Vanguard SystemsVanguard Systems
Retour au blog

Cybersécurité OT en Suisse : IEC 62443 et NIS2

1 mai 2026Tai Van
cybersécurité OTIEC 62443NIS2audit cyberPLCsegmentation réseauSuisseindustrie 4.0

Cybersécurité OT industrielle en Suisse : guide IEC 62443 et NIS2 pour 2026

En 2025, un fabricant suisse de composants horlogers a vu son atelier d'usinage CNC arrêté pendant 11 jours suite à un ransomware qui s'est propagé depuis le réseau IT vers les armoires de commande Siemens via un VPN d'astreinte mal segmenté. Coût direct, 2,4 millions CHF. Pas de fuite de données, pas de scandale médiatique, juste 11 jours de production perdus et un client allemand qui a basculé chez un concurrent. Ce cas n'est pas isolé. Sur le terrain, nous voyons trois sites sur quatre avec une posture cyber OT qui ne tiendrait pas un audit sérieux.

Ce guide synthétise ce qu'un industriel suisse doit savoir et faire en 2026 pour ne pas être le prochain. Il couvre le cadre réglementaire (NIS2 et sa transposition suisse, IEC 62443), la surface d'attaque réelle d'un site OT, et la méthodologie d'audit flash 5 jours que nous appliquons. C'est un guide opérationnel, pas un livre blanc.

Le contexte réglementaire 2026 en Suisse

La directive NIS2 européenne est entrée en application en octobre 2024 dans l'UE. La Suisse n'est pas membre de l'UE, mais trois mécanismes la rattrapent malgré tout.

D'abord, la révision de la Loi sur la sécurité de l'information (LSI) qui transpose en droit suisse une obligation de notification d'incident pour les opérateurs d'infrastructures critiques (énergie, eau, santé, transport, finance, télécoms). Le délai de notification au NCSC (Centre national pour la cybersécurité) est de 24 heures pour les incidents significatifs depuis avril 2025.

Ensuite, l'effet domino contractuel. Un sous-traitant suisse d'un grand groupe pharma allemand ou français se voit imposer NIS2 par contrat. Les questionnaires de cyberrisque en annexe de contrat se sont allongés de 30 à 200 questions en 2 ans, et les non-conformités déclenchent des pénalités contractuelles.

Enfin, l'assurance cyber. Les assureurs (Zurich, AXA, Helvetia) exigent désormais des preuves concrètes de maturité cyber OT pour couvrir les risques de production. Sans ces preuves, soit la prime explose, soit la couverture est refusée. Sur un site industriel moyen, on parle de 30'000 à 120'000 CHF de prime annuelle.

NIS2 ne s'applique pas directement en Suisse au sens strict, mais elle est de facto le standard du marché. Ignorer ce mouvement, c'est se faire sortir des appels d'offres dans les 18 mois.

IEC 62443, le cadre technique de référence

Si NIS2 est le quoi, IEC 62443 est le comment. Cette série de normes ISA/IEC, développée depuis 2007, structure la cybersécurité des systèmes industriels d'automatisation et de contrôle (IACS). Trois sous-normes nous occupent au quotidien.

IEC 62443-2-1 décrit le système de management de la cybersécurité (CSMS), équivalent ISO 27001 mais pour l'OT. Il définit les politiques, rôles, procédures de gestion de patch, gestion des accès, plans de continuité. C'est le socle organisationnel.

IEC 62443-3-3 spécifie les exigences de sécurité système, structurées en sept Foundational Requirements (FR1 à FR7), eux-mêmes déclinés en 51 System Requirements. Chaque exigence est associée à un niveau de sécurité (SL-1 à SL-4). Un site qui vise SL-2 (protection contre attaque intentionnelle simple) doit satisfaire un sous-ensemble précis et auditable.

IEC 62443-4-2 concerne les composants eux-mêmes (PLC, IHM, switch industriel, gateway). Elle définit ce qu'un fournisseur doit livrer pour être conforme. Siemens, Rockwell, Schneider, Beckhoff publient désormais des fiches de conformité 62443-4-2 par produit, et c'est devenu un critère de sélection.

Concrètement, sur un site, nous visons SL-2 sur la zone procédé et SL-3 sur les zones critiques (sécurité fonctionnelle, recettes propriétaires). Atteindre SL-2 demande typiquement 6 à 12 mois de travail et un investissement de 80'000 à 250'000 CHF. SL-3 double ces chiffres.

Notre offre [architecture de systèmes](/services/architecture) intègre nativement les principes IEC 62443 dès la conception.

Surface d'attaque OT typique en 2026

Avant de défendre, il faut savoir ce qu'on défend et par où ça rentre. Sur les sites que nous auditons, les vecteurs d'entrée se concentrent sur cinq familles.

PLC legacy exposés. Des automates S7-300, S7-400, ControlLogix 1756 série A, Modicon Quantum encore en production avec firmware d'origine, mots de passe par défaut, ports de programmation ouverts en permanence. Une simple sonde Nessus en mode authentifié remonte 30 à 80 vulnérabilités critiques par site moyen.

SCADA exposée au réseau IT. WinCC, FactoryTalk View SE, Wonderware InTouch sur des serveurs Windows non patchés, parfois en domaine IT directement, sans pare-feu OT/IT digne de ce nom. Le ransomware n'a même pas besoin d'effort.

Accès distants mal cadrés. VPN d'astreinte fournisseur (TeamViewer, AnyDesk, parfois TightVNC en clair) qui restent ouverts 24/7. Sur un site visité l'an dernier, 14 sessions VPN actives en permanence dont 4 vers des intégrateurs qui n'existaient plus.

Postes ingénierie partagés. Les ES (Engineering Stations) sont souvent partagées entre internes et externes, avec des comptes Windows locaux génériques, des projets PCS7 ou TIA Portal copiés sur des clés USB, et zéro traçabilité.

Médias amovibles. Les clés USB des intégrateurs et auditeurs externes sont la deuxième source d'infection après le réseau IT. Stuxnet a 15 ans, le vecteur fonctionne toujours.

Cette cartographie n'a rien de théorique. Elle correspond à ce que nous voyons chaque trimestre dans les audits que nous menons en Suisse romande.

Méthodologie d'audit flash en 5 jours

Pour un site qui démarre, un audit complet IEC 62443 prend 4 à 8 semaines et coûte 60'000 à 150'000 CHF. C'est trop long pour décider. Nous avons développé un audit flash en 5 jours qui produit une cartographie suffisante pour prioriser, à un coût accessible (15'000 à 25'000 CHF).

Jour 1, kick-off et collecte. Réunion avec production, automation, IT, sécurité. Inventaire des actifs OT (PLC, IHM, serveurs, switches, gateways) avec un balayage réseau passif (Claroty, Nozomi ou plus simplement un ARP scan ciblé). Cartographie des flux IT/OT.

Jour 2, scan de vulnérabilités OT. Utilisation d'outils non intrusifs (Nmap mode safe, Tenable.OT en passif, ou GRASSMARLIN). Identification des firmware obsolètes, ports ouverts, services exposés. Sur un site moyen, le rapport sort 200 à 600 findings.

Jour 3, revue d'architecture. Analyse du schéma réseau (réel, pas celui de la doc), identification des zones et conduits selon IEC 62443. Test des règles de pare-feu OT/IT (ce qui passe vraiment versus ce qui devrait passer). Revue des accès distants actifs.

Jour 4, revue procédures et accès. Audit des comptes utilisateurs sur ES et SCADA, revue des procédures de gestion de patch, gestion des sauvegardes, plan de réponse à incident OT s'il existe.

Jour 5, restitution et plan d'action. Présentation au comité de direction du site avec une scoring de maturité par catégorie 62443, top 10 des risques critiques chiffrés, et roadmap 12 mois priorisée par ratio impact/effort.

Le livrable est un rapport de 40 à 80 pages, exécutif plus annexes techniques, qui sert de base à la décision d'investissement. Sur 12 audits flash menés en 2024-2025, le score moyen de départ était de 1,8/5 sur l'échelle 62443. Aucun site n'était au-dessus de 3,2/5.

Hardening PLC concret, ce qu'on fait vraiment

La théorie 62443 c'est bien, le hardening pratique sur un Siemens S7-1500 ou un Rockwell ControlLogix c'est mieux. Voici ce qu'on configure systématiquement.

Sur Siemens S7-1500 et S7-1200. Activation du Know-how Protection sur les blocs critiques (FB, FC, DB de recettes). Activation du Copy Protection lié au numéro de série de la CPU pour empêcher la copie sauvage. Définition de plusieurs niveaux d'accès (HMI access, Read access, Full access) avec mots de passe forts et rotation. Désactivation des services non utilisés (PG/PC communication désactivée si non nécessaire, accès web désactivé). Configuration du PLC en mode protégé contre les modifications en RUN. Logging des modifications activé.

Sur Rockwell ControlLogix et CompactLogix. Activation de FactoryTalk Security avec gestion centralisée des comptes. Configuration de l'authentification CIP Security sur les communications EtherNet/IP. Désactivation des modes ports inutilisés sur les modules de communication 1756-EN2T. Logging vers un syslog central.

Sur les IHM (WinCC, PanelView, FactoryTalk View). Comptes opérateurs nominatifs (jamais de "operator1" partagé), niveaux d'autorisation par fonction, screenlock automatique après 10 minutes, journalisation des actions critiques (changement de setpoint, acknowledgment alarme critique).

Sur les switches industriels (Scalance, Stratix). Désactivation des ports inutilisés (oui, vraiment, on les ferme physiquement dans la conf). Activation du port security MAC, VLAN par criticité, désactivation du protocole DCP de découverte si possible (attention, casse certaines fonctionnalités Profinet).

Ces actions paraissent évidentes. Sur 100 PLC audités en moyenne par an, nous trouvons moins de 5 PLC avec ces basiques en place.

Segmentation réseau, le sujet qui change tout

Si on ne fait qu'une chose en cyber OT, c'est la segmentation. Le modèle Purdue (niveau 0 à 5) reste la référence, mais il faut le moderniser.

Niveau 0-1 (process et basic control). PLC, IO, instruments. Réseau Profinet/EtherNet/IP isolé physiquement. Pas d'IP routable vers l'extérieur de la zone.

Niveau 2 (area supervisory). IHM, serveurs SCADA locaux. Communication avec niveau 0-1 via protocoles industriels uniquement. Pare-feu industriel (Scalance SC, Tofino, Stormshield SNi40) entre niveau 2 et niveau 3.

Niveau 3 (site operations). MES, historian, batch server, station ingénierie. C'est ici que vivent les serveurs OT et que la majorité du travail se fait. Communication avec niveau 4 (IT) uniquement via DMZ.

DMZ industrielle. Couche obligatoire entre niveau 3 et niveau 4. Les flux MES vers ERP, OPC UA vers data lake corporate, accès distants fournisseurs passent par cette DMZ avec proxies applicatifs (pas du simple NAT). Sur un site, mettre en place une vraie DMZ industrielle prend 4 à 8 semaines et coûte 40'000 à 100'000 CHF en hardware plus intégration.

Niveau 4-5 (enterprise IT). Géré par l'IT corporate, hors scope OT mais le pare-feu DMZ est notre frontière de responsabilité.

Sur le terrain, 60 pour cent des sites que nous voyons n'ont pas de DMZ industrielle digne de ce nom. C'est l'investissement à plus haut ROI cyber qu'on puisse faire.

Notre équipe accompagne ces déploiements, voir [services automation](/services/automation) et [data et IA industrielle](/services/dataAi) pour les couches data et MES.

Monitoring OT, ce qui marche vraiment

Le SIEM IT classique ne lit pas les protocoles industriels. Les solutions de monitoring OT spécialisées (Claroty, Nozomi, Dragos, Tenable.OT) lisent Profinet, EtherNet/IP, Modbus, OPC UA, S7 et détectent les anomalies comportementales (un PLC qui se met à dialoguer avec une IP inconnue, une commande de modification de logique en plein RUN).

Un déploiement raisonnable sur un site moyen coûte 50'000 à 150'000 CHF en licences année 1, plus 20'000 à 40'000 CHF d'intégration. Le ROI se fait sur la détection d'incidents de production (les solutions remontent aussi des défauts de communication, ce qui aide la maintenance).

Pour les sites plus petits ou en démarrage, une approche plus modeste basée sur des collecteurs syslog centralisés et un dashboard Grafana sur les métriques PLC critiques offre déjà 60 pour cent de la valeur à 5 pour cent du coût.

Roadmap réaliste 12 mois pour un site moyen

Pour un site industriel suisse partant de zéro maturité cyber OT, voici un séquencement réaliste sur 12 mois.

Mois 1-2, audit flash et plan d'action. Définition des zones et conduits, scoring 62443.

Mois 3-4, quick wins. Mots de passe par défaut changés, comptes génériques nominatifs, fermeture des accès distants inutilisés, désactivation des services non utilisés sur PLC.

Mois 5-7, segmentation. Déploiement DMZ industrielle, pare-feu OT/IT cadré, gestion centralisée des accès distants (jump server type CyberArk PSM, BeyondTrust ou plus simplement un Bastion OPNsense).

Mois 8-10, hardening PLC et IHM. Configuration know-how protection, gestion utilisateurs IHM, journalisation centralisée.

Mois 11-12, monitoring et procédures. Déploiement solution de monitoring OT, écriture du plan de réponse à incident, exercice de simulation.

Budget total ordre de grandeur, 200'000 à 500'000 CHF sur 12 mois pour un site moyen, hardware et licences inclus. Sur un événement ransomware moyen à 1,5 million CHF, le ROI est immédiat.

Si vous voulez une évaluation de votre maturité, contactez-nous pour un audit flash. Voir aussi nos pages [secteur pharma](/secteurs/pharma), [microtechnique](/secteurs/microtechnique) et [chimie](/secteurs/chimie) pour les spécificités sectorielles.

Questions fréquentes

NIS2 s'applique-t-elle vraiment aux entreprises suisses ?

Pas directement, la Suisse n'étant pas dans l'UE. Mais via la révision de la Loi sur la sécurité de l'information, les sous-traitants de groupes européens et les exigences des assureurs cyber, NIS2 est devenue le standard de fait. Une PME industrielle suisse qui fournit des clients allemands ou français doit s'y conformer contractuellement, sous peine de perdre les marchés.

Quel est le premier investissement cyber OT à faire si on n'a rien ?

La segmentation réseau et la DMZ industrielle. C'est l'action qui réduit le plus de risques pour un investissement raisonnable (40'000 à 100'000 CHF). Sans DMZ, un ransomware IT atteint l'OT en quelques minutes. Avec une vraie DMZ, vous avez plusieurs heures de détection possible et la propagation est cassée.

Combien coûte un audit cyber OT pour un site industriel moyen ?

Un audit flash 5 jours coûte 15'000 à 25'000 CHF et donne une cartographie suffisante pour décider. Un audit complet IEC 62443 niveau certification coûte 60'000 à 150'000 CHF sur 4-8 semaines. Pour démarrer, l'audit flash est le bon point d'entrée. L'audit complet vient ensuite si l'enjeu (taille du site, exigences clients) le justifie.

Faut-il une équipe cyber OT dédiée en interne ou externaliser ?

Pour un site de moins de 200 employés, externaliser est presque toujours plus rentable. Le profil cyber OT senior se paye 140'000 à 180'000 CHF par an et vous n'avez pas la charge de travail pour le faire vivre. Un partenariat avec un intégrateur spécialisé sur 30 à 60 jours par an couvre 80 pour cent du besoin. Au-delà de 500 employés ou pour les opérateurs d'infrastructures critiques, un référent cyber OT interne devient indispensable.