La vérité sur l'âge de vos automates

D'expérience, quand on demande à un directeur industriel quel est l'âge moyen de ses équipements OT, la réponse est souvent approximative. Quand on fait l'inventaire réel avec les dates d'installation, on découvre que 30 à 50% des automates, capteurs et systèmes de supervision sont en fin de support officiel de leur constructeur ou en passe de l'être dans les trois à cinq prochaines années. C'est ce que confirme TXOne Networks dans son rapport 2024 : environ 50% des équipements OT déployés dans les infrastructures industrielles mondiales tournent sur des systèmes en fin de vie ou en fin de support de sécurité.

La fin de support, ce n'est pas la fin de la vie opérationnelle. Un automate Siemens S7-300 dont le support officiel s'est terminé en 2023 peut très bien continuer à tourner sans incident pendant encore dix ans. Le problème n'est pas la défaillance mécanique ou logicielle, c'est l'absence de correctifs de sécurité. Un équipement en fin de support qui reçoit de nouvelles vulnérabilités ne bénéficiera d'aucun patch constructeur. Et ces vulnérabilités s'accumulent avec le temps, augmentant mécaniquement la surface d'attaque.

Pourquoi on n'arrête pas les lignes pour changer un automate

La question que pose souvent la direction générale face à ce constat : pourquoi ne pas simplement remplacer les équipements en fin de support ? La réponse est multidimensionnelle. D'abord, le coût : remplacer un automate industriel dans une ligne de production, ce n'est pas seulement le prix de l'équipement c'est l'arrêt de la ligne, la migration des programmes, la requalification du process, les tests de reprise, la formation des équipes. Sur un équipement critique, le coût total peut être dix à vingt fois le prix de l'équipement lui-même.

Ensuite, la disponibilité : dans beaucoup de secteurs industriels, les lignes tournent 24h/24, 7j/7, avec des fenêtres de maintenance planifiées très limitées. Remplacer un automate en production demande une coordination complexe entre les équipes de production, de maintenance, le fournisseur et le RSSI, une coordination qui prend des mois à mettre en place.

Enfin, la dépendance : certains équipements sont intégrés dans des systèmes propriétaires dont les remplaçants n'existent plus sur le marché. Remplacer l'automate impose alors de revoir l'architecture complète de la ligne, un projet pluriannuel et plurimillionnaire.

4 approches pour gérer les équipements en fin de support sans tout remplacer

1. Prioriser par criticité réelle et exposition réseau

Tous les équipements en fin de support ne présentent pas le même niveau de risque. Un automate isolé physiquement, sans connexion réseau, dans une zone à accès restreint, est infiniment moins risqué qu'un contrôleur en fin de support avec un accès réseau ouvert et une interface de maintenance accessible à distance. La priorité doit aller aux équipements les plus exposés, ceux qui ont des connexions réseau, ceux qui contrôlent des process critiques, ceux pour lesquels des CVE actives existent.

2. Déployer des contrôles compensatoires robustes

Pour les équipements qu'on ne peut pas remplacer à court terme, des contrôles compensatoires permettent de réduire le risque : isolation réseau renforcée via des VLAN dédiés et des règles de pare-feu strictes, suppression de tous les accès non nécessaires, surveillance comportementale passive pour détecter toute activité anormale, et mise en place d'une whitelist des communications autorisées. Ces contrôles ne font pas disparaître la vulnérabilité, mais ils réduisent significativement la probabilité et l'impact d'une exploitation.

3. Construire un plan de remplacement pluriannuel réaliste

La bonne approche n'est pas de prétendre qu'on va tout remplacer rapidement. Elle est de construire un plan de remplacement sur 3 à 7 ans, priorisé par le niveau de risque, budgété et validé par la direction. Ce plan doit être intégré dans les cycles d'investissement de l'entreprise, pas traité comme un projet cybersécurité isolé. L'arbitrage doit se faire au niveau de la direction industrielle, pas au niveau du RSSI seul.

4. Négocier le support étendu avec les constructeurs

Beaucoup de constructeurs proposent des programmes de support étendu payant pour les équipements en fin de support officiel. Ces programmes incluent généralement la publication de correctifs critiques, l'accès à une hotline technique dédiée et des bulletins de sécurité. Le coût est significatif, souvent de l'ordre de 15 à 25% du prix d'achat initial par an mais il est souvent bien inférieur au coût d'un remplacement prématuré.

Ce que ça demande du RSSI

Gérer les équipements OT en fin de support n'est pas un problème technique au sens strict. C'est un problème de gouvernance, de budget et de priorisation des risques. Le RSSI industriel qui aborde ce sujet avec sa direction doit pouvoir quantifier le risque en termes d'exposition aux CVE actives, en termes de coût d'incident potentiel et proposer un plan d'action réaliste avec des options chiffrées.

L'erreur classique est d'arriver avec une liste d'équipements à remplacer sans contexte financier. La direction voit un coût, pas un risque géré. L'approche qui fonctionne : présenter le risque résiduel de chaque scénario : statu quo, contrôles compensatoires, remplacement, avec le coût associé à chacun. C'est un arbitrage éclairé que la direction peut faire ; une demande de remplacement de masse sans justification, non.

Ce qu'il faut retenir

Le vieillissement du parc OT est une réalité inévitable dans toute organisation industrielle. La question n'est pas de l'éviter mais de le gérer avec rigueur : inventaire des équipements en fin de support, évaluation de l'exposition réelle de chacun, contrôles compensatoires pour les équipements qui restent, plan de remplacement priorisé pour les autres. Un parc OT vieillissant bien géré est infiniment moins risqué qu'un parc récent laissé sans gouvernance.

Vous voyez un post LinkedIn sur le sujet , n’hésitez pas et partagez cet article en commentaire !

Partager