Derrière le Rideau : Les entreprises américaines peinent à sécuriser l’accès des fournisseurs malgré les progrès en cybersécurité OT

De nouvelles recherches révèlent que, bien que les organisations américaines améliorent la défense de leurs technologies opérationnelles, une faille dangereuse dans la gestion de l’accès à distance des fournisseurs menace les infrastructures critiques.

À première vue, les géants industriels américains semblent remporter la bataille de la sécurité des technologies opérationnelles (OT). Mais derrière des chiffres flatteurs, un nouveau rapport met en lumière une réalité inquiétante : les fournisseurs mêmes, chargés de maintenir et de soutenir les systèmes critiques, représentent désormais le principal angle mort en matière de sécurité. Le résultat ? Un scénario de cheval de Troie moderne - où l’ennemi s’introduit par la grande porte, non par la force, mais sur invitation.

Chiffres clés

Le score moyen de maturité en sécurité OT des entreprises américaines est de 35,9/50 - Niveau 4 « géré » - avec 18 % atteignant le niveau 5 « optimisé ».
L’accès à distance des fournisseurs est la capacité la moins performante tous secteurs confondus, l’industrie manufacturière étant la plus touchée.
L’industrie manufacturière atteint en moyenne seulement 31,2/50, tandis que le secteur des eaux usées est en tête avec 39,4/50 grâce à la pression réglementaire et à la discipline opérationnelle.
Les organisations déploient souvent de nouveaux sites OT plus rapidement qu’elles ne peuvent les sécuriser ou les surveiller, créant ainsi des lacunes de visibilité.
Le principal défi n’est plus l’accès aux outils, mais l’application des politiques et le maintien d’une visibilité continue.

Selon le « Rapport sur l’état de la sécurité OT 2026 » de la société de cybersécurité Tosi, les entreprises américaines progressent réellement en maturité de sécurité OT. La visibilité des actifs et la détection des menaces sont devenues des points forts, mais un schéma dangereux persiste : les organisations déploient des outils avancés, mais échouent à appliquer systématiquement les contrôles, notamment concernant l’accès à distance des tiers. Dans l’industrie manufacturière, la situation est particulièrement critique - la plupart des entreprises n’ont aucune méthode structurée pour gérer ou révoquer les identifiants des fournisseurs, n’obtenant qu’un score médiocre de 1,67 sur 5 sur cette question cruciale.

L’étude de Tosi, basée sur 77 entreprises américaines, souligne qu’un fabricant sur trois seulement a atteint le niveau 4 « géré », et encore moins peuvent révoquer rapidement l’accès d’un fournisseur en cas de compromission. À l’inverse, le secteur des eaux usées, sous la pression de l’EPA et de la CISA, fait preuve d’une discipline opérationnelle exemplaire, obtenant de bons résultats en visibilité des actifs, détection des menaces et - point crucial - gestion de l’accès à distance. Pourtant, même ici, la visibilité multi-sites reste en retard, les organisations s’étendant plus vite qu’elles ne peuvent sécuriser leurs nouveaux sites.

Le rapport met en évidence trois tendances inattendues. Premièrement, les organisations gèrent mieux les connexions à l’intérieur des ateliers que la frontière IT/OT, laissant ainsi un périmètre vulnérable. Deuxièmement, si certaines ont investi dans des systèmes sophistiqués de détection des menaces sur des sites clés, ces capacités ne sont pas déployées à l’échelle du réseau, créant d’importants angles morts. Troisièmement, le rythme rapide de déploiement des sites dépasse la capacité à maintenir une visibilité inter-sites, ajoutant encore de l’ombre à un environnement déjà complexe.

La racine du problème ? Ce n’est plus seulement une question de technologie. L’écart se situe désormais au niveau des processus et de leur application. Beaucoup d’organisations disposent des outils, mais manquent de la discipline opérationnelle nécessaire pour les transformer en contrôles efficaces et systématiquement appliqués. Surtout dans l’industrie manufacturière, la dépendance à des outils IT génériques plutôt qu’à des solutions OT dédiées expose les systèmes critiques. Tosi recommande d’imposer un accès fournisseur limité dans le temps et basé sur l’identité, d’attribuer la responsabilité de la sécurité OT aux équipes opérationnelles, et de faire de la visibilité une condition préalable à tout nouveau déploiement.

Alors que les mondes numérique et physique se rejoignent dans les usines et services publics américains, le message est clair : la sécurité n’est forte que de son gardien le plus faible. Les organisations qui se démarquent ne se contentent pas d’acheter de meilleurs outils - elles s’assurent que chaque point d’accès, en particulier ceux des fournisseurs, est verrouillé et surveillé. Dans le monde à haut risque de l’OT, la différence entre « avoir » et « utiliser » des contrôles de sécurité pourrait définir la prochaine grande faille - ou l’empêcher totalement.

WIKICROOK

Technologie Opérationnelle (OT) : La technologie opérationnelle (OT) regroupe les systèmes informatiques qui contrôlent les équipements et processus industriels, les rendant souvent plus vulnérables que les systèmes IT traditionnels.
Visibilité des actifs : La visibilité des actifs est la capacité à découvrir et surveiller tous les appareils, systèmes et applications connectés à un réseau pour améliorer la cybersécurité.
Accès à distance des fournisseurs : L’accès à distance des fournisseurs permet à des tiers de se connecter aux systèmes de l’entreprise à distance, souvent pour du support, mais présente des risques de sécurité s’il n’est pas strictement contrôlé.
Segmentation du réseau : La segmentation du réseau divise un réseau en sections plus petites pour contrôler l’accès, améliorer la sécurité et contenir les menaces en cas de brèche.
Frontière IT/OT : La frontière IT/OT est l’interface où les systèmes IT se connectent aux réseaux OT, nécessitant une sécurité spécialisée pour protéger les infrastructures critiques.