation de vulnérabilités sur équipements de bordure (pare-feu, VPN) a fortement pesé dans les intrusions.

Dragos a suivi 119 groupes ransomware ciblant les organisations industrielles en 2025, impactant collectivement 3 300 organisations industrielles. En 2025, 1 929 attaques documentées ont frappé les secteurs industriels, avec la fabrication et la construction représentant chacune 21 %. Les systèmes OT hérités et les chaînes d'approvisionnement étaient des vulnérabilités clés.

Mesures techniques prioritaires : ICS, segmentation, IEC 62443

La directive NIS2 impose dix catégories de mesures techniques et organisationnelles (article 21). Pour l'industrie chimique, trois mesures sont critiques.

1. Analyse de risques de sécurité des systèmes d'information
L'analyse de risques OT ne se limite pas à inventorier les actifs IT : elle doit cartographier les zones industrielles (DCS, PLC, SIS), identifier les modes de défaillance cyber-physiques et quantifier l'impact d'une compromission sur la sûreté de fonctionnement. Chaque installation industrielle présente des particularités et des risques propres qu'il convient d'analyser pour déployer des solutions de sécurisation adaptées, en limitant les impacts sur l'activité de l'entreprise. L'ANSSI recommande d'intégrer les scénarios cyber dans les études de dangers (arrêté du 29 septembre 2005). Le ReCyF détaille, dans son objectif de sécurité 2, la conduite d'une analyse de risques proportionnée couvrant le périmètre IT et OT.

2. Continuité d'activité et gestion de crise
Un site Seveso ne peut se permettre un arrêt de production brutal sans plan de reprise. Les PCA (Plan de Continuité d'Activité) et PRA (Plan de Reprise d'Activité) doivent couvrir les scénarios cyber. Les entités essentielles définissent et maintiennent à jour des plans de continuité et de reprise d'activité adaptés aux besoins de leurs activités et services. Le ReCyF précise que le recours à un Prestataire d'Accompagnement et de Conseil en Sécurité (PACS) qualifié ANSSI permet de se prévaloir en cas de contrôle. Les exercices de crise cyber doivent être réalisés à intervalles réguliers pour vérifier la capacité organisationnelle.

3. Sécurité de la chaîne d'approvisionnement (OT supply chain)
Les sites chimiques s'appuient sur des intégrateurs systèmes, des fabricants d'automates (Siemens, Schneider Electric, Rockwell Automation) et des prestataires de maintenance à distance. En 2025, les affiliés ransomware ont continué à cibler les entreprises d'ingénierie, les fournisseurs de services gérés OT, les vendeurs d'équipements ICS et les intégrateurs systèmes, compromettant 148, 124 et de nombreuses entités connexes dont les systèmes stockent souvent documentation technique, sauvegardes de configuration, identifiants d'accès distant et connexions privilégiées à plusieurs sites industriels. Le ReCyF exige (objectif 3) de cartographier les tiers critiques et d'imposer contractuellement la conformité aux obligations NIS2.

D'autres mesures essentielles incluent :

• Segmentation réseau IT/OT : isolation des zones critiques par pare-feux industriels, DMZ, unidirectionnal gateways
• Contrôle d'accès et MFA : authentification renforcée pour les accès distants (fournisseurs, maintenance)
• Cyber hygiène et formation : sensibilisation du personnel de production aux risques cyber
• Gestion des vulnérabilités et patchs : suivi des CVE ICS (Common Vulnerabilities and Exposures), correctifs sur équipements critiques
• Détection d'incidents OT : déploiement de sondes ICS, SIEM industriels

La norme IEC 62443, bien que non obligatoire, constitue le référentiel international de facto pour la sécurisation OT. Les secteurs critiques (énergie, transport, eau, santé) visent SL 2 minimum avec SL 3 pour systèmes sensibles. Le nucléaire, défense, chimie sensible requièrent SL 3 ou SL 4 pour zones safety-critical. Le SL 4 résiste aux APT, attaques étatiques, cyberterrorisme.

Prestataires qualifiés ANSSI à mobiliser pour le secteur chimique

L'ANSSI propose un annuaire des prestataires qualifiés regroupant cinq familles de qualifications particulièrement utiles aux industriels chimiques.

Prestataire d'Audit de la Sécurité des Systèmes d'Information (PASSI)
Le PASSI réalise des audits techniques (tests d'intrusion, audit de code, audit d'architecture) sur les SI IT et, dans certains cas, OT. Pour les sites soumis à la Loi de Programmation Militaire (LPM), la qualification PASSI-LPM est requise. Un audit PASSI permet de qualifier le niveau réel de sécurité d'un DCS ou d'un réseau SCADA avant mise en service ou après modification. Le ReCyF prévoit que les entités peuvent se prévaloir du recours à un PASSI lors d'un contrôle ANSSI.

Prestataire de Détection des Incidents de Sécurité (PDIS) et Prestataire de Réponse aux Incidents de Sécurité (PRIS)
Les PDIS opèrent des SOC (Security Operations Center) capables de superviser en continu les flux IT et, pour certains, OT. Les PRIS interviennent en cas d'incident avéré pour contenir, éradiquer et récupérer. Les organisations avec visibilité OT complète ont détecté et contenu les incidents ransomware OT en moyenne en 5 jours contre 42 jours pour la moyenne de l'industrie, prouvant que la maturité de détection corrèle directement au succès de la réponse. La qualification PDIS/PRIS garantit un niveau de compétence certifié par l'ANSSI, réduisant le délai de remédiation.

Prestataire d'Accompagnement et de Conseil en Sécurité (PACS)
Le PACS accompagne l'analyse de risques, la définition de la politique de sécurité (PSSI), la préparation aux crises cyber et la conduite d'exercices. Le ReCyF stipule que les entités importantes et essentielles peuvent se prévaloir lors d'un contrôle du recours à une prestation PACS qualifiée pour la préparation du dispositif de gestion des crises et la réalisation d'exercices de crise d'origine cyber.

Hébergement SecNumCloud (pour le cloud industriel)
Bien que l'OT soit souvent on-premise, certaines fonctions (MES, LIMS, historisation SCADA) migrent vers le cloud. Un hébergeur SecNumCloud offre un niveau de confiance élevé pour ces environnements hybrides.

Pour identifier un prestataire adapté, consultez l'annuaire NIS2-Pro.fr des prestataires qualifiés ANSSI.

Calendrier et prochaines étapes : Loi Résilience, MonEspaceNIS2, ReCyF

Le calendrier NIS2 français s'articule en plusieurs jalons.

Mars 2025 : adoption de la Loi Résilience au Sénat.
Q1 2026 (attendu) : promulgation de la loi par le Président de la République, publication au Journal Officiel.
Q2 2026 : publication des décrets et arrêtés d'application fixant les mesures techniques détaillées.
17 mars 2026 : l'ANSSI a publié le ReCyF en version document de travail. L'ANSSI a présenté ReCyF, le Référentiel Cyber France, qui liste les mesures recommandées par l'Agence pour atteindre les objectifs de sécurité fixés par NIS 2. Ce référentiel est, à ce stade, diffusé en tant que document de travail. En effet, tant que les travaux législatifs et réglementaires relatifs à la transposition n'ont pas eu lieu, et tant qu'il n'a pas fait l'objet d'une consultation, aucune version définitive n'est publiée par l'Agence.

L'ANSSI a ouvert le pré-enregistrement des entités concernées sur MonEspaceNIS2 depuis le 24 novembre 2025. Les dirigeants d'entités chimiques peuvent dès à présent s'enregistrer sur https://monespacenis2.cyber.gouv.fr/ pour recevoir les communications officielles et anticiper leurs obligations.

Juillet 2026 (probable) : les rapporteurs du texte évoquent une transposition probablement repoussée à juillet 2026, en raison de blocages politiques liés à l'article 16 bis sur le chiffrement.

Une fois la loi promulguée, les entités disposeront d'un délai pour se mettre en conformité (généralement 6 à 18 mois selon les textes sectoriels). Les contrôles ANSSI pourront débuter dès la fin du délai de mise en conformité. La Commission européenne a émis un avis motivé à la France le 7 mai 2025 pour manquement de transposition complète de la directive, renforçant l'urgence pour le législateur français.

Les acteurs de l'industrie chimique doivent dès maintenant :

• Cartographier leur périmètre NIS2 (sites, effectifs, CA, activités)
• Réaliser un gap analysis entre leur posture actuelle et le ReCyF
• Planifier les investissements (segmentation OT, SIEM industriel, MFA, formation)
• Identifier les prestataires qualifiés pertinents (PASSI, PACS, PDIS/PRIS)
• S'enregistrer sur MonEspaceNIS2

Les ressources ANSSI clés sont :

• Portail NIS2 officiel : https://cyber.gouv.fr/la-directive-nis-2
• ReCyF (17 mars 2026) : https://messervices.cyber.gouv.fr/
• Guide cybersécurité des systèmes industriels : https://cyber.gouv.fr/publications/lanssi-publie-un-guide-sur-la-cybersecurite-des-systemes-industriels
• Texte directive NIS2 : https://eur-lex.europa.eu/eli/dir/2022/2555/oj

La mise en conformité NIS2 d'un site chimique Seveso ne se limite pas à cocher des cases réglementaires : elle exige une refonte de la gouvernance cyber-physique, l'implication de la direction, la formation des opérateurs et un investissement pluriannuel. Les incidents OT ne cessent de croître, et le secteur chimique, de par sa criticité, ne peut plus se permettre une approche réactive. La résilience cyber devient un enjeu de sûreté industrielle au même titre que la prévention des risques Seveso.