Vulnérabilités de l’OT sur 41 sites industriels audités

Fondé par deux Français en 1990, Wavestone est un cabinet de conseil accompagnant les grandes entreprises et organisations dans leur transformation numérique. Ayant acquis une dimension internationale, l’entreprise est cotée en bourse et emploie plus de 3 000 collaborateurs.

Le cabinet s’est penché sur la cybersécurité des systèmes d’information (SI) industriels dès 2010, une tendance qui ne fait que s’accélérer depuis la convergence OT/IT (Operationnal Technology/Informational Technology). Les 41 sites industriels audités durant la période 2019-2020 regroupent 10 clients opérant dans des secteurs d’activité variés : pharmacie, énergie, cycle de l’eau, spiritueux, agroalimentaire…

Au sein de ce panel, seulement quelques sites sont considérés comme des opérateurs critiques et font partie du secteur réglementé, au titre de la loi de programmation militaire ou de la directive NIS.

Les audits de Wavestone se déroulent selon une méthodologie propre, comme le décrit Arnaud Soullié, manager spécialiste des SI industriels au sein du cabinet : « Il existe un certain nombre de guides méthodologiques pour la sécurité des SI industriels, ainsi qu’une norme de référence : l’IEC 62443. Nous avons développé notre propre méthode, basée sur sept piliers, car nous n’avons pas trouvé de standard international fonctionnant à l’échelle d’un site industriel. Ce dernier est un savant mélange composé d’éléments organisationnels, t