Cybersécurité OT & IA : Le combo catalyseur de la convergence IT/OT

Q: Par où commencer si on veut intégrer l'IA dans sa stratégie cybersécurité OT ?

Voici 3 étapes pratiques : d’abord, faites un inventaire de vos actifs OT et cartographiez vos flux. En effet, aucune IA ne pourra détecter des anomalies sans avoir établi une base de référence de ce qui est normal. Ensuite, optez pour des outils d’IA spécifiquement conçus pour les protocoles industriels comme Modbus, Profinet ou DNP3, plutôt que d’utiliser des solutions IT qui ne sont que partiellement adaptées. Enfin, il est crucial de définir la gouvernance de vos charges de travail en IA avant de les déployer : pensez aux droits d’accès, à la surveillance des dérives de modèle et aux procédures de retour en arrière. L’intégration de l’IA dans l’OT nécessite une approche réfléchie ; ce n’est pas quelque chose que l’on peut improviser.

Gad
22/03/2026
Sans commentaires

TL;DR : L’essentiel en quelques secondes

L’IA et la convergence IT/OT boostent l’industrie mais augmentent les cyberrisques (+46 % de ransomware OT en 2025). Priorités : architectures hybrides, microsegmentation Zero Trust, firewalls IT/OT. L’IA est à la fois un outil de défense et un actif critique à sécuriser.

Il y a quelques années, la question de la convergence entre l’IT et l’OT semblait presque relever d’un débat théorique. Mais aujourd’hui, c’est devenu une réalité opérationnelle.

Les systèmes industriels ne fonctionnent plus de manière isolée. Avec l’IA qui s’intègre de plus en plus dans les environnements OT, nous franchissons un nouveau cap, c’est à la fois fascinant et un peu vertigineux.

Voici la réalité à laquelle nous faisons face : les deux technologies les plus prometteuses de l’industrie sont également celles qui augmentent le plus considérablement la surface d’attaque. La convergence IT/OT efface des frontières qui étaient autrefois bien établies. L’IA prend en charge des décisions qui, auparavant, concernaient des processus physiques critiques.

Et nos architectures de sécurité, conçues à une époque où un automate ne communiquait qu’avec ses voisins immédiats, ont du mal à suivre le rythme. C’est exactement ce que révèle le dernier rapport d’IoT Analytics (OT Cybersecurity Insights Report 2026), basé sur des observations faites lors de it-sa Expo&Congress, le plus grand salon européen de la cybersécurité. Ce que les analystes ont observé dessine clairement la prochaine frontière de notre secteur.

Alors, que se passe-t-il vraiment lorsque l’IA croise la cyber OT ? Et comment peut-on reconfigurer son architecture de sécurité pour en tirer parti sans se mettre en danger ?

La convergence IT/OT : ce n’est plus une tendance, c’est votre environnement de production

Soyons clairs : si vous continuez à gérer la sécurité de l’OT comme si vos réseaux industriels étaient complètement isolés, vous êtes en train de vous mettre dans une situation délicate. Ce n’est pas une question de demain, c’est une urgence d’aujourd’hui.

La couche OT est devenue la cible privilégiée non pas parce que les attaquants ont soudainement compris Modbus, mais parce que la convergence entre l’IT et l’OT leur offre désormais une porte d’entrée familière.

L’IT est leur terrain de jeu habituel. Lorsqu’une vulnérabilité dans l’IT permet de pénétrer un réseau industriel qui était autrefois bien protégé, la donne change complètement. Et avec des acteurs étatiques comme les hacktivistes pro-iraniens qui s’en prennent à des automates programmables, ou des groupes pro-russes qui exploitent des mots de passe faibles sur des HMI exposés, nous avons clairement franchi un cap.

Le modèle de Purdue, cette architecture hiérarchique qui va du Level 0 (le terrain physique) au Level 5 (la zone démilitarisée d’internet) reste le cadre de référence. Mais il est constamment mis à l’épreuve. Le Level 3.5, cette zone tampon entre l’IT et l’OT, est devenu le cœur des luttes architecturales actuelles.

D’après Honeywell, rien qu’au premier trimestre 2025, plus de 2400 attaques par ransomware ont visé des actifs OT. Le rythme de ces attaques a explosé : on a enregistré 6 130 incidents sur l’ensemble de l’année 2024.

Source : HONEYWELL 2025 Cyber Threat Report

L’IA dans la cyber OT : un allié ou un nouveau risque ?

C’est là que les choses deviennent vraiment captivantes et c’est aussi là que de nombreux experts en OT semblent avoir un angle mort.

Aujourd’hui, l’IA joue deux rôles en même temps dans votre environnement : elle protège et elle expose. Oui, les deux à la fois.

Saisir cette dualité, c’est ce qui distingue une posture de sécurité résiliente d’une posture qui se croit à l’abri.

L’IA comme outil de détection : enfin à la hauteur de la complexité OT

Le défi historique de la détection d’anomalies dans un environnement industriel, c’est le bruit. Des dizaines de milliers d’événements par heure, des protocoles propriétaires, des comportements réseau qui n’ont rien à voir avec ce qu’un SOC IT connaît.

En conséquence : des équipes débordées, des alertes ignorées, des incidents détectés trop tard.

L’IA change la donne. Des solutions comme Charlotte AI de CrowdStrike déployée jusqu’au niveau 2 du modèle de Purdue illustrent parfaitement cette nouvelle approche : collecter la télémétrie une fois, puis la réutiliser pour la détection des endpoints, l’analyse des vulnérabilités et le traçage des chemins d’attaque. Le principe « collect once, reuse, recycle » appliqué à des environnements hybrides IT/OT.

Concrètement, l’IA permet aujourd’hui de :

Profiler le comportement réseau normal d’un automate ou d’un capteur et détecter instantanément toute déviation sans avoir à rédiger des règles statiques qui deviendront obsolètes en six mois.
Corréler des signaux faibles à travers différents domaines, en reliant une anomalie sur le réseau IT de l’entreprise à un comportement inhabituel au niveau SCADA.
Accélérer la réponse aux incidents en guidant les opérateurs avec des suggestions contextualisées prenant en compte les contraintes de production, et pas seulement les impératifs de sécurité.

Ce dernier point est essentiel en OT. Un analyste SOC IT peut isoler un endpoint en deux clics. Dans un environnement industriel, cette même décision peut entraîner l’arrêt d’une ligne de production.

Le revers du décor : sécuriser l’IA elle-même

Mais voici une question que peu de responsables de la sécurité des systèmes d’information (RSSI) industriels se posent encore assez souvent : qui veille sur l’IA qui protège votre usine ?

Lorsque l’IA commence à influencer, voire à automatiser des décisions opérationnelles sur une chaîne de production, la surface d’attaque s’élargit à un niveau totalement inédit. Les menaces deviennent précises et sournoises : le data poisoning (manipulation des données d’entraînement pour fausser les décisions du modèle), la dérive de modèle non détectée (model drift), ou pire, un modèle compromis qui pourrait déclencher des actions physiques dangereuses.

La CISA américaine a publié à la fin de 2025 un guide spécifique sur l’intégration sécurisée de l’IA dans les environnements opérationnels, soulignant explicitement ces modes de défaillance.

C’est un signal fort : les régulateurs ont compris, avant certains opérateurs industriels, que l’IA en environnement opérationnel n’est pas un simple outil comme les autres

Source : CISA Américaine

Les 3 piliers architecturaux qui redéfinissent la sécurité OT aujourd’hui

Face à ces défis, trois grandes orientations architecturales se dessinent dans les environnements industriels les plus avancés.

1. L’architecture hybride centralisée-décentralisée

Le temps du modèle monolithique est révolu. Les organisations industrielles de pointe allient une visibilité centralisée (via le cloud ou un SOC mutualisé) pour détecter les menaces à travers différents domaines, tout en intégrant des protections décentralisées sur le terrain pour assurer la résilience opérationnelle, même en cas de perte de connectivité.

La segmentation locale, les pare-feu industriels sur site et les outils de protection des points d’accès coexistent avec l’analyse centralisée.

2. La microsegmentation Zero Trust

Le concept de Zero Trust n’est plus un simple mot à la mode. Lors de it-sa Expo&Congress, il était partout, selon les observateurs, dans chaque allée, dans chaque discussion. Et pour une bonne raison : la microsegmentation Zero Trust répond parfaitement au problème le plus pressant en matière de sécurité OT, celui des équipements anciens qui ne peuvent pas être mis à jour.

Au lieu de tenter de corriger des vulnérabilités sur des automates vieux de 20 ans, on contrôle de manière logicielle qui peut communiquer avec qui, à la plus petite échelle possible.

La plateforme SINEC Secure Connect de Siemens, lancée en octobre 2025, en est un exemple concret : une surcouche réseau virtuelle qui ne nécessite aucune modification physique de l’infrastructure existante.

3. Les firewalls industriels au Level 3.5 : toujours indispensables

Il serait tentant de penser que l’IA et le Zero Trust rendent les firewalls obsolètes. Ce serait une erreur coûteuse. Les firewalls industriels modernes ont évolué : ils effectuent une inspection approfondie des paquets sur des protocoles OT comme Modbus ou Profinet, appliquent des politiques dans un cadre Zero Trust, et respectent les normes IEC 62443 et NIS2. Ils demeurent le point de contrôle essentiel pour la sécurité.

Firewalls industriels : un pilier toujours indispensable

Même à l’ère du Zero Trust et de l’IA, les firewalls industriels restent le point de contrôle critique pour sécuriser les environnements OT, avec inspection avancée et conformité aux normes IEC 62443 et NIS2

Source : CISA Américaine

La prochaine frontière : l’IA comme sujet de sécurité, pas seulement comme outil

On entend souvent dire que la cybersécurité OT a toujours un train de retard face aux menaces. Parfois, c’est vrai. Mais en ce qui concerne l’IA, le secteur a une occasion en or : anticiper au lieu de simplement réagir.

L’IA dans les environnements industriels n’est pas encore largement déployée. Le cadre de gouvernance pour ces charges de travail est en train de se dessiner. Les normes et réglementations NIS2 ou Cyber Resilience Act, commencent à poser les bases.

C’est le moment idéal pour intégrer ces enjeux dans votre feuille de route de sécurité, avant que des incidents ne vous y obligent. La convergence IT/OT a longtemps été perçue comme une contrainte liée à la transformation numérique.

L’IA la transforme en une véritable opportunité à condition d’accepter qu’elle redéfinit également les règles du jeu en matière de sécurité. Les organisations qui réaliseront en premier que sécuriser l’IA est tout aussi crucial que sécuriser avec l’IA seront celles qui réussiront vraiment à converger pas seulement leurs réseaux, mais aussi leur maturité opérationnelle et leur résilience industrielle.

FAQ

Par où commencer si on veut intégrer l'IA dans sa stratégie cybersécurité OT ?

Voici 3 étapes pratiques : d’abord, faites un inventaire de vos actifs OT et cartographiez vos flux. En effet, aucune IA ne pourra détecter des anomalies sans avoir établi une base de référence de ce qui est normal.

Ensuite, optez pour des outils d’IA spécifiquement conçus pour les protocoles industriels comme Modbus, Profinet ou DNP3, plutôt que d’utiliser des solutions IT qui ne sont que partiellement adaptées.

Enfin, il est crucial de définir la gouvernance de vos charges de travail en IA avant de les déployer : pensez aux droits d’accès, à la surveillance des dérives de modèle et aux procédures de retour en arrière. L’intégration de l’IA dans l’OT nécessite une approche réfléchie ; ce n’est pas quelque chose que l’on peut improviser.

Le modèle de Purdue est-il encore pertinent avec la convergence IT/OT ?

Oui, mais il faut le lire d’une manière différente. Ce n’est plus un simple modèle d’isolation, cette époque est derrière nous. Aujourd’hui, il s’agit d’un cadre pour le zonage et le contrôle des flux.

Le Level 3.5 (la DMZ IT/OT) est devenu le point le plus stratégique : c’est ici que se joue la segmentation, l’inspection des protocoles OT, et la gouvernance des échanges entre le monde IT et le terrain industriel.

L'IA peut-elle vraiment remplacer un analyste SOC dans un environnement OT ?

Non, et les meilleurs fournisseurs ne le prétendent pas. L’IA est vraiment douée pour gérer de gros volumes : elle peut corréler des milliers d’événements, repérer des comportements anormaux et prioriser les alertes.

Cependant, la décision finale dans un contexte opérationnel où éteindre une alarme peut signifier arrêter une turbine ou interrompre un processus continu doit rester entre les mains des humains. En matière d’OT, l’IA est comme un copilote, pas un pilote automatique

Qu'est-ce que le data poisoning et pourquoi est-ce particulièrement dangereux en OT ?

La manipulation des données d’entraînement ou d’entrée d’un modèle d’IA, qu’on appelle data poisoning, vise à fausser ses décisions.

Dans le monde de l’informatique, un modèle compromis peut donner de mauvaises recommandations. En revanche, dans le domaine opérationnel, cela peut entraîner des actions physiques comme fermer une vanne, ajuster une pression ou désactiver un système de sécurité.

Le danger ne se limite plus à l’information, il devient opérationnel et pose des risques réels pour la sécurité physique.

Vous travaillez sur la convergence IT/OT ou sur l'intégration de l'IA dans vos environnements industriels ?

Échangeons sur les architectures et les approches qui font vraiment la différence.

Partagez cet article sur...

Gad

Gad est un auteur passionné et spécialisé dans la rédaction d'articles de blog depuis 2018. Son expertise se concentre sur des thématiques à la croisée de la technologie et de l'industrie, notamment l'Internet des objets (IoT), l'IoT industriel, et la cybersécurité pour les systèmes OT (Operational Technology).

Nos articles récents

Convergence IT/OT