Les infrastructures critiques françaises, nouvelles cibles privilégiées des cyberattaques
Depuis plusieurs années, la cybersécurité industrielle est passée du statut de sujet de niche à celui de priorité nationale. En France, les infrastructures dites « critiques » — centrales électriques, réseaux de distribution d’eau, hôpitaux, systèmes de transport ferroviaire — sont désormais au cœur des préoccupations des autorités et des experts en sécurité informatique. Et pour cause : le nombre d’incidents ciblant ces environnements a considérablement augmenté ces derniers mois, dans un contexte géopolitique mondial particulièrement tendu. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) tire régulièrement la sonnette d’alarme, rappelant que ces systèmes, longtemps isolés du monde numérique, sont aujourd’hui massivement connectés, et donc exposés.
OT et IT : quand deux mondes fusionnent sans toujours se comprendre
La spécificité de la cybersécurité industrielle tient à la coexistence de deux univers technologiques bien distincts : l’IT (Information Technology), soit l’informatique de gestion classique que l’on connaît tous, et l’OT (Operational Technology), qui désigne les systèmes de contrôle et d’automatisation des processus physiques — les automates programmables, les SCADA, les capteurs industriels. Pendant des décennies, ces deux mondes fonctionnaient en parallèle, sans réellement se croiser. L’OT était isolé, câblé, hermétique. Mais la transformation numérique a tout changé : dans une logique d’optimisation et de supervision à distance, les systèmes OT ont progressivement été connectés aux réseaux IT, voire à Internet. Résultat : ils héritent désormais des vulnérabilités informatiques classiques, sans toujours bénéficier des mêmes mécanismes de protection. Mettre à jour un automate industriel en production n’a rien à voir avec l’installation d’un patch sur un poste de travail bureautique — les contraintes de disponibilité, de continuité et de sécurité physique rendent ces opérations extrêmement délicates.
Des attaques de plus en plus sophistiquées, et des acteurs bien identifiés
Les menaces qui pèsent sur les infrastructures critiques françaises ne viennent pas uniquement de hackers isolés en quête de notoriété. Les analystes en cybersécurité pointent de plus en plus vers des groupes structurés, parfois affiliés à des États, capables de mener des opérations longues, discrètes et dévastatrices. Le rapport annuel de l’ANSSI pour 2024 soulignait déjà une recrudescence des intrusions visant les opérateurs d’importance vitale (OIV), cette catégorie juridique française qui regroupe les acteurs dont la défaillance mettrait en péril la vie de la nation. Parmi les vecteurs d’attaque les plus utilisés, on trouve l’exploitation de failles dans les équipements connectés mal mis à jour, les attaques par supply chain (compromettre un fournisseur pour atteindre une cible plus grande), et le spear phishing ciblé sur les personnels techniques. L’intelligence artificielle entre également dans l’équation : elle est désormais utilisée aussi bien pour automatiser la détection d’anomalies côté défense, que pour rendre les attaques plus adaptatives et plus difficiles à contrer côté offensif.
La réponse réglementaire : NIS2 et la montée en charge des obligations
Face à cette pression croissante, l’Union européenne a mis à jour son cadre réglementaire avec la directive NIS2, entrée en vigueur en octobre 2024 et en cours de transposition dans le droit français. Ce texte élargit considérablement le périmètre des entités concernées par des obligations de cybersécurité renforcées : là où NIS1 touchait environ 300 opérateurs en France, NIS2 pourrait en concerner plusieurs milliers, en intégrant des secteurs comme l’agroalimentaire, la gestion des déchets, les services postaux ou encore la fabrication de dispositifs médicaux. Les obligations portent notamment sur la mise en place de politiques de gestion des risques, la notification obligatoire des incidents sous 24 heures, et la responsabilisation directe des dirigeants. Pour beaucoup d’entreprises, y compris des ETI et PME qui n’avaient jamais vraiment structuré leur approche de la cybersécurité industrielle, c’est un changement de paradigme important. L’ANSSI accompagne cette montée en charge avec des guides pratiques et des programmes de sensibilisation, mais le chemin reste long.
La France se structure, mais les lacunes demeurent
Il serait injuste de dresser un tableau uniquement alarmiste. La France dispose d’atouts réels dans ce domaine. L’ANSSI est reconnue internationalement comme l’une des agences nationales de cybersécurité les plus compétentes d’Europe. Des acteurs industriels français comme Schneider Electric, Airbus CyberSecurity ou Thales investissent massivement dans la sécurité des environnements OT et développent des solutions reconnues sur le marché mondial. Des clusters spécialisés, comme le Campus Cyber inauguré en 2022 à La Défense, cherchent à fédérer l’écosystème national autour de ces enjeux. Néanmoins, plusieurs points de vigilance subsistent : la pénurie de profils spécialisés en cybersécurité OT est criante — former un expert capable de comprendre à la fois les protocoles industriels et les techniques d’attaque informatique prend des années. Par ailleurs, la fragmentation des responsabilités entre opérateurs publics et privés complique parfois la coordination en cas d’incident majeur.
Vers une résilience assumée : préparer l’après-incident
La maturité d’une stratégie de cybersécurité industrielle ne se mesure plus seulement à la capacité à empêcher les attaques, mais aussi à la capacité à y survivre et à reprendre une activité normale dans les meilleurs délais. C’est le concept de résilience opérationnelle, qui fait son chemin dans les directions générales et les conseils d’administration des grandes entreprises françaises. Les exercices de simulation d’attaques sur des environnements OT — comme ceux organisés par l’ANSSI dans le cadre de son programme PIRANET — permettent de tester les plans de continuité et d’identifier les maillons faibles avant qu’un vrai incident ne les révèle de manière brutale. À l’heure où l’intelligence artificielle redéfinit les capacités offensives des attaquants, la question n’est plus vraiment de savoir si une infrastructure critique sera un jour la cible d’une cyberattaque, mais de savoir si elle est suffisamment préparée pour en limiter les conséquences. En France comme ailleurs, c’est désormais une question de souveraineté nationale.