Attaques ciblées, protocoles détournés, erreurs humaines… La cybersécurité n’est plus une hypothèse, c’est une réalité quotidienne pour les exploitants du secteur de l’énergie. Et le système SCADA, en tant que centre névralgiques de contrôle et de supervision, est en première ligne.
Récemment encore, une alerte conjointe des autorités américaines (CISA, DOE, FBI) révélait des attaques visant les systèmes SCADA d’infrastructures pétrolières et gazières. Des intrusions facilitées par des accès distants mal protégés et des mots de passe par défaut encore actifs. Preuve que même sans sophistication technique, la menace est tangible.
Aujourd’hui, chaque interconnexion, chaque accès distant, chaque automate connecté représente une surface d’attaque susceptible. Il ne suffit plus de superviser de manière globale : il faut sécuriser chaque maillon de l’architecture, du capteur au poste opérateur, en passant par les serveurs de supervision, les bases de données et les liens de communication.
Dans cet article, nous faisons le point sur les origines de cette vulnérabilité croissante, les stratégies pour y faire face, et les solutions à mettre en œuvre pour protéger vos installations selon les standards les plus exigeants de la cybersécurité industrielle.
L’importance de la sécurité des systèmes SCADA
La supervision industrielle ne tolère aucun compromis. Les infrastructures, telles que les réseaux électriques, les sous-stations électriques ou les installations de production décentralisée, reposent sur des systèmes SCADA pour piloter et centraliser en temps réel les opérations.
Mais cette centralité fait aussi leur vulnérabilité.
La moindre faille dans un système SCADA peut se traduire par des conséquences opérationnelles immédiates : interruptions de service non planifiées, pertes de contrôle sur les équipements terrain, pannes en cascade affectant des milliers d’utilisateurs. Pour un exploitant, cela signifie des pertes financières considérables ainsi que des risques de sécurité physique sur le personnel et les infrastructures.
Dans un contexte géopolitique tendu, les attaques contre les systèmes industriels (ICS/système SCADA) se sont intensifiées. Un rapport de Dragos, révèle une hausse de 87 % des attaques par ransomware visant les infrastructures OT, accompagnée de nouvelles familles de malwares spécialement conçues pour les environnements industriels. De ce fait, la sécurité des systèmes SCADA doit être pensée en amont, intégrée dans l’architecture du projet et maintenue tout au long de son cycle de vie.
Pourquoi les systèmes SCADA sont-ils vulnérables ?
Pensés pour fonctionner dans des environnements isolés (air gap), les systèmes SCADA sont aujourd’hui confrontés à une réalité bien différente : interconnexion croissante, accès à distance, intégration de services tiers et dépendance aux échanges de données en temps réel. Cette ouverture, si elle n’est pas maîtrisée, devient une porte d’entrée pour les intrusions.
Le facteur humain : première cause de vulnérabilité
Dans la plupart des incidents de cybersécurité SCADA, l’origine est humaine. Les erreurs de configuration, l’absence de procédures rigoureuses ou l’usage de mots de passe par défaut affaiblissent les défenses du système. Par exemple, la connexion d’un ingénieur depuis son domicile via un VPN mal sécurisé ou l’utilisation de clés USB infectées échangées entre postes suffisent à compromettre un réseau entier. Il suffit d’un seul poste d’ingénierie exposé pour que l’attaquant puisse se déplacer latéralement vers les équipements critiques.
Une interconnexion croissante et mal maîtrisée
Les architectures SCADA modernes sont de plus en plus hybrides, mêlant supervision locale, cloud industriel, objets connectés (IoT) et solutions tierces. Cette convergence IT/OT, bien que nécessaire pour la performance opérationnelle, multiplie les surfaces d’attaque. Chaque passerelle IP et chaque capteur connecté devient un point d’entrée potentiel pour un attaquant déterminé.
Des protocoles de communication à haut risque
Historiquement, des protocoles comme Modbus, IEC 60870-5-104, DNP3 ou MQTT ont été conçus pour fonctionner dans des réseaux de confiance, sans mécanismes de chiffrement ou d’authentification intégrés. En cas de mauvaise configuration, ces protocoles de communication deviennent de véritables failles. Un attaquant peut injecter des trames falsifiées, détourner des commandes ou intercepter des données sensibles sans être détecté.
Les stratégies pour sécuriser les systèmes SCADA
Segmentation et protection des réseaux
La première ligne de défense d’un système SCADA, c’est son architecture réseau. Trop souvent, les réseaux industriels sont organisés comme des plateformes plates, sans cloisonnement réel entre les zones critiques (RTU, IED, automates) et les systèmes d’exploitation.
Pour contrer cela, la segmentation réseau est incontournable. Elle repose sur une séparation stricte des flux IT et OT à l’aide de VLAN, de sous-réseaux indépendants, et surtout d’un pare-feu industriel configuré en mode « whitelisting » (seuls les flux explicitement autorisés peuvent transiter). Les environnements SCADA doivent également intégrer une zone démilitarisée (DMZ) entre les couches IT (ERP, MES, supervision) et les couches terrain. Cette DMZ héberge des serveurs de rebond (jump servers), proxy ou services OPC UA sécurisés, qui filtrent et contrôlent chaque interaction.
Cette logique de cloisonnement réduit drastiquement la surface d’attaque : même en cas d’intrusion dans le réseau IT, l’attaquant devra franchir plusieurs barrières techniques avant d’approcher les couches critiques.
Authentification et contrôle d’accès
Trop d’architectures industrielles fonctionnent encore avec des identifiants et des mots de passe partagés ou des comptes administrateurs non personnalisés. Cette absence de rigueur ouvre un boulevard aux intrusions.
La première mesure est la mise en place d’une authentification multi-facteurs (MFA) pour tous les accès aux systèmes SCADA : comptes opérateurs, ingénieurs, prestataires de maintenance. Cette couche supplémentaire empêche toute connexion non autorisée.
Mais l’identification ne suffit pas : il faut contrôler ce que chaque utilisateur peut faire. Pour cela, la mise en œuvre d’un modèle RBAC (Role-Based Access Control) s’impose. Chaque rôle (opérateur, superviseur, administrateur, sous-traitant) se voit attribuer un périmètre d’action bien défini : consultation, modification, accès à certains équipements. Cela évite qu’un opérateur puisse, par exemple, modifier des configurations sensibles ou re-programmer un automate.
Enfin, la gestion des droits doit être dynamique et documentée : tout compte inactif doit être désactivé automatiquement, tout accès temporaire doit être tracé, et chaque session critique doit être journalisée avec horodatage.
Chiffrement des données
La mise en place de solutions VPN sécurisées constitue un premier rempart. Ces tunnels chiffrés encapsulent les protocoles industriels afin d’empêcher tout sniffing ou injection de trame malveillante en transit.
Mais le chiffrement doit également être appliqué à l’intérieur même des réseaux industriels, y compris sur les segments LAN, via des protocoles nativement sécurisés comme TLS (Transport Layer Security).
Chaque couche de l’architecture doit être protégée :
- Entre système SCADA et équipements de terrain, pour empêcher la capture ou l’altération de consignes ;
- Entre système SCADA et systèmes IT (ERP, EMS, MES), pour éviter l’exfiltration de données sensibles ;
- Entre les opérateurs distants et les serveurs de supervision, pour assurer l’intégrité des sessions à distance.
Supervision et détection en temps réel
Un système peut être cloisonné, chiffré, verrouillé… mais sans supervision active et détection en temps réel, il ne perçoit aucune menace terrain. Quelques secondes d’intrusion suffisent à compromettre une sous-station, dérégler un automate ou saboter une chaîne de production.
La première brique de cette surveillance est une gestion avancée des alarmes intégrée au système SCADA. Ces alarmes doivent aller au-delà des seuils classiques (tension, température, pression) pour intégrer des alertes de sécurité numérique : connexions réseau anormales, tentatives de changement de configuration, redémarrages suspects d’équipements, etc. Le système SCADA doit pouvoir historiser, hiérarchiser et notifier ces événements en temps réel.
Pour aller plus loin, l’intégration de systèmes de détection d’intrusion (IDS) industriels est essentielle. Ces outils analysent en continu les flux réseau OT, comparent les comportements observés à des modèles de référence et détectent toute activité suspecte.
Un bon IDS SCADA peut être passif (détection uniquement) ou actif (réaction automatique, déconnexion d’un équipement compromis). Il est souvent couplé à un SIEM (Security Information and Event Management) pour corréler les alertes entre OT et IT, et fournir une vision consolidée des menaces.
Enfin, chaque détection doit pouvoir déclencher des réponses automatisées via scripts ou logiques SCADA. Car dans un système critique, l’attente d’une intervention humaine ne suffit pas.
Tests réguliers et audits de sécurité
Dans un environnement SCADA, la sécurité doit être testée, challengée, réévaluée en permanence.
Les tests de pénétration ciblés (pentests) sont une méthode pour valider la robustesse des défenses. Réalisés en environnement contrôlé, ces tests simulent des attaques internes et externes : injection de trames Modbus falsifiées, contournement de firewall, exploitation de failles sur les services à distance (telnet, HTTP embarqué, etc.). L’objectif est clair : identifier les vulnérabilités avant qu’un attaquant réel ne les exploite.
En parallèle, des audits de sécurité réguliers, à la fois internes et externes, permettent de dresser un état des lieux complet de la posture cyber. Ils incluent :
- l’analyse des configurations réseau (pare-feu, VLAN, routage),
- la vérification des droits d’accès et des journaux d’authentification,
- le contrôle des mises à jour et correctifs sur les équipements critiques (système SCADA, RTU, PLC, IED),
- et le respect des bonnes pratiques issues des normes IEC 62443, ISO 27001 ou NIS2.
La cybersécurité au cœur des solutions SCADA de JSA
Un service sur mesure pour sécuriser vos systèmes SCADA
Chaque système SCADA est unique : topologie réseau, protocoles utilisés, niveaux de criticité, historique des équipements… C’est pourquoi chez JSA, experts en contrôle-commande et supervision pour l’industrie et l’énergie, nous ne proposons pas de solutions génériques, mais un accompagnement sur mesure, construit à partir d’une analyse fine du contexte de chaque client.
JSA compte parmi son équipe d’ingénieurs experts un responsable réseaux et cybersécurité, certifié ISA / IEC62443. C’est grâce à cette compétence interne que nous menons toutes les analyses de risque sur les solutions déployées et proposons un service adapté à chaque environnement opérationnel.
Tout commence par une analyse de risque détaillée : nous identifions les menaces pertinentes, évaluons les vulnérabilités spécifiques à l’architecture existante, et détectons les points faibles concrets : équipements obsolètes, ports ouverts, comptes partagés, absence de cloisonnement… Cette cartographie permet de prioriser les actions selon leur criticité et leur impact potentiel.
Nous réalisons ensuite un audit de cybersécurité SCADA complet, combinant analyse documentaire, vérifications terrain et simulations de scénarios d’intrusion. À partir de ces éléments, nous élaborons un plan de sécurisation stratégique : cloisonnement réseau, durcissement des équipements, gestion des accès, supervision des anomalies, chiffrement des flux, et bien sûr, mise en conformité avec les exigences normatives du secteur (IEC 62443, NIS2, ANSSI…).
Mais une sécurité durable ne se limite pas aux outils : elle repose sur les hommes. C’est pourquoi JSA intègre systématiquement un volet formation des équipes techniques, avec des sessions adaptées aux opérateurs, automaticiens et ingénieurs : bonnes pratiques d’hygiène numérique, gestion des accès, manipulation sécurisée des équipements, réponse aux incidents.
Notre objectif : rendre nos clients autonomes et résilients face aux cybermenaces, sans dépendre d’une solution figée. Car en cybersécurité industrielle, ce n’est pas l’outil qui fait la sécurité, c’est l’architecture, les procédures et la discipline opérationnelle.
Zenon Energy Edition : une solution adaptée aux défis actuels
Face à la montée des menaces cyber dans le secteur énergétique, les exploitants doivent s’équiper d’un système SCADA capable de conjuguer robustesse opérationnelle et conformité aux normes. C’est précisément ce que propose Zenon Energy Edition, la plateforme de supervision développée par COPA-DATA.
Zenon est nativement conçu pour répondre aux exigences de cybersécurité industrielle, avec une conformité rigoureuse aux standards IEC 62443 (cybersécurité des systèmes d’automatisation industrielle) et IEC 61850 (interopérabilité des équipements dans les postes électriques). L’ensemble des communications est chiffré via TLS, garantissant l’intégrité et la confidentialité des échanges. Zenon supporte également les protocoles sécurisés comme Modbus sécurisé, MQTT TLS, ou encore IEC 60870-5-104 avec chiffrement, pour une supervision à la fois performante et sécurisée.
Au-delà de la sécurité protocolaire, Zenon Energy Edition intègre des mécanismes avancés de redondance. Ces fonctionnalités garantissent une continuité de service, même en cas de défaillance ou d’attaque sur un composant du système. Cette redondance s’applique aussi à la gestion multi-sites, avec une architecture centralisée ou distribuée selon les contraintes du client, permettant une supervision cohérente de parcs solaires, de postes de transformation ou de centrales hybrides réparties sur plusieurs zones géographiques.
Enfin, l’un des points forts de Zenon est son interopérabilité. Compatible avec plus de 300 drivers industriels, il s’intègre facilement à des équipements hétérogènes : RTU, IED, relais de protection, EMS ou systèmes tiers.
Les systèmes SCADA sont aujourd’hui le cœur névralgique de vos installations énergétiques, mais aussi leur principal point de fragilité face aux cybermenaces. Aucun exploitant ne peut ignorer l’impact potentiel d’une faille : arrêts de production, pertes de données, intrusion dans les équipements critiques. En réalité, la cybersécurité est désormais une composante centrale de votre performance opérationnelle.
Chez JSA, nous en faisons une priorité. Grâce à notre expertise en système SCADA et notre approche sur mesure, nous vous accompagnons à chaque étape : analyse de risque, sécurisation du réseau, audit de conformité, formation de vos équipes et intégration de solutions comme Zenon Energy Edition, taillée pour les environnements critiques.
Vous avez un projet de sécurisation SCADA ou souhaitez évaluer la robustesse de votre infrastructure actuelle ? Contactez nos experts. Depuis plus de 20 ans, nous concevons, intégrons et sécurisons des architectures SCADA pour les environnements les plus exigeants du secteur de l’énergie.
