Lernzettel: Cybersécurité Industrielle et Gouvernance

📋 Plan du Cours

1. Changement de paradigme IT vers OT
2. Différences fondamentales IT et OT
3. Mythe de l Air-Gap et convergence IT/OT
4. Définitions ICS SCADA PLC et HMI
5. Contraintes OT temps réel et cycles longs
6. Menaces OT et propagation via IT et supply chain
7. Safety vs Security et arbitrages CIA
8. Gestion du patch management en environnement OT
9. Cadres juridiques LPM et NIS 2
10. Principe Lex Specialis et articulation des obligations
11. Exigences NIS 2 cartographie risques et notification
12. Gouvernance IT/OT et synergie DSI production

📖 1. Changement de paradigme IT vers OT

🔑 Notions clés & Définitions

• IT (Information Technology) : Technologies informatiques qui traitent, stockent et échangent l’information (bureautique, ERP, messagerie) dans un environnement numérique.
• OT (Operational Technology) : Technologies opérationnelles qui pilotent et surveillent des processus physiques industriels via des systèmes de contrôle et de supervision.
• GRC : Démarche de gestion intégrée des risques et de la conformité qui relie objectifs, contrôles et exigences réglementaires.
• Cybersécurité des systèmes industriels : Approche de protection des ICS/SCADA/PLC et de leurs communications, visant la disponibilité et la sûreté des opérations industrielles.
• Air-gap : Isolement réseau supposé entre environnements, présenté comme une barrière physique contre les intrusions, mais souvent contredit par la réalité d’accès distants et de supports.

📝 Points essentiels

• Le changement de paradigme consiste à passer d’une logique bureautique à une logique d’usine, où la sécurité doit tenir compte du monde physique et de ses contraintes.
• Les réflexes IT doivent être désappris car l’OT impose des protocoles spécifiques, des exigences de temps réel et des cycles de vie plus longs.
• En 2025, l’OT est sous pression avec une hausse des attaques ciblant les organisations industrielles et un grand nombre de victimes et de groupes de ransomware actifs.
• L’application en France de NIS 2 (via la Loi Résilience) est annoncée comme courant 2026 et élargit fortement le périmètre des obligations.
• Le mythe de l’air-gap repose sur une théorie d’isolement physique, mais la convergence IT/OT rend l’isolement illusoire via clés USB, modems 4G, VPN et accès distants.
• Les vulnérabilités IT peuvent se propager jusqu’aux processus physiques OT, ce qui relie directement la compromission numérique à l’impact opérationnel industriel.

💡 Astuce mémo

IT = info, OT = opération : si l’air-gap “bloque” sur le papier, USB/VPN/4G le contournent dans la réalité.

📖 2. Différences fondamentales IT et OT

🔑 Notions clés & Définitions

• IT (Technologies de l’information) : Les systèmes IT servent à manipuler, stocker et transmettre de l’information, avec une logique centrée sur la donnée.
• OT (Technologies opérationnelles) : Les systèmes OT pilotent des processus physiques en temps réel, avec une logique centrée sur la sûreté du monde réel.
• SCADA : SCADA est un système de supervision qui permet de surveiller globalement des installations industrielles et d’en suivre l’état.
• HMI : HMI est une interface homme-machine qui permet aux opérateurs de visualiser et d’interagir avec l’état du procédé.
• PLC : PLC est un contrôleur industriel qui exécute des logiques de commande pour piloter des actions sur le procédé.

📝 Points essentiels

• Finalité IT : l’objectif principal est de gérer l’information (data in motion / data at rest).
• Finalité OT : l’objectif principal est de contrôler des processus physiques en temps réel (température, pression, mouvement, vannes).
• Inversion de la triade : en OT, la disponibilité devient prioritaire et l’intégrité passe devant la confidentialité.
• Exemple IT : en cas de menace, rendre le système indisponible peut être préférable à une fuite de données.
• Exemple OT : pour une pompe de refroidissement, la machine doit continuer à tourner pour éviter un accident, la confidentialité devient secondaire.
• Règle d’or IT/OT : une mesure IT (ex. chiffrement lourd) ne doit jamais ralentir le fonctionnement ni le temps réel requis par la machine.

💡 Astuce mémo

IT = Information d’abord ; OT = Opérations d’abord (D avant I avant C en OT).

📖 3. Mythe de l Air-Gap et convergence IT/OT

🔑 Notions clés & Définitions

• Air-gap : L’air-gap est l’isolement réseau supposé empêcher tout accès externe au système OT.
• Convergence IT/OT : La convergence IT/OT relie les réseaux informatiques et opérationnels, ce qui augmente les chemins d’attaque possibles vers les PLC.
• Dette technologique OT : La dette technologique OT désigne l’accumulation de composants obsolètes au cœur de la production, difficiles à mettre à jour.
• Virtual Patching : Le virtual patching est une mesure compensatoire qui corrige le risque sans modifier directement le système vulnérable.
• Temps réel déterministe OT : Le temps réel déterministe OT impose une livraison des paquets dans une fenêtre stricte et prévisible pour que le contrôle reste valide.

📝 Points essentiels

• En cas de conflit, la protection de la vie humaine prime sur la sécurité de la donnée, notamment pour ne jamais retarder une action de Safety comme l’arrêt d’urgence.
• Cycle de vie IT typique : 3–5 ans, avec renouvellement rapide dicté par l’obsolescence et l’ajout de fonctionnalités.
• Cycle de vie OT typique : 15–30 ans, avec équipements pensés pour durer et remplacement souvent impossible sans arrêt prolongé.
• En OT, la règle « si ça marche, on n’y touche pas » rend le patch risqué car il peut déstabiliser un système stable et critique.
• En production 3x8, la continuité 24/7 rend l’arrêt nécessaire au patch souvent inacceptable.
• Patcher un OS SCADA peut faire perdre certification ou garantie du constructeur de la ligne de production, selon les contraintes du fabricant (risque de non-conformité).

💡 Astuce mémo

Air-gap ≠ bouclier : IT connecté + OT legacy = chemins d’attaque ; OT exige du déterministe (<10 ms) donc la sécurité lourde casse la latence.

📖 4. Définitions ICS SCADA PLC et HMI

🔑 Notions clés & Définitions

• ICS : Un ICS est un système de contrôle industriel qui pilote et surveille des procédés physiques via des équipements OT.
• SCADA : Un SCADA est une supervision industrielle qui collecte des données terrain et envoie des commandes vers les automates.
• PLC : Un PLC est un automate industriel programmable qui exécute la logique de contrôle et pilote des actionneurs.
• HMI : Une HMI est une interface opérateur qui affiche l’état du procédé et permet d’initier des actions de commande.
• Modbus TCP : Modbus TCP est un protocole industriel de communication client-serveur utilisé pour lire/écrire des états et registres.

📝 Points essentiels

• Modbus TCP transporte les données en clair et ne fournit pas d’authentification, ce qui permet à un équipement joignable d’envoyer des commandes valides.
• Une coil Modbus représente un état binaire : 0 = OFF et 1 = ON, souvent utilisée pour piloter relais, vanne, moteur, voyant ou logique interne.
• La fonction Modbus Write Single Coil correspond au code fonction 0x05 et sert à écrire directement l’état d’une coil.
• Une attaque Man-in-the-Middle sur Modbus TCP consiste à interposer un attaquant entre SCADA/IHM et PLC pour lire, modifier ou injecter des trames sans détection.
• Dans une MITM, l’attaquant peut renvoyer des réponses cohérentes au SCADA afin de masquer la manipulation du terrain et maintenir un affichage “normal”.

💡 Astuce mémo

SCADA→PLC : MITM = “entre-deux” qui lit puis inverse (coil 0/1) tout en mentant au retour.

📖 5. Contraintes OT temps réel et cycles longs

🔑 Notions clés & Définitions

• Zone OT Niveau 4 : Niveau 4 correspond au réseau d’entreprise et aux services IT proches de l’OT, comme l’ERP, l’Internet, l’e-mail et des serveurs en DMZ industrielle.
• Zone OT Niveau 1 : Le niveau 1 regroupe le contrôle de base via automates (PLC, RTU, API) et des IHM locales.
• Zone OT Niveau 0 : Le niveau 0 représente les processus physiques, avec capteurs, actionneurs et équipements de puissance.
• Triade CIA IT : La triade CIA en IT place la confidentialité comme priorité principale, avant l’intégrité puis la disponibilité.
• Triade CIA OT : La triade CIA en OT inverse les priorités, avec la disponibilité en premier, puis l’intégrité, et la confidentialité en dernier.

📝 Points essentiels

• En OT, les contraintes de temps réel et la continuité imposent une disponibilité maximale, car un arrêt peut provoquer des dommages physiques et des risques humains.
• Les cycles de vie OT sont typiquement de 15 à 30 ans, ce qui rend l’obsolescence et les remplacements plus rares que côté IT.
• Les systèmes OT contiennent souvent des composants legacy non supportés, ce qui limite fortement la capacité à appliquer des correctifs réguliers.
• Le patch management en OT est rare et complexe, avec une logique de type « si ça marche, on n’y touche pas » et des contraintes de disponibilité (ex. 3x8).
• Les protocoles réseau OT historiques peuvent être conçus sans sécurité, avec des échanges en clair et parfois sans authentification (ex. Modbus, S7, DNP3).
• En IT, le cycle de vie est généralement de 3 à 5 ans et les redémarrages sont tolérés, notamment via des patchs réguliers automatisés (type Patch Tuesday).

💡 Astuce mémo

OT = « D’abord la Disponibilité » + « Long cycle » (15–30 ans) ; IT = « C’abord la Confidentialité » + « Court cycle » (3–5 ans).

📖 6. Menaces OT et propagation via IT et supply chain

🔑 Notions clés & Définitions

• MSP : Un MSP est un prestataire de services managés qui fournit à plusieurs clients des accès et des opérations centralisées.
• Tunnel VPN inter-entreprises : Un tunnel VPN inter-entreprises est une connexion chiffrée reliant des réseaux de sociétés différentes pour permettre des accès distants.
• Hyperviseur ESXi : Un hyperviseur ESXi est une couche de virtualisation qui héberge des machines virtuelles et leurs services associés.
• MFT : Un MFT est une plateforme sécurisée de transfert de fichiers utilisée pour échanger et tracer des données sensibles entre partenaires.
• CLEO MFT : CLEO MFT est un service de transfert de fichiers (Managed File Transfer) pouvant être exposé via des connexions de maintenance ou des VM.

📝 Points essentiels

• Les MSP deviennent des cibles privilégiées car ils offrent l’accès à de multiples clients, des droits élevés, des infrastructures centralisées et des tunnels VPN inter-entreprises.
• La compromission d’un MSP peut permettre d’accéder aux environnements clients, de déployer des charges malveillantes à grande échelle et d’attaquer des services via les connexions de maintenance.
• Effet domino : la compromission d’un seul MSP peut toucher plusieurs entreprises et impacter la supply chain numérique.
• Les hyperviseurs ESXi sont visés car ils hébergent des serveurs critiques, sont parfois mal segmentés, exposent des API/services vulnérables et peuvent faciliter un chiffrement massif.
• En cas de compromission ESXi, un attaquant peut éteindre ou chiffrer des VM, accéder aux serveurs MFT hébergés et contourner des protections présentes dans les VM.
• Si CLEO MFT tourne sur une VM ESXi, l’attaquant peut arrêter la VM, chiffrer les datastores, accéder aux fichiers transférés et manipuler les flux EDI via le système compromis.

💡 Astuce mémo

MSP = Multi-clients + VPN + droits élevés → 1 brèche = chaîne entière; ESXi = “serveur des VM” → cible pour chiffrer et atteindre le MFT.

📖 7. Safety vs Security et arbitrages CIA

🔑 Notions clés & Définitions

• Safety Instrumented Systems : Les Safety Instrumented Systems sont des dispositifs industriels conçus pour déclencher une protection en cas de défaillance et réduire le risque physique.
• Security (cybersécurité) : La cybersécurité regroupe les mesures visant à empêcher, détecter et répondre aux attaques informatiques contre les systèmes et données.
• CIA : CIA est le modèle de référence Confidentialité, Intégrité et Disponibilité utilisé pour raisonner sur les impacts d’une attaque et les objectifs de protection.
• Triton Trisis : Triton/Trisis est une attaque (2017) qui a ciblé des systèmes instrumentés de sécurité industriels via un malware conçu pour compromettre un SIS.
• Denial of View/Control : Denial of View/Control désigne des impacts où l’attaquant supprime la visibilité ou empêche le contrôle opérationnel, souvent via le chiffrement ou le verrouillage des systèmes.

📝 Points essentiels

• Triton/Trisis (2017) est présenté comme un tournant car le malware vise spécifiquement la compromission d’un SIS industriel plutôt que la production directement.
• L’objectif attribué à Triton est d’aveugler la sûreté en empêchant le déclenchement des systèmes d’arrêt d’urgence en cas de défaillance matérielle.
• Dans le scénario Triton, l’attaque suit une logique IT→pivot OT→prise de contrôle du poste SIS→déploiement du malware dans l’automate Triconex pour altérer la logique.
• Colonial Pipeline (2021) illustre un ransomware IT qui ne touche initialement que le réseau IT (facturation) mais déclenche une décision de coupure préventive de l’OT par manque de visibilité IT/OT.
• La leçon de Colonial Pipeline est formulée comme un principe de segmentation et de visibilité OT : sans isolement certain, une attaque IT peut conduire à arrêter aveuglément la production.
• En 2025, une tendance d’attaque OT est le ciblage de la virtualisation (ESXi/VMware) avec chiffrement des hyperviseurs, provoquant une perte immédiate de visibilité et de contrôle (Denial of View/Control).

💡 Astuce mémo

Safety = arrêter en cas de panne ; Security = empêcher l’attaque ; Triton = aveugler l’arrêt d’urgence ; Colonial = visibilité > réaction.

📖 8. Gestion du patch management en environnement OT

🔑 Notions clés & Définitions

• Patch management OT : Environnement OT : gestion planifiée des mises à jour pour réduire les risques sans dégrader la disponibilité des systèmes industriels.
• DMZ industrielle : Zone démilitarisée industrielle : espace de séparation entre l’IT et l’OT qui sert de point de contrôle lors des transferts et accès.
• Hyperviseurs VMware ESXi : Hyperviseurs VMware ESXi : couche de virtualisation qui héberge des machines où tournent des systèmes OT, donc cible critique en cas de compromission.
• Verrouillage des serveurs SCADA : Verrouillage SCADA : indisponibilité des systèmes de supervision/contrôle, pouvant déclencher des arrêts d’urgence et une perte de sécurité.
• PDIS : PDIS : sondes de détection qualifiées exigées pour surveiller et détecter des incidents sur les systèmes critiques.

📝 Points essentiels

• Pivot IT→DMZ : l’accès initial depuis l’IT vers la DMZ industrielle est un vecteur d’attaque à considérer dans la gestion des mises à jour.
• RDP et SMB/PsExec et SSH : ces protocoles sont cités comme voies d’abus d’identité et d’exécution à distance, donc sensibles aux correctifs et durcissements.
• Chiffrement de l’infrastructure de virtualisation : en 2025, les pannes massives proviennent rarement d’un malware ICS dédié, mais du chiffrement de la couche de virtualisation.
• Impact physique via OT : le chiffrement de l’infrastructure qui héberge l’OT peut provoquer des arrêts et pertes de sécurité, même sans malware ICS spécifique.
• DoV et DoC : la perte de visibilité (Denial of View) et la paralysie du contrôle (Denial of Control) forcent des arrêts d’urgence et compromettent la Safety.
• Délai de confinement : 5 jours avec une visibilité OT mature contre 42 jours en moyenne, ce qui rend la rapidité de détection et de correction cruciale pour le patching.

💡 Astuce mémo

OT patching = Séparer (DMZ) + Corriger (protocoles) + Protéger la virtualisation (ESXi) : sinon DoV/DoC → arrêt d’urgence.

📖 9. Cadres juridiques LPM et NIS 2

🔑 Notions clés & Définitions

• LPM : Cadre juridique français imposant des exigences de sécurité et de notification pour certaines activités, avec une approche très prescriptive.
• NIS 2 : Directive européenne élargissant fortement le périmètre cyber en imposant des obligations de gestion des risques et de supervision aux entités concernées.
• Entités Essentielles : Catégorie NIS 2 regroupant les grandes entreprises de secteurs hautement critiques, soumises à une supervision proactive.
• Entités Importantes : Catégorie NIS 2 visant des entreprises ou secteurs critiques standards, soumises à une supervision déclenchée après événements.
• Lex Specialis : Principe juridique selon lequel une règle spéciale applicable à un secteur prime sur une règle générale lorsque les exigences sont équivalentes ou plus strictes.

📝 Points essentiels

• Mise en application NIS 2 en 2026 : promulgation finale, parution des décrets ANSSI et démarrage des obligations concrètes.
• Sous NIS 2, le périmètre passe d’environ 500 OSE (NIS 1) à des milliers d’organisations industrielles en France.
• NIS 2 couvre 18 secteurs clés, dont énergie et transports, mais aussi déchets, industrie manufacturière, chimie, agroalimentaire et santé (pharma).
• Supervision ex-ante : contrôle préalable pour éviter qu’un risque ou un impact systémique ne se produise avant la mise en œuvre.
• Supervision ex-post : contrôle après coup pour vérifier la conformité, analyser les incidents, sanctionner et corriger les défaillances.
• Article 21 NIS 2 : EBIOS RM pour l’analyse formelle des risques, processus d’incidents et maintien de la continuité (PCA/PRA) sont obligatoires pour les entités concernées.

💡 Astuce mémo

Ex-ante = Avant (prévenir), Ex-post = Après (sanctionner).

📖 10. Principe Lex Specialis et articulation des obligations

🔑 Notions clés & Définitions

• Lex Specialis : Principe juridique selon lequel une réglementation sectorielle plus précise ou plus exigeante s’applique en priorité sur la règle générale.
• Article 4 NIS 2 : Disposition de NIS 2 qui organise la priorité des obligations lorsque des textes sectoriels européens imposent des exigences de cybersécurité équivalentes ou supérieures.
• Cartographie des SI : Démarche consistant à inventorier précisément les systèmes d’information pour déterminer quel cadre réglementaire s’applique à chaque périmètre.
• Sécurité de la Supply Chain OT/IT : Intégration des exigences de cybersécurité aux flux et dépendances entre environnements opérationnels (OT) et informatiques (IT) dans la chaîne d’approvisionnement.

📝 Points essentiels

• Si un acte juridique sectoriel impose des mesures de sécurité ou de notification au moins équivalentes à NIS 2, ce sont ces dispositions spécifiques qui priment.
• NIS 2 ne remplace pas les cadres sectoriels existants : elle s’efface devant eux lorsqu’ils sont plus précis ou plus exigeants.
• L’article 4 prévoit une application complémentaire de NIS 2 uniquement pour combler d’éventuels manques lorsque la réglementation sectorielle couvre déjà le sujet.
• Le principe vise à éviter les doublons et les incohérences (obligations contradictoires) entre exigences de cybersécurité de différents textes.
• En pratique, l’entreprise doit cartographier ses SI pour appliquer le bon cadre à chaque périmètre (IT, OT, dépendances).
• Exemples de cadres sectoriels cités : DORA (finance), CER (infrastructures critiques), EECC (télécoms), MDR/IVDR (dispositifs médicaux), règlements aviation/ferroviaire.

💡 Astuce mémo

Lex Specialis = « spécial d’abord » : si le secteur est plus strict, NIS 2 complète seulement les trous.

📖 11. Exigences NIS 2 cartographie risques et notification

🔑 Notions clés & Définitions

• NIS 2 : Directive européenne imposant des obligations de cybersécurité aux acteurs et produits numériques, avec des exigences de gestion des risques et de notification.
• Sécurité dès la conception : Exigence de cybersécurité qui impose d’intégrer les protections dès le cahier des charges et la conception, avant la mise en service.
• Mises à jour de sécurité : Obligation de maintenir des correctifs et mises à jour pendant une durée pluriannuelle afin de réduire durablement les risques.
• Gestion des vulnérabilités : Ensemble d’obligations visant à traiter les failles (détection, évaluation et correction) pour limiter l’exposition.
• Notification en cas de faille exploitée : Obligation de communiquer lorsqu’une vulnérabilité est exploitée, afin d’alerter et de réduire l’impact.

📝 Points essentiels

• NIS 2 est un texte européen horizontal qui s’applique aux produits numériques.
• Les exigences incluent la sécurité dès la conception et des mises à jour de sécurité sur plusieurs années.
• NIS 2 impose une gestion structurée des vulnérabilités, pas seulement une réaction après incident.
• Le marquage CE “cyber” est présenté comme un élément de conformité lié aux exigences de cybersécurité.
• La notification concerne les cas où la faille est exploitée, ce qui déclenche une obligation d’information.

💡 Astuce mémo

Conception → Correctifs (années) → Vulnérabilités → CE cyber → Notification si Exploitation.

📖 12. Gouvernance IT/OT et synergie DSI production

🔑 Notions clés & Définitions

• Hygiène OT : Approche de base en cybersécurité OT qui réduit d’abord les risques d’accès et de contamination via des contrôles simples et systématiques.
• Segmentation IT/OT : Principe de séparation physique et logique entre environnements IT et OT pour limiter la propagation des attaques et contrôler les communications.
• IEC 62443 : Référentiel international qui structure la cybersécurité des systèmes IACS/OT avec des exigences et un cadre technique organisé.
• Zones et Conduits : Modèle IEC 62443 qui regroupe les actifs par criticité en zones et sécurise les échanges via des conduits contrôlés.
• Security Levels SL 1 à 4 : Échelle IEC 62443 qui fixe le niveau de résistance attendu face à des adversaires allant de l’incident occasionnel à l’attaquant étatique ciblé.

📝 Points essentiels

• Roadmap 12 mois OT en 4 phases : Mois 1-3 hygiène OT, Mois 4-6 segmentation, Mois 7-9 monitoring IDS/IIDS, Mois 10-12 incident response avec exercices terrain.
• Hygiène OT : MFA pour les accès distants et contrôle strict des supports amovibles (USB) pour limiter les entrées d’attaquants.
• Segmentation : séparation physique et logique IT/OT avec pare-feux industriels, création de DMZ et filtrage des flux critiques.
• Monitoring OT : déploiement de sondes IDS/IIDS pour obtenir une visibilité temps réel sur le réseau OT.
• Incident response OT : préparation et exercices de réponse à incident sur le terrain, incluant des tests de procédures dégradées.
• IEC 62443 s’organise en 4 piliers : Généralités, Politiques & Procédures, Système (intégration), et Composants (produits).

💡 Astuce mémo

OT = Disponibilité d’abord : si la prod s’arrête, c’est la sûreté qui paie.

📅 Repères chronologiques

📊 Tableaux de synthèse

Paradigme IT vs OT

⚠️ Pièges & confusions fréquents

1. Confondre Safety et Security : la sécurité IT ne doit jamais retarder un arrêt d’urgence (Safety) en cas de conflit.
2. Croire que l’air-gap empêche toute intrusion : la convergence IT/OT rend l’isolement illusoire (USB, modems 4G, accès distants).
3. Appliquer un patch management IT en OT : « si ça marche, on n’y touche pas » et l’arrêt 3x8 rend le patch risqué/inacceptable.
4. Inverser la triade en OT : en usine, la disponibilité prime (D) car un arrêt peut provoquer des dommages physiques et des risques humains.
5. Sous-estimer les protocoles legacy : Modbus TCP est non chiffré et sans authentification, donc une commande valide peut être exécutée.
6. Penser que l’impact physique vient d’un malware ICS dédié : en 2025, les pannes massives proviennent souvent du chiffrement de la virtualisation (ESXi/VM).
7. Mélanger supervision ex-ante et ex-post : ex-ante vise à prévenir avant mise en œuvre, ex-post vérifie après événement/sanction.

✅ Checklist Examen

1. Expliquer la différence de finalité entre IT (gérer l’information) et OT (contrôler des processus physiques en temps réel).
2. Justifier l’inversion de la triade en OT : donner l’ordre de priorité (D > I > C) et un exemple (pompe de refroidissement).
3. Définir Safety vs Security et énoncer la règle d’or de convergence : la protection de la vie humaine prime sur la sécurité de la donnée.
4. Citer les cycles de vie typiques IT (3–5 ans) et OT (15–30 ans) et relier cela à la dette technologique/legacy et aux difficultés de patching.
5. Décrire pourquoi le patch management en OT est risqué : « si ça marche, on n’y touche pas », continuité 24/7 et contraintes de certification/garantie.
6. Expliquer le temps réel déterministe OT et pourquoi une sécurité réseau lourde peut casser la latence (fenêtre stricte, souvent < 10 ms).
7. Définir ICS, SCADA, PLC et HMI, puis expliquer pourquoi Modbus TCP est critique (clear-text, pas d’authentification) et ce qu’implique une MITM sur Modbus TCP.
8. Décrire l’attaque Triton/Trisis : cible (SIS/Triconex), logique IT→pivot OT→prise de contrôle poste SIS→déploiement malware, et l’objectif d’aveugler l’arrêt d’urgence.
9. Décrire l’exemple Colonial Pipeline : ransomware IT initial, manque de visibilité IT/OT, décision d’arrêt préventif OT, et la leçon « segmentation + visibilité OT ».
10. Lister les vecteurs d’infection OT cités (VPN/accès distants, IIoT exposé, supports amovibles USB, phishing/rebond via AD, shadow IT/shadow OT, supply chain).
11. Expliquer la kill chain industrielle (phases) et relier 2025 à l’idée que l’impact physique vient souvent du chiffrement de l’infrastructure de virtualisation.
12. Présenter le cadre LPM : cibles (OIV/SIIV), rôle de l’ANSSI, obligations proactives (audits, PDIS) et signalement sans délai des incidents.
13. Présenter NIS 2 : élargissement du périmètre (OSE→milliers), régimes ex-ante/ex-post, et obligations de l’Article 21 (EBIOS RM, PCA/PRA, gouvernance/formation, supply chain).
14. Expliquer Lex Specialis (Art. 4 NIS 2) : quand une réglementation sectorielle prime sur NIS 2 et pourquoi NIS 2 complète seulement les manques, avec l’idée de cartographier les SI pour appliquer le bon cadre.