Énergie : le mobile, nouveau maillon faible de votre cybersécurité OT ?

Dans l’énergie, les smartphones, tablettes durcies et terminaux connectés (IoT/IIoT) utilisés sur le terrain forment une surface d’attaque critique mais souvent sous-gérée. 67 % des dirigeants du secteur prévoient d’augmenter leur budget de cybersécurité OT en 2025. Pourtant, 46 % des systèmes compromis contenant des identifiants professionnels provenaient d’appareils non gérés (BYOD ou hors politique) : un angle mort directement exploitable pour atteindre vos réseaux OT.

La directive NIS2 impose désormais une maîtrise complète des actifs numériques, y compris mobiles, avec des obligations d’inventaire, de MFA, de gestion des vulnérabilités et de contrôle du remote access. Place à un plan d’action concret (90 jours) pour mettre les mobiles au niveau OT.

Pourquoi le mobile est devenu stratégique dans l’énergie

Les attaquants progressent plus vite que les défenses si les terminaux de terrain restent en marge de la stratégie globale. Deux tendances doivent alerter :

• 46 % des identifiants compromis provenaient d’appareils non gérés.
• 30 % des brèches impliquent désormais un tiers, dont une majorité liée aux prestataires IT et éditeurs logiciels.
• 20 % des attaques débutent par une vulnérabilité exploitée, notamment sur les équipements de périphérie et VPN.

Conséquence : un terminal mobile non sécurisé connecté à une GMAO, un SCADA exposé via VPN ou une passerelle IoT mal durcie peut servir de pont IT→OT jusqu’à la salle de contrôle.

NIS2 : ce que la réglementation change pour vos mobiles

La directive NIS2 classe l’énergie parmi les secteurs de « haute criticité » (électricité, gaz, pétrole, hydrogène, réseaux de chaleur) et impose des mesures de gestion des risques avec sanctions pouvant atteindre 10 M€ ou 2 % du CA mondial. Les guides de l’ENISA exigent un inventaire d’actifs à jour et des politiques d’usage pour les mobiles au même titre que pour les serveurs.

En clair : ne pas inventorier, configurer, mettre à jour et assujettir les mobiles aux mêmes contrôles que les autres actifs met l’organisation en défaut de conformité… et laisse une porte ouverte vers l’OT.

Comment un mobile expose une centrale, un poste source ou un réseau

• Compromission du device (phishing mobile, app piégée, perte/vol) avec fuite d’identifiants synchronisés.
• Accès distant non protégé par MFA ou depuis un appareil non conforme (pas de chiffrement, OS obsolète).
• Pivot IT→OT via maintenance, GMAO ou passerelle industrielle mal cloisonnée.

Impact OT : prise en main d’une HMI, arrêt non planifié, bascule en mode dégradé. La pression des ransomwares reste élevée dans les environnements industriels.

Plan d’action en 90 jours : amener le mobile au niveau OT

0–30 jours : Visibilité & conformité

• Inventaire automatique de 100 % des terminaux (y compris BYOD pro) via MDM/EMM connecté à ABM et Android Enterprise.
• Politiques de base : chiffrement, code fort, verrouillage automatique, MFA pour tout accès distant, per-app VPN pour les applis critiques.
• Contrôle d’accès conditionnel : bloquer VPN/ressources si l’appareil n’est pas conforme.

30–60 jours : Durcissement & réduction de surface

• Liste d’apps autorisées, kiosque sur terminaux partagés.
• Certificats et Wi-Fi/EAP-TLS managés ; rotation des secrets.
• Séparation pro/perso sur BYOD (profil Android, Managed Open-In iOS).

60–90 jours : Supervision & réponse

• Journaux centralisés (SIEM), détection d’anomalies et infostealers.
• Playbooks d’incident (perte/vol, wipe à distance, rotation clés, reprovisionnement Zero-Touch).
• Tests d’intrusion et revues trimestrielles alignées NIS2/IEC 62443.

Encadré conformité : ce que NIS2 attend de vous

• Inventaire complet des actifs (mobiles inclus), MFA, segmentation, correctifs, journalisation.
• Preuves contractuelles avec les tiers et supervision des accès prestataires.
• Signalement des incidents en 24/72 h.

Bonnes pratiques « terrain »

• Aucun accès distant OT depuis un device non géré.
• MDM partout, BYOD compris (profil de travail, cloisonnement pro/perso).
• Kiosque sur terminaux partagés en poste source ou centrale.
• Per-app VPN et certificats pour les applis critiques.
• Revue mensuelle de conformité des terminaux.
• Simulation d’incident (perte/vol d’un smartphone d’astreinte).

Comment Appaloosa peut accélérer votre mise à niveau

Appaloosa est le standard pour piloter votre flotte mobile iOS & Android dans l’énergie : automatisation des déploiements, sécurisation des appareils, gestion des applications, kiosques, connexion des équipes, contrôle à distance instantané.

Inventaire NIS2-ready, rapports exportables pour audits, politiques de conformité granulaires, MFA et per-app VPN. Zéro-Touch (ABM/Android Enterprise), kiosque, effacement/verrouillage à distance, assistance à distance. Gouvernance fournisseurs : accès prestataires uniquement depuis des terminaux gérés et conformes.

Sources clés / Pour aller plus loin

• InCyber – « Le secteur de l’énergie renforce sa vigilance cyber » (21 févr. 2025)

• Verizon – 2025 Data Breach Investigations Report (Executive Summary, PDF)

• Verizon – 2025 Data Breach Investigations Report (page officielle)

• Directive (UE) 2022/2555 dite « NIS2 » – EUR-Lex

• Règlement d’exécution (UE) 2024/2690 – EUR-Lex

• ENISA – NIS2 Technical Implementation Guidance (juin 2025)

• CISA – Configuring and Managing Remote Access for ICS (PDF)

• CISA – ICS Recommended Practices

• Dragos – 2025 OT Cybersecurity Year in Review

• SecurityScorecard – 67 % des brèches énergie liées aux éditeurs logiciels/IT (communiqué, oct. 2024)

•