Chez Computis, notre département SwissFi intervient chaque semaine dans des PME romandes, des communes et des institutions publiques pour auditer ou déployer leur infrastructure réseau. Et depuis deux ans, un nouveau sujet s’impose dans nos audits que nous ne voyions pas avant : la convergence OT/IT. Des PME industrielles dont les machines de production parlent désormais directement à leur réseau bureautique —sans que personne n’ait réellement décidé que c’était une bonne idée.

Selon les données sectorielles 2025, les incidents de cybersécurité sur les réseaux OT ont augmenté de 87% en un an. Dans les PME industrielles sans équipe IT dédiée, la quasi-totalité des équipements OT partagent le même réseau que les postes de travail. Aucun n’est surveillé.

Le problème : deux mondes qui ne devaient pas fusionner

Pendant des décennies, les réseaux OT (Operational Technology) et les réseaux IT (Information Technology) vivaient séparément.

Les machines de production — tours CNC, robots industriels, automates programmables, systèmes SCADA, capteurs de process — communiquaient sur des protocoles propriétaires, dans des réseaux fermés, physiquement isolés du reste de l’entreprise.

Ce temps est révolu. La digitalisation de la production, les exigences de supervision à distance, la maintenance prédictive, les mises àjour firmware en ligne, les ERP connectés aux machines — tout cela a progressivement ouvert les réseaux OT vers l’IT. Et dans la majorité des PME industrielles romandes que nous auditons, cette ouverture s’est faite sans architecture de sécurité pensée en conséquence.

Le résultat : vos machines de production partagent souvent le même réseau que vos postes de travail, votre messagerie, votre NAS. Un attaquant qui compromet un poste RH peut, dans certaines configurations, pivoter vers votre automate de production.

L’inverse est également vrai.

Ce qu’on observe sur le terrain

Lors d’un audit réseau pour une PME industrielle vaudoise de 60 collaborateurs, nous avons découvert que trois automates programmables (PLC) pilotant une ligne de conditionnement étaient directement accessibles depuis le réseau bureautique.

Pas de VLAN dédié. Pas de règle de filtrage. Les PLC tournaient sur un firmware de 2018 — aucune mise à jour n’avait été appliquée depuis l’installation.

Dans une commune du canton de Fribourg gérant ses propres installations techniques (chauffage, ventilation, accès bâtiment), le système de supervision BMS (Building Management System) partageait le segment réseau de l’administration communale.

Un accès compromis au BMS aurait permis de couper le chauffage de l’école primaire ou de déverrouiller les accès bâtiment.

Les 3 points à corriger en priorité

1. Absence totale de segmentation OT/IT
Le premier réflexe est de supposer que les machines industrielles “ne sont pas sur Internet” — donc protégées. C’est faux dès lors qu’elles partagent un réseau avec des postes qui, eux, le sont. La segmentation via VLAN dédié OT, avec règles de filtrage strict vers le réseau IT, est la mesure fondamentale. Elle n’empêche pas la supervision à distance ni la maintenance — elle la contrôle.

2. Protocoles industriels sans authentification native
Modbus, PROFINET, BACnet, DNP3 — les protocoles qui font tourner vos machines ont été conçus pour des réseaux fermés. Ils n’ont pas d’authentification native. N’importe quel équipement sur le même segment réseau peut leur envoyer des commandes. Dès lors que votre réseau OT est accessible depuis votre réseau IT, ces protocoles deviennent des vecteurs d’attaque directs.

3. Accès distant aux machines sans contrôle dédié
La maintenance à distance par le constructeur, la supervision par l’intégrateur, les mises à jour firmware — tous ces accès passent souvent par des VPN génériques ou des accès RDP partagés. Sans segmentation et sans journalisation dédiée, vous ne savez pas qui accède à quoi sur votre réseau OT, ni quand.

L’approche Computis SwissFi

La convergence OT/IT n’est pas un problème qu’on résout avec un antivirus supplémentaire ou une règle firewall. C’est un problème d’architecture réseau — et c’est précisément le domaine d’expertise de SwissFi, notre département réseau et WiFi chez Computis.

Notre approche pour les PME industrielles et institutions romandes fonctionne en trois temps.

D’abord, un audit préliminaire de l’existant : cartographie complète des équipements OT connectés, identification des flux entre réseaux OT et IT, analyse des protocoles en présence, évaluation des accès distants existants.

Ensuite, la mise en place de l’architecture de segmentation : création d’un VLAN OT dédié, règles de filtrage inter-VLAN, déploiement d’une zone DMZ industrielle si nécessaire, sécurisation des accès distants avec authentification forte.

Enfin, la politique de gestion dans le temps : inventaire maintenu, procédure de mise à jour firmware, journalisation des accès OT, intégration dans votre routine de maintenance IT.

Ce que ça donne concrètement pour votre organisation :

Ce qu’il faut retenir

La convergence OT/IT est silencieuse — elle ne fait pas de bruit tant que rien ne se passe. Quand quelque chose se passe, c’est trop tard. L’architecture réseau est la seule réponse durable. Et elle se déploie sur votre infrastructure existante, sans arrêter la production.

FAQ

Nos machines de production ne sont pas connectées à Internet — pourquoi seraient-elles un risque ?

Vos machines ne sont peut-être pas directement exposées à Internet. Mais si elles partagent un réseau avec des postes qui le sont, un attaquant qui compromet un poste bureautique peut atteindre vos automates. L’isolation physique n’existe plus dès lors que les deux réseaux se touchent quelque part.

Nous sommes une PME de 30 personnes — la convergence OT/IT nous concerne vraiment ?

Oui. La tendance à croire que les petites structures sont moins ciblées est documentée comme fausse. Les attaquants automatisés ne font pas de discrimination par taille. Et une PME industrielle sans IT dédié est précisément le profil de victime le plus fréquent dans les incidents OT recensés en Suisse romande.

La nLPD s’applique-t-elle à nos machines de production ?

La nLPD s’applique aux données personnelles — mais les incidents sur les réseaux OT produisent souvent des fuites de données personnelles en cascade (données RH sur le même réseau, données d’accès bâtiment, données de supervision). Par ailleurs, les assureurs cyber intègrent la convergence OT/IT dans leurs questionnaires. Une infrastructure non segmentée peut affecter votre couverture d’assurance.

Nous n’avons pas d’équipe IT interne — Computis peut-il gérer tout cela à notre place ?

Oui. C’est précisément notre modèle pour les PME et communes sans ressource IT dédiée. Chez Computis, cybersécurité, cloud et réseau sont trois domaines de spécialisation d’une même équipe — vous avez un interlocuteur unique qui assure le déploiement, la configuration, la formation et le suivi.

Comment fonctionne l’audit préliminaire Computis sur ce sujet ?

L’audit préliminaire est une prestation payante qui produit un rapport documenté : cartographie des équipements OT connectés, analyse des flux OT/IT, évaluation des accès distants, recommandations priorisées. Son coût est intégralement déduit de la prestation si vous choisissez de travailler avec nous.

Abonnez-vous — chaque mardi, un éclairage concret sur l’IT, le WiFi et la cybersécurité pour les PME et institutions suisses.

Réservez 15 minutes avec notre équipe