Vulnérabilités supply chain : interopérabilité IT/OT et continuité opérationnelle

La sup­ply chain repose désor­mais sur une conver­gence crois­sante entre sys­tèmes IT (ERP, WMS, APS) et envi­ron­ne­ments OT (auto­mates indus­triels, SCADA, cap­teurs IoT). 

Cette inter­con­nexion, essen­tielle pour la per­for­mance et la visi­bi­li­té en temps réel, intro­duit des vul­né­ra­bi­li­tés sys­té­miques, notam­ment via des pro­to­coles indus­triels obso­lètes expo­sés aux cybe­rat­taques

Un nouveau paysage de risques pour les directions supply chain

Pour les direc­tions géné­rales et sup­ply chain, l’enjeu dépasse l’efficacité opé­ra­tion­nelle : il s’agit de garan­tir la rési­lience glo­bale face à des risques hybrides. Un inci­dent IT peut stop­per une ligne de pro­duc­tion, ampli­fiant les effets domi­no sur l’ensemble des flux.

Un inci­dent IT peut aujourd’hui stop­per une ligne de pro­duc­tion. À l’inverse, une défaillance OT peut com­pro­mettre l’intégrité des don­nées critiques.

IT/OT : une interopérabilité indispensable mais fragile

Définition et enjeux

• IT – Infor­ma­tion Tech­no­lo­gy : sys­tèmes de ges­tion et de pilo­tage (ERP, TMS, MES).
• OT – Ope­ra­tio­nal Tech­no­lo­gy : sys­tèmes de contrôle des opé­ra­tions phy­siques (machines, auto­mates, capteurs).

L’inter­opé­ra­bi­li­té IT/OT per­met notam­ment :

• la pla­ni­fi­ca­tion en temps réel,
• une tra­ça­bi­li­té com­plète des flux,
• l’op­ti­mi­sa­tion des per­for­mances industrielles.

Mais cette conver­gence crée aus­si des points d’entrée cri­tiques pour les cybe­rat­taques et les défaillances systémiques.

Les principales vulnérabilités

• Absence de seg­men­ta­tion réseau entre IT et OT,
• Pro­to­coles indus­triels obso­lètes ou non sécurisés,
• Manque de gou­ver­nance trans­verse entre DSI et équipes industrielles,
• Dépen­dance à des inté­gra­teurs ou édi­teurs tiers,
• Faible visi­bi­li­té sur les flux de don­nées inter-systèmes.

Continuité opérationnelle : un enjeu stratégique de gouvernance

La conti­nui­té opé­ra­tion­nelle ne se limite plus aux plans de reprise IT (PRA/PCA). Elle doit inté­grer la dimen­sion indus­trielle et sup­ply chain dans son ensemble. 

Impacts directs en cas de rupture

• Arrêt de production,
• Rup­tures d’approvisionnement,
• Non-confor­mi­té régle­men­taire (notam­ment en phar­ma et chimie),
• Dégra­da­tion de la qua­li­té de ser­vice client,
• Risques finan­ciers et répu­ta­tion­nels élevés.

Exemple concret : une attaque ran­som­ware sur un MES connec­té à un ERP peut blo­quer simul­ta­né­ment la pro­duc­tion et la pla­ni­fi­ca­tion, entraî­nant un effet domi­no sur toute la sup­ply chain. 

Les bonnes pratiques pour sécuriser l’interopérabilité IT/OT

Mettre en place une gouvernance transverse

Pour réus­sir cette trans­for­ma­tion, il est indis­pen­sable de poser un cadre de pilo­tage com­mun entre les fonc­tions clés de l’entreprise afin d’assurer une vision par­ta­gée, des flux maî­tri­sés et des res­pon­sa­bi­li­tés clai­re­ment définies : 

• Ali­gne­ment DSI, direc­tion indus­trielle et sup­ply chain.
• Car­to­gra­phie des flux IT/OT critiques.
• Défi­ni­tion claire des res­pon­sa­bi­li­tés (RACI).

Renforcer la cybersécurité industrielle

Pour réduire l’exposition aux attaques et limi­ter l’impact d’un inci­dent, la cyber­sé­cu­ri­té indus­trielle doit s’appuyer sur des mesures de pro­tec­tion spé­ci­fiques, adap­tées aux envi­ron­ne­ments IT et OT.

• Seg­men­ta­tion des réseaux IT/OT,
• Sur­veillance des flux (SOC industriel),
• Ges­tion des accès et authen­ti­fi­ca­tion forte,
• Mise à jour des sys­tèmes OT (sou­vent négligée).

Intégrer la résilience dès la conception

Pour garan­tir la conti­nui­té des opé­ra­tions, la rési­lience doit être pen­sée dès la concep­tion des archi­tec­tures et inté­grée aux dis­po­si­tifs de conti­nui­té comme aux exer­cices de crise : 

• Archi­tec­ture redondante,
• Plans de conti­nui­té incluant OT,
• Tests régu­liers de scé­na­rios de crise.

Sécuriser l’écosystème partenaires

Pour réduire les risques de rup­ture liés aux tiers, il est essen­tiel de sécu­ri­ser l’ensemble de l’écosystème par­te­naire. Et ce, en enca­drant les dépen­dances cri­tiques et les exi­gences de conti­nui­té dès la rela­tion contractuelle :

• Audit des four­nis­seurs IT/OT,
• Clauses contrac­tuelles sur la cyber­sé­cu­ri­té et la continuité,
• Sui­vi des dépen­dances cri­tiques (édi­teurs, intégrateurs).

Exemples d’entreprises et intégration IT/OT

Cer­tains indus­triels excellent dans l’in­té­gra­tion IT/OT, trans­for­mant les risques en oppor­tu­ni­tés de rési­lience sup­ply chain.

Constructeur automobile

Un construc­teur auto­mo­bile (ano­nyme) a connec­té ses don­nées de vibra­tions moteur (OT) à des modèles pré­dic­tifs IT, rédui­sant de 20% les arrêts impré­vus de pro­duc­tion. Cette inter­opé­ra­bi­li­té a opti­mi­sé la main­te­nance pré­dic­tive tout en main­te­nant la conti­nui­té des flux sup­ply chain.

Société agroalimentaire

Une entre­prise agroa­li­men­taire a inté­gré les don­nées machines OT direc­te­ment à son ERP, per­met­tant une ges­tion en flux ten­du des stocks. 

Résul­tat : réduc­tion de 15% des pertes de matières pre­mières, avec une visi­bi­li­té temps réel sur la chaîne logistique.

Constructeur aéronautique

Ce construc­teur a déployé un moni­to­ring IT/OT cou­plé à du machine lear­ning. Ain­si, il a dimi­nué les coûts de main­te­nance de 30% et aug­men­té la dis­po­ni­bi­li­té des équi­pe­ments de 25%.

Vers une supply chain résiliente et pilotée par le risque

Les direc­tions sup­ply chain doivent évo­luer vers une approche orien­tée risque, inté­grant plei­ne­ment les dimen­sions IT/OT.

Cela implique :

• Une vision sys­té­mique des flux phy­siques et digitaux,
• Une capa­ci­té à anti­ci­per les défaillances,
• Une col­la­bo­ra­tion étroite entre fonc­tions métiers et IT.

L’interopérabilité IT/OT n’est pas seule­ment un levier de per­for­mance : elle devient un fac­teur clé de rési­lience et de com­pé­ti­ti­vi­té.