NIS2 pour les entreprises manufacturières
La fabrication de dispositifs médicaux, d'électronique, d'équipements électriques, de machines et de véhicules relève de l'annexe II de NIS2. Si votre entreprise compte 50 salariés ou plus, voici ce qu'exige le BSIG et comment gérer le défi OT/IT.
Pourquoi NIS2 s'applique-t-il à l'industrie manufacturière ?
L'industrie manufacturière moderne dépend de la convergence de l'IT et de l'OT (technologie opérationnelle). Les systèmes ERP pilotent la planification de la production. Les plateformes MES gèrent l'exécution sur l'atelier. Les systèmes SCADA contrôlent les machines et l'automatisation des processus. Les systèmes CAO/FAO définissent ce qui est fabriqué. Lorsque ces systèmes sont interconnectés - et dans la plupart des usines ils le sont - une cyberattaque sur l'un peut se propager en cascade dans toute la chaîne de production. Une infection par rançongiciel dans le réseau bureautique qui atteint le MES peut arrêter les lignes de production.
L'UE a classé l'industrie manufacturière à l'annexe II de la directive NIS2, couvrant : la fabrication de dispositifs médicaux, la fabrication d'ordinateurs et d'électronique, la fabrication d'équipements électriques, la fabrication de machines et d'équipements, la fabrication de véhicules automobiles et la fabrication d'autres équipements de transport. Les entreprises atteignant le seuil de taille (50 salariés ou plus, ou un chiffre d'affaires annuel supérieur à 10 millions d'euros) sont des « wichtige Einrichtungen » (entités importantes) au titre de l'article 28(2) BSIG.
L'industrie manufacturière présente un défi unique que la plupart des autres secteurs NIS2 ne rencontrent pas à la même échelle : la sécurité OT. Les équipements de production exécutent souvent des systèmes d'exploitation spécialisés, utilisent des protocoles propriétaires et ont des contraintes de cycle de vie qui rendent les correctifs difficiles. Une machine à commande numérique de 2015 peut exécuter Windows 7 Embedded et ne peut pas être mise à jour sans l'intervention du fabricant. NIS2 n'ignore pas cette réalité : l'article 30 BSIG exige des mesures « proportionnées » au risque. Mais vous devez documenter les risques et les contrôles compensatoires.
Système d'exécution de la fabrication (MES)
Le système qui gère les opérations d'atelier : planification de la production, exécution des ordres de travail, suivi de la qualité et surveillance des performances. Les systèmes courants incluent SAP ME, MPDV HYDRA, Forcam ou des solutions sur mesure. Le MES se situe entre l'ERP et l'atelier de production. S'il tombe en panne, vous perdez la visibilité et la planification de la production. Une entrée d'actif par installation.
SCADA et contrôles industriels
Systèmes de supervision, de contrôle et d'acquisition de données (SCADA), automates programmables industriels (API), interfaces homme-machine (IHM) et contrôleurs de commande numérique. Ils contrôlent directement les processus physiques de production. Souvent exécutés sur d'anciens systèmes d'exploitation aux capacités de sécurité limitées. Ils représentent le risque à plus fort impact car leur compromission peut endommager des équipements ou provoquer des incidents de sécurité. Regroupez par ligne ou cellule de production.
Système ERP
Le système métier central pour la gestion des commandes, les achats, les stocks, les finances et la planification de la production. Couramment SAP, proALPHA, Microsoft Dynamics ou abas. L'ERP détermine ce qui est produit et quand. Sa compromission arrête le traitement des commandes, les paiements aux fournisseurs et les livraisons aux clients. Une entrée d'actif.
CAO/FAO et ingénierie
Systèmes de conception assistée par ordinateur et de fabrication assistée par ordinateur : SolidWorks, AutoCAD, Siemens NX, CATIA ou similaires. Ils contiennent votre propriété intellectuelle : conceptions de produits, procédés de fabrication, tolérances. Une compromission ici peut signifier la perte de secrets commerciaux. Inclut également le PLM (gestion du cycle de vie des produits) s'il est utilisé. Une entrée regroupée.
Infrastructure réseau
Le réseau reliant l'informatique de bureau, l'ingénierie et l'atelier de production. Inclut de manière critique la frontière IT/OT : pare-feu, segments DMZ et diodes de données entre le réseau bureautique et le réseau de l'atelier. Si vos réseaux IT et OT sont plats (sans segmentation), c'est votre risque le plus prioritaire. Incluez le VPN et l'accès à distance pour la maintenance des fournisseurs.
Postes de travail et informatique de bureau
Ordinateurs portables, ordinateurs de bureau et appareils mobiles pour le personnel administratif, l'ingénierie et la gestion de la production. Applications bureautiques standard, courrier électronique, outils de collaboration. Grundschutz permet le regroupement : « 80 ordinateurs portables Windows standard » constitue une seule entrée. Incluez également les serveurs (fichiers, impression, applications) en tant qu'entrée regroupée distincte s'ils sont importants.
1. S'enregistrer auprès du BSI
Effectuez votre enregistrement au titre de l'article 33 BSIG via muk.bsi.bund.de. Cela prend 30 à 60 minutes et vous inscrit au registre. La sanction pour défaut d'enregistrement va jusqu'à 500 000 euros. Si le délai est passé, enregistrez-vous immédiatement.
2. Constituer votre inventaire des actifs (IT et OT)
C'est là que l'industrie manufacturière diffère des autres secteurs. Vous devez inventorier à la fois les systèmes IT (ERP, courrier électronique, ingénierie) et les systèmes OT (MES, SCADA, API, machines à commande numérique). Pour les actifs OT, documentez le système d'exploitation, la version du micrologiciel, la connectivité réseau et le fait que le fabricant fournisse ou non des mises à jour de sécurité. Cet inventaire est le socle de tout ce qui suit.
3. Évaluer et segmenter votre réseau OT
La mesure technique la plus déterminante pour les industriels. Si votre IT bureautique et votre OT de production partagent un réseau plat, une infection par rançongiciel dans le bureau peut atteindre vos contrôleurs de production. Mettez en place la segmentation du réseau : séparez l'IT et l'OT en zones réseau distinctes avec un pare-feu entre elles. C'est l'exigence Grundschutz IND.1 et la recommandation prioritaire du BSI pour les environnements industriels.
4. Mettre en place la notification des incidents
Définissez ce que signifie un incident significatif pour vos opérations de fabrication. Une attaque par rançongiciel qui arrête les lignes de production est clairement significative. Un courriel d'hameçonnage bloqué ne l'est pas. Établissez la chaîne de notification, y compris qui a l'autorité de déposer la notification au BSI et comment le joindre en dehors des heures de bureau. Testez le processus par un exercice sur table.
5. Documenter les relations avec les fournisseurs
Les entreprises manufacturières ont souvent plusieurs fournisseurs OT disposant d'un accès à distance aux systèmes de production pour la maintenance et les mises à jour. Documentez chaque fournisseur ayant accès à votre réseau, ce qu'il peut atteindre et les mesures de sécurité auxquelles il s'engage. Les connexions de télémaintenance aux systèmes SCADA constituent un vecteur d'attaque courant : assurez-vous qu'elles soient correctement sécurisées et surveillées.
Le défi de la convergence IT/OT définit la conformité NIS2 de l'industrie manufacturière. Votre équipe informatique de bureau comprend les correctifs, les contrôles d'accès et la sécurité réseau. Mais les équipements de production fonctionnent selon des règles différentes : vous ne pouvez pas redémarrer une machine à commande numérique pendant une production pour appliquer des correctifs. Les API peuvent exécuter un micrologiciel non mis à jour depuis des années parce que le fabricant n'a publié aucune mise à jour. Les systèmes SCADA peuvent utiliser des protocoles propriétaires que les outils de sécurité informatique standard ne comprennent pas.
La solution n'est pas d'imposer les pratiques de sécurité IT à l'OT. C'est de construire un modèle de sécurité qui respecte les contraintes. La segmentation du réseau isole l'OT des risques IT. La surveillance détecte les anomalies sans nécessiter d'agents sur les contrôleurs. Les contrôles compensatoires (accès physique restreint, réseaux de maintenance dédiés, journalisation) offrent une protection là où les contrôles IT traditionnels ne sont pas réalisables. Documentez tout : le BSI attend des mesures « proportionnées », et documenter pourquoi vous avez choisi des contrôles compensatoires plutôt que des correctifs directs est une approche valable.
Les entreprises manufacturières font également face à un risque de propriété intellectuelle que d'autres secteurs peuvent ne pas connaître. Les fichiers de CAO, les procédés de production, les tolérances et les spécifications des fournisseurs sont des secrets commerciaux précieux. Une compromission qui les expose ne crée pas seulement un problème de conformité : elle crée un désavantage concurrentiel. Les contrôles d'accès sur les systèmes d'ingénierie et le chiffrement des fichiers de conception devraient être priorisés en parallèle du travail de segmentation OT.
Questions fréquentes
Nos machines de production exécutent Windows 7 ou une version plus ancienne. NIS2 nous oblige-t-il à les mettre à niveau ?
NIS2 n'impose pas de versions spécifiques de systèmes d'exploitation. Il exige une gestion des risques « appropriée et proportionnée ». Pour les anciens systèmes OT, cela signifie : documenter le risque (OS non pris en charge, absence de correctifs), mettre en place des contrôles compensatoires (isolation réseau, accès restreint, surveillance) et planifier le remplacement en fin de cycle de vie. Le BSI attend que vous reconnaissiez le risque et le gériez, et non que vous effectuiez des mises à niveau impossibles sur des équipements qui ne peuvent pas être mis à jour.
Devons-nous séparer nos réseaux IT et OT ?
La segmentation du réseau entre IT et OT est la mesure de sécurité la plus déterminante pour les industriels, et elle est fortement recommandée à la fois par le BSI (Grundschutz IND.1) et par le CIR 2024/2690. Si vos réseaux sont actuellement plats, cela devrait être votre priorité technique absolue. Au minimum, déployez un pare-feu entre le réseau bureautique et le réseau de production, limitez le trafic au strict nécessaire et journalisez toutes les connexions inter-zones.
Notre fournisseur de machines dispose d'un accès à distance pour la maintenance. Est-ce un problème ?
L'accès de télémaintenance est courant et nécessaire, mais c'est un vecteur de risque important. Au titre de NIS2, vous devez documenter cet accès, inclure des exigences de sécurité dans le contrat du fournisseur et mettre en place des contrôles : connexions VPN dédiées (et non des ports ouverts), accès limité dans le temps (activé uniquement en cas de besoin), journalisation de toutes les sessions distantes et authentification multifactorielle. Le fournisseur devient partie intégrante de votre évaluation de la sécurité de la chaîne d'approvisionnement au titre de l'article 30(2)(4) BSIG.
Nous sommes un fournisseur automobile de rang 2. NIS2 s'applique-t-il même si notre constructeur ne nous a rien demandé à ce sujet ?
Si vous fabriquez des véhicules automobiles, des pièces ou des équipements de transport et comptez 50 salariés ou plus, NIS2 s'applique à vous quels que soient les exigences de votre client constructeur. La fabrication de véhicules automobiles et d'autres équipements de transport est explicitement listée à l'annexe II. En pratique, les constructeurs automobiles exigeront de plus en plus la conformité NIS2 de leur chaîne d'approvisionnement : TISAX couvre déjà un terrain similaire. Anticiper cette exigence est stratégiquement judicieux.