« Les jumeaux numériques-physiques offrent un environnement de test réaliste pour dérisquer les investissements industriels »

Dans le contexte de l’industrie 4.0 et de la transformation numérique des usines, la question de la cybersécurité devient centrale. Comment connecter les systèmes de production tout en les protégeant contre les cyberattaques ? 

Vincent Thavonekham, Président cofondateur de FactoVia et spécialiste de la connectivité des systèmes industriels, ainsi que Itamar Ferreira Dos Santos, expert en cybersécurité OT/IoT, ont expliqué aux Techniques de l’Ingénieur comment l’architecture Unified Namespace (UNS) et les jumeaux numériques-physiques peuvent répondre à ces défis.

Pouvez-vous nous présenter le contexte et les enjeux de la sécurisation des installations industrielles ?

Vincent Thavonekham : Sans être RSSI, mon rôle est de concevoir des architectures de données industrielles qui intègrent nativement les contraintes de cybersécurité dès la conception. C’est là tout l’enjeu. Or, les données, il y en a partout, et les usines reposent généralement sur deux domaines d’informatiques distincts : l’informatique industrielle de production d’un côté, et l’informatique de gestion et de supervision métier de l’autre, ce qu’on appelle respectivement en anglais « Operational Technology » (OT), et « Information Technology » (IT). 

Le problème, c’est que beaucoup d’usines tournent encore sur des systèmes d’exploitation anciens, donc sous de vieilles versions de Windows non maintenues. On parle de “legacy”. La plupart des entreprises ont fait un mur autour de ces systèmes pour éviter les attaques, ou que les données ne s’échappent. Mais aujourd’hui, tout va plus vite, et pour mieux gérer la production, optimiser l’énergie, on a besoin d’ouvrir ces systèmes. Or, si on les ouvre sans précaution, cela peut constituer une porte d’entrée à toutes les attaques possibles. L’enjeu n’est pas d’opposer IT et OT, mais de les faire collaborer dans un cadre architectural maîtrisé et cybersécurisé : il y a des techniques éprouvées pour cela ! Encore faut-il avoir l’expérience pour savoir les mettre en place.

C’est toute la problématique de ce qu’on appelle la convergence IT/OT : on en a absolument besoin, le monde entier en a besoin, mais comment la mettre en place concrètement au-delà des livres blancs et séminaires ? 

Ma spécialité, c’est justement cette connectivité et interopérabilité que l’on étend généralement au cloud – cloud privé ou public. Aujourd’hui, avec mes 15 ans d’expérience sur des projets d’envergures, je travaille sur un principe d’architecture mondial ouvert et gratuit, qui s’appelle Unified Namespace, ou UNS.

Qu’est-ce que l’Unified Namespace exactement et comment fonctionne-t-il ?

Vincent Thavonekham : L’UNS, est une réponse concrète à la problématique de convergence IT/OT. Ce n’est ni un produit, ni une architecture, mais un principe d’architecture. La nuance est vitale ! Cela permet de structurer et contextualiser les flux de données industrielles. Nous le mettons en place dans les groupes industriels (aéronautique, automobile, transport, énergie, industrie manufacturière…) mais aussi dans d’autres secteurs comme la santé, en particulier pour la gestion des groupes hospitaliers… Ces groupes ont des budgets R&D conséquents, mais ne savent pas comment faire en sorte que la donnée reste de qualité dans le fonctionnement quotidien des systèmes productifs. En effet, sur le papier tout est parfait, mais dans le monde réel la donnée est produite par des systèmes parfois défaillants, ou manipulée par des humains. Ce qui la rend incomplète, voire corrompue. Le risque est le fameux “garbage in, gabage out”, c’est-à-dire qu’une donnée de mauvaise qualité en entrée génère un résultat productif de mauvaise qualité à la sortie. Ce risque est encore plus aigu quand il s’agit d’intégrer de l’IA dans les systèmes industriels. Concrètement, l’UNS permet à tous les systèmes de l’usine, et même en dehors, de dialoguer entre eux, et cela jusqu’au cloud, dans les deux sens. Décrit ainsi, cela peut sembler trivial ; toutefois, dans un contexte de cybersécurité accru, combiné à des normes industrielles complexes, cela ne l’est pas. L’UNS se base sur des principes d’innovation d’usage de rupture, et répond enfin aux challenges de la majorité des industriels qui rencontrent des problématiques structurelles de données en silos. Avant, chaque intervenant de l’entreprise était doué sur son sujet : l’automaticien était bon en automatisme, l’informaticien décisionnel était expert en « datawarehouse »… et l’équipe cybersécurité contraignait tous les accès de tout le monde. Conséquence, l’informatique était morcelée en silos ; pour continuer à fonctionner et contourner cela les ERP, comme SAP ou autre par exemple, envoyaient les informations sous forme de fichiers texte, et le moindre décalage de caractère dans le fichier cassait toute la production. Autre exemple en 2025, on imprime toujours des étiquettes éphémères, d’une durée de vie de 5 minutes, le temps d’être lues après par un autre système, qui va lui-même imprimer une étiquette définitive. Des tonnes de papier par an gaspillé dans le monde, car il manque une continuité numérique.

Je trouve que l’UNS porte mal son nom, car trop technique et créé de nombreuses ambiguïtés. A l’origine, il unifie tous les “namespaces”, c’est-à-dire tous les espaces de noms des différents systèmes informatiques, pour qu’ils puissent circuler partout où c’est autorisé, en temps réel, et sans conflit ; un peu comme le même nom de rue, mais avec un code postal différent. C’est comme si on avait créé l’espéranto pour l’usine : L’UNS agit comme un modèle de données partagé, lisible à la fois par les machines et par les équipes humaines de différentes nationalités et BU. Et surtout, il s’agit d’un référentiel véritablement unique : Entreprepôts/stocks, commandes, capteurs, décisionnel, maintenance, RH … tout est unifié, partout. Par contre, l’UNS ne remplace pas les systèmes existants, il les orchestre sans « couplage rigide » entre les différents éléments, contrairement à d’autres principes.

Mais qu’est-ce que cela implique en termes de cybersécurité ?

Itamar Dos Santos Ferreira : Quand Vincent décrit l’UNS, on comprend qu’on vient ajouter de nouveaux systèmes, de nouvelles connexions pour améliorer la production. Mais d’un point de vue cyber, cela signifie qu’on ajoute ce qu’on appelle une surface d’attaque supplémentaire. Plus on a de systèmes connectés, plus on a de chances de se faire attaquer.

Il faut donc que, dès la conception de ces systèmes UNS, tout soit bien cadré. On ne peut pas tout bloquer, sinon on perd l’agilité qui est justement l’objectif de la solution. Si on bloque tout, on n’est plus agile et on perd la fonction même du produit.

Côté UNS, nous travaillons sur la sécurisation de la plateforme elle-même et l’environnement cloud qui va fournir ces services. Avec les jumeaux numériques, il y a aussi tous les risques liés à l’exposition : toute l’ingénierie de l’usine se retrouve modélisé dans ces jumeaux numériques. Si c’est compromis, il y a une perte importante de propriété intellectuelle, des risques de sabotage… On alerte donc les clients sur ces problématiques. Dans un jumeau numérique, il faut s’assurer de l’anonymisation des données, s’assurer qu’on ne met pas d’informations confidentielles dans ces environnements, et que l’interconnexion entre ces systèmes se fait de manière sécurisée.

Concrètement, quelles sont les mesures de sécurité mises en place ?

Itamar Dos Santos Ferreira : Afin de ne pas impacter les véritables usines, on créé des « environnement de laboratoires » qui reproduisent les principes architecturaux critiques, selon une approche s’inscrivant dans les référentiels CRA, NIS 2, IEC 62443 (ISA-95) et les principes Zero Trust, avec un curseur pragmatique et ajusté à l’OT. On ne reproduit pas l’intégralité d’un site industriel, mais on rajoute des « bouchons », plus connu sous le nom de « Mocks / Stubs » en anglais. Puis on travaille sur la segmentation réseau pour isoler les différents systèmes. Chaque système a une couleur différente selon son niveau de sensibilité, et on définit précisément quels flux sont autorisés à passer entre eux.

Il y a évidemment un firewall qui isole toute communication vers l’extérieur de l’usine, qui doit passer par des infrastructures sécurisées. On utilise aussi ce qu’on appelle un « jump server », un serveur dédié pour l’administration. Si on ne passe pas par là, on ne peut pas modifier le reste du système, qui est vue comme une boite noire.

Côté cloud, il y a toute la partie séparation des groupes de sécurité et isolation des services. La sécurisation de la communication entre l’usine et le cloud passe en général par un VPN. A noter que, sans entrer dans les détails, les techniques de l’UNS permettent d’administrer l’OT, avec les principes de sécurité sous-jacentes au VPN, sans passer par un VPN. Ce sont toutes ces briques que l’on va implémenter dans un laboratoire pour s’assurer que tout fonctionne de manière sécurisée.

Quel est le rôle du jumeau numérique-physique dans cette approche ?

Vincent Thavonekham : C’est un point crucial. Tout le monde parle de jumeaux numériques, qu’on modélise par exemple auprès les acteurs leaders du cloud publique (Azure, Amazon, Google). Le problème avec les gros industriels, c’est qu’ils ont tellement cybersécurisé leur cloud public, qu’il est devenu presque inutilisable pour des usages d’expérimentations Agiles. Moi qui suis un ancien expert cloud, je ne peux pas travailler efficacement dans ces environnements hautement bridés.

C’est pourquoi on a créé un jumeau numérique ET physique. La partie physique, c’est tout le matériel réel de l’OT : capteurs de vibration, automates, caméra, écrans industriels… Ces équipements coûtent une petite fortune, mais imaginons que l’on repère dans une usine un problème de mise à jour logiciel, survenu, on suppose, suite au branchement d’un câble réseau sur une caméra. C’est assez étrange comme problème, et on veut en savoir plus, avec plusieurs tests. Or on ne peut pas interrompre la production et gêner les collègues de l’usine à faire des tests d’investigations durant plusieurs jours. Dans un jumeau purement numérique, on ne pourrait pas diagnostiquer rapidement ce problème. C’est la limite de la modélisation « numérique » : c’est trop théorique et mathématique ! Là, dans un laboratoire numérique-physique, je branche le câble réseau physique, ça marche ou ça ne marche pas. Donc, si on a un problème en production, on le recrée en physique-numérique de dehors de l’usine ; une fois qu’on a compris, on réimporte notre connaissance dans l’usine réelle. A l’inverse, avant de créer une nouvelle usine à 50 millions ou 1 milliard d’euros, on peut tout tester dans cet environnement de jumeau numérique-physique afin de débusquer les problèmes et dérisquer les projets ; plus on travaille dessus, plus on économise de coûts en ne perturbant pas la production.

Enfin, le jumeau numérique-physique permet de tester les paramètres de cybersécurité des systèmes industriels. On peut jouer avec les réglages des firewalls, la segmentation des réseaux, les « EDR », réaliser des tests de pénétration… et trouver le point optimal entre protection et agilité. Sans tout sur-sécuriser, ni sous-sécuriser non plus.

Un changement culturel est-il nécessaire dans l’industrie pour adopter ces approches ?

Itamar Dos Santos Ferreira : Absolument. On a toujours grandi dans un monde industriel où il fallait impérativement isoler les systèmes de production. Mais aujourd’hui, on a besoin de plus en plus de visibilité pour améliorer la production. On rajoute donc des capteurs, de l’IoT, et on commence à connecter tout ça. C’est la fameuse convergence IT/OT qui se termine trop souvent en échec sécuritaire et en résistance au changement.

Le problème, c’est qu’on se retrouve avec d’anciens systèmes qui n’étaient pas du tout prévus pour ça, et qui commencent à recevoir des éléments connectés. Le risque devient donc énorme. Ces usines sont là depuis 20-40 ans, il n’y avait pas d’attaques dans ces environnements à l’époque. Donc souvent, les ingénieurs pensent que ces attaques ne se produiront jamais, mais la menace augmente pourtant tous les ans, et cible de plus en plus les systèmes industriels.

Les attaques cyber sont apparues autour de 2008 dans le monde industriel et se sont banalisées depuis les années 2020. La plus récente a eu lieu chez Jaguar Land Rover, avec plusieurs moins d’arrêt complet et de perturbations d’au moins 3 usines, et des coûts records estimés à plus de 2 milliards €. Les conséquences économiques et humaines peuvent être catastrophiques, d’où l’importance des nouvelles règlementations européennes et en particulier de NIS 2 qui vise à sécuriser les infrastructures critiques.

Vincent Thavonekham : C’est un vrai changement de paradigme. Dans l’industrie, on entend souvent : “ça marche, ça a toujours marché, on ne change pas !”. Je rencontre régulièrement des entreprises qui pensent pouvoir déployer un projet en six mois… Or, rien que la partie de procédures en cybersécurité dans un grand groupe, c’est déjà six mois, minimum. Dans le médical, c’est un an si on est rapide, et souvent plusieurs années.

Les gens ne comprennent pas encore la complexité de ce genre de projets. Ils imaginent que c’est facile : on achète quelques équipements et des capteurs, on met des firewalls, et ça marche. Mais ce n’est pas du tout ça. C’est un véritable métier qui ne s’improvise pas, et c’est pour cela qu’on fait des événements au niveau associatif, pour sensibiliser.

La cybersécurité doit-elle être pensée dès la conception des projets ?

Vincent Thavonekham : Exactement. Il y a un peu cette idée de construire son usine, de la faire fonctionner, et la cybersécurité est quelque chose qui vient après. Alors qu’aujourd’hui, il faut l’intégrer dès le départ, dès la conception.

Un projet d’usine connectée, si cela n’est pas bien organisé, c’est facilement trois ans de perte de temps, où il ne s’est quasi-rien passé, juste des discussions, des réunions, des schéma et des preuves de concepts (PoC). Le projet n’a même pas débuté. Les industriels se disent qu’ils vont faire ça en interne, y compris la partie « Change Management », que c’est facile. Puis n’y arrivant pas, ils demandent de l’aide. C’est tout l’intérêt des coachs externes, qui accompagnent ces industriels, où la phase de « résistance au changement » fait partie des Lois de la nature, et que cela suit une l’évolution naturelle de l’augmentation de maturité de l’industriel. En effet, facilité par le coach, il doit lui-même faire sa route et avoir sa propre opinion, avant de demander de l’aide sur la mise en place de l’UNS.

Est-ce accessible aux petites entreprises avec des budgets limités ?

Vincent Thavonekham : Oui, absolument. Je donne des cours à des étudiants de troisième année en informatique pour alimenter le marché de l’industrie avec des sachants, et c’est aussi l’occasion de prouver que même des jeunes, qui n’ont pas encore débuté leur carrière, peuvent arriver à comprendre l’UNS en trois ou quatre jours, et cela avec très peu de moyens.

Il n’y a donc pas d’excuse pour dire que ça coûte trop cher. Le problème n’est pas financier, il est dans la tête. Le professionnel se met des freins cognitifs par crainte du changement, là où les jeunes accueillent volontiers l’information avec enthousiasme. On en revient au besoin d’avoir un bon coach pour aider à faire son chemin.

Après la phase de conception, nous utilisons des Bonnes Pratiques éprouvées pour déployer une phase « pilote » en production (et non un PoC), où on vise d’avoir des résultats tangibles en 12 semaines. Ce laps de temps court est volontaire pour maintenir motivé les équipes, et ajuster rapidement si besoin.

Comment évaluer le retour sur investissement de ces solutions ?

Vincent Thavonekham : C’est une question cruciale. On parle souvent de ROI. Mais ces projets d’envergure représentent avant tout la fondation stratégique de l’industriel. Il n’y a pas de ROI stricto-sensu ; par contre, il y a plusieurs cas de figure et je vais en présenter trois.

1. Pour aller au-delà du ROI, il existe une méthode en cours de brevet, développée par Bindioa Ouali, Head of Industrial architectes & smart factory, de Safran Aircraft Engine, spécialisé dans l’industrialisation d’usines. Cette méthode est appelée EVA(R²D) : La valeur économique de la Transformation Digitale.
2. Dans des secteurs fortement régulés comme le nucléaire ou l’automobile, les décisions d’investissement sont avant tout dictées par la conformité réglementaire, la maîtrise du risque et la capacité à rester sur le marché. L’électrification de l’automobile en est un bon exemple : Nous voyons bien que l’Europe ne demande pas aux constructeurs leurs avis, et savoir s’il y a un ROI immédiat on non. Dans les secteurs régulés, la conformité et la résilience constituent une forme de ROI stratégique.
3. Une méthode que nous sommes plusieurs à recommander, c’est simplement de faire des sondages auprès des gens de terrain. On va voir le responsable qualité, la maintenance, les opérateurs… et on fait des interviews pour comprendre combien de temps ils perdent par an, et l’impact financier que cela génère. On peut être surpris des réponses, par exemple « je perds 1 jour par semaine à copier-coller des EXCEL, et en plus cela génère des erreurs » ou alors « chaque panne, c’est entre 50k€ et 500k€ de perte ; et j’ai x pannes par an ». C’est une méthode de sondage à 360°, pas un calcul ROI classique. Il y a de nombreuses méthodes différentes pour évaluer un projet. Ca peut varier énormément, mais c’est mieux que rien !  L’important, c’est d’avancer avec le principe mathématique du « cône d’incertitude » : tant qu’à être dans l’incertitude, on part sur une hypothèse et plus on avance, plus c’est précis. Sinon, on reste bloqué pendant trois ans en status quo.

Quels sont les principaux défis que rencontrent les usines aujourd’hui concernant leurs données ?

Vincent Thavonekham : Les données sont hétérogènes et en silos, c’est le point commun à toutes les usines. Premièrement, les données sont hétérogènes. Il y a des automates programmables, des ERP, et pleins d’autres systèmes. Deuxièmement, les données industrielles sont incorrectes – même dans le médical, c’est incorrect -. Troisièmement, elles ne sont pas contextualisées.

Il y a aussi le problème de la source de vérité unique, l’interopérabilité – mon capteur qui ne marche pas est peut-être non interopérable avec d’autres marques – et enfin, il n’y a pas de temps réel. Il faut attendre cinq heures, cinq jours, cinq mois ! Et parfois, au bout de six mois, on n’a toujours pas réussi à récupérer la donnée, parce qu’elle est trop cybersécurisée ou les anciens logs sont effacés.

Il faut bien se rappeler que certaines usines, comme Jaguar au Royaume-Uni, où j’ai travaillé, c’est tellement grand que l’on s’y déplace en vélo ou en bus d’un point à un autre. C’est pour ça que j’ai créé un laboratoire externe, où on a tout sous la main dans un environnement contrôlé.

Un mot de conclusion ?

La sécurisation des usines connectées ne peut plus être une réflexion « après coup ». Elle doit être intégrée dès la conception des projets, avec des architectures comme l’Unified Namespace qui permettent à la fois l’ouverture nécessaire à l’optimisation et la protection contre les cybermenaces. Les jumeaux numériques-physiques offrent un environnement de test réaliste pour dérisquer les investissements.

Le principal défi reste culturel : il faut passer d’une approche cloisonnée à une vision holistique de la connectivité industrielle, où cybersécurité et performance ne s’opposent plus, mais se complètent. C’est un changement de paradigme nécessaire pour l’industrie française et européenne, qui doit rattraper son retard dans ce domaine.

Propos recueillis par Pierre Thouverez