📡 SwissFi
Réseau OT/IT : quand vos machines de production rejoignent votre réseau bureautique
CT
Vos machines de production sont connectées. Votre réseau bureautique aussi. Personne n'a décidé qu'ils ne devaient pas se parler — et c'est exactement le problème.
26/05/2026
10:10
Le problème : deux mondes qui ne devaient pas fusionner
Pendant des décennies, les réseaux OT (Operational Technology) et les réseaux IT (Information Technology) vivaient séparément. Les machines de production — tours CNC, robots industriels, automates programmables, systèmes SCADA, capteurs de process — communiquaient sur des protocoles propriétaires, dans des réseaux fermés, physiquement isolés du reste de l'entreprise. Ce temps est révolu. La digitalisation de la production, les exigences de supervision à distance, la maintenance prédictive, les mises à jour firmware en ligne, les ERP connectés aux machines — tout cela a progressivement ouvert les réseaux OT vers l'IT. Et dans la majorité des PME industrielles romandes que nous auditons, cette ouverture s'est faite sans architecture de sécurité pensée en conséquence. Le résultat : vos machines de production partagent souvent le même réseau que vos postes de travail, votre messagerie, votre NAS. Un attaquant qui compromet un poste RH peut, dans certaines configurations, pivoter vers votre automate de production. L'inverse est également vrai.
Ce qu'on observe dans les PME et communes romandes
Lors d'un audit réseau pour une PME industrielle vaudoise de 60 collaborateurs, nous avons découvert que trois automates programmables (PLC) pilotant une ligne de conditionnement étaient directement accessibles depuis le réseau bureautique. Pas de VLAN dédié. Pas de règle de filtrage. Les PLC tournaient sur un firmware de 2018 — aucune mise à jour n'avait été appliquée depuis l'installation. Dans une commune du canton de Fribourg gérant ses propres installations techniques (chauffage, ventilation, accès bâtiment), le système de supervision BMS partageait le segment réseau de l'administration communale. Un accès compromis au BMS aurait permis de couper le chauffage de l'école primaire ou de déverrouiller les accès bâtiment. La nLPD ne s'applique pas qu'aux données personnelles dans le sens classique — elle s'applique à toute donnée d'exploitation dont la compromission peut causer un préjudice. Par ailleurs, les assureurs cyber suisses intègrent désormais systématiquement la convergence OT/IT dans leurs questionnaires de souscription. Une infrastructure non segmentée peut impacter directement votre couverture.
Les 3 points à corriger en priorité
1. Absence totale de segmentation OT/IT Le premier réflexe est de supposer que les machines industrielles "ne sont pas sur Internet" — donc protégées. C'est faux dès lors qu'elles partagent un réseau avec des postes qui, eux, le sont. La segmentation via VLAN dédié OT, avec règles de filtrage strict vers le réseau IT, est la mesure fondamentale. Elle n'empêche pas la supervision à distance ni la maintenance — elle la contrôle. 2. Protocoles industriels sans authentification native Modbus, PROFINET, BACnet, DNP3 — les protocoles qui font tourner vos machines ont été conçus pour des réseaux fermés. Ils n'ont pas d'authentification native. N'importe quel équipement sur le même segment réseau peut leur envoyer des commandes. Dès lors que votre réseau OT est accessible depuis votre réseau IT, ces protocoles deviennent des vecteurs d'attaque directs. 3. Accès distant aux machines sans contrôle dédié La maintenance à distance par le constructeur, la supervision par l'intégrateur, les mises à jour firmware — tous ces accès passent souvent par des VPN génériques ou des accès RDP partagés. Sans segmentation et sans journalisation dédiée, vous ne savez pas qui accède à quoi sur votre réseau OT, ni quand.
L'approche Computis SwissFi : sécuriser la convergence sans arrêter la production
La convergence OT/IT n'est pas un problème qu'on résout avec un antivirus supplémentaire ou une règle firewall. C'est un problème d'architecture réseau — et c'est précisément le domaine d'expertise de SwissFi, notre département réseau et WiFi chez Computis. Notre approche fonctionne en trois temps. D'abord, un audit préliminaire de l'existant : cartographie complète des équipements OT connectés, identification des flux entre réseaux OT et IT, analyse des protocoles en présence, évaluation des accès distants existants. Ensuite, la mise en place de l'architecture de segmentation : création d'un VLAN OT dédié, règles de filtrage inter-VLAN, déploiement d'une zone DMZ industrielle si nécessaire, sécurisation des accès distants avec authentification forte. Enfin, la politique de gestion dans le temps : inventaire maintenu, procédure de mise à jour firmware, journalisation des accès OT, intégration dans votre routine de maintenance IT.
Les incidents OT ont augmenté de 87% en 2025. Dans les PME industrielles romandes, machines et postes bureautiques partagent souvent le même réseau sans le savoir.
FAQ
Nos machines de production ne sont pas connectées à Internet — pourquoi seraient-elles un risque ?
Vos machines ne sont peut-être pas directement exposées à Internet. Mais si elles partagent un réseau avec des postes qui le sont, un attaquant qui compromet un poste bureautique peut atteindre vos automates. L'isolation physique n'existe plus dès lors que les deux réseaux se touchent quelque part.
Nous sommes une PME de 30 personnes — la convergence OT/IT nous concerne vraiment ?
Oui. La tendance à croire que les petites structures sont moins ciblées est documentée comme fausse. Les attaquants automatisés ne font pas de discrimination par taille. Et une PME industrielle sans IT dédié est précisément le profil de victime le plus fréquent dans les incidents OT recensés en Suisse romande.
La nLPD s'applique-t-elle à nos machines de production ?
Nous n'avons pas d'équipe IT interne — Computis peut-il gérer tout cela à notre place ?
Nous n'avons pas d'équipe IT interne — Computis peut-il gérer tout cela à notre place ?
Nous n'avons pas d'équipe IT interne — Computis peut-il gérer tout cela à notre place ?
Comment fonctionne l'audit préliminaire Computis sur ce sujet ?
L'audit préliminaire est une prestation payante qui produit un rapport documenté : cartographie des équipements OT connectés, analyse des flux OT/IT, évaluation des accès distants, recommandations priorisées. Son coût est intégralement déduit de la prestation si vous choisissez de travailler avec nous.
Sujets abordés
OT/IT
Réseau
SwissFi
PME industrielles
SCADA
Cybersécurité
Vos machines de production sont-elles sur le même réseau que vos postes de travail et votre messagerie ?
Chez Computis, nous réalisons un audit préliminaire de votre convergence OT/IT pour les PME industrielles et communes romandes sans équipe IT dédiée. Cartographie des flux, segmentation, accès distants — rapport documenté, recommandations priorisées. Notre audit préliminaire est payant et sérieux. Son coût est intégralement déduit de la prestation si vous décidez de travailler avec nous. Cybersécurité, cloud ou réseau — un seul interlocuteur chez Computis.
