Cybersécurité des infrastructures critiques : guide pour dirigeants en 2026

Q: Quel est le coût moyen d'une cyberattaque sur une infrastructure critique en 2026 ?

Le coût médian de récupération après ransomware dans les secteurs énergie et eau a atteint 3 millions de dollars en 2024, quatre fois la médiane intersectorielle mondiale.

La plupart des comités exécutifs sous-estiment encore l'impact opérationnel d'une cyberattaque sur les infrastructures critiques. Le coût médian de récupération a quadruplé en deux ans dans les secteurs énergie et eau pour atteindre 3 millions de dollars. La Suisse a imposé une obligation de déclaration en 2025. NIS2 redessine les obligations en Europe. Ce guide synthétise ce que tout dirigeant doit comprendre — et les sept questions à poser à son RSSI dès cette semaine.

L'évolution du paysage des menaces en 2026

Les priorités cybersécuritaires des dirigeants ont sensiblement évolué. La fraude facilitée par le numérique et le phishing ciblé occupent désormais la première place des préoccupations des PDG, devant les vulnérabilités liées à l'intelligence artificielle qui se hissent en seconde position. Pour les RSSI (responsables de la sécurité des systèmes d'information), les attaques par ransomware demeurent la principale préoccupation, suivies des perturbations de la chaîne d'approvisionnement.

Cette divergence de perception entre PDG et RSSI traduit un décalage stratégique préoccupant. Les directions générales privilégient la prévention des pertes financières directes et l'adaptation aux nouvelles menaces. Les RSSI restent concentrés sur la résilience opérationnelle et la continuité d'activité. Ce manque d'alignement crée des angles morts dans la posture de sécurité, particulièrement aux interfaces entre les domaines IT, OT et la chaîne d'approvisionnement étendue.

Comprendre les technologies opérationnelles (OT)

Les infrastructures critiques reposent sur les technologies opérationnelles (OT) — l'ensemble des systèmes qui gèrent les opérations industrielles. L'OT recouvre les systèmes de contrôle industriel (ICS) et les systèmes SCADA (Supervisory Control and Data Acquisition), qui automatisent les processus de production dans des secteurs aussi variés que la distribution d'eau, de gaz et d'électricité, les centrales électriques, les infrastructures ferroviaires et les systèmes routiers intelligents.

La différence fondamentale entre cybersécurité IT et cybersécurité OT tient à la hiérarchie des priorités. En IT, la confidentialité prime, suivie de l'intégrité puis de la disponibilité (modèle CIA). En OT, la hiérarchie s'inverse : disponibilité d'abord, puis intégrité, puis confidentialité. Un système OT doit fonctionner 24h/24, 365j/an, parfois pendant 20 à 30 ans. Cela implique moins d'opportunités pour les temps d'arrêt, les mises à jour de sécurité et les remplacements d'équipements. La conséquence directe : les systèmes OT contiennent souvent des vulnérabilités connues et documentées qui demeurent non corrigées pendant des années, parfois des décennies.

Cette réalité crée un écart de maturité considérable entre les pratiques cyber IT et OT — écart que les attaquants ont parfaitement compris et exploitent désormais systématiquement.

L'impact réel des cyberattaques sur les infrastructures critiques

Les cyberattaques contre les réseaux industriels et les infrastructures critiques produisent des conséquences à spectre étendu : perturbations opérationnelles entraînant arrêt de production et pertes de revenus, dommages aux installations physiques, blessures aux travailleurs, catastrophes environnementales, problèmes de conformité réglementaire, et responsabilités civiles ou pénales pour les dirigeants.

Les chiffres récents sont éloquents. Selon l'enquête Sophos State of Ransomware in Critical Infrastructure 2024, le coût médian de récupération après ransomware pour les secteurs énergie et eau a quadruplé pour atteindre 3 millions de dollars, soit quatre fois la médiane intersectorielle mondiale. 49 % des attaques par ransomware contre ces secteurs ont débuté par l'exploitation d'une vulnérabilité connue.

Une tendance particulièrement préoccupante émerge : les opérateurs d'infrastructures critiques choisissent de plus en plus de payer la rançon plutôt que de restaurer depuis leurs sauvegardes. Cette décision, compréhensible sous la pression d'un arrêt opérationnel, alimente l'économie criminelle et garantit la poursuite des attaques. Elle révèle surtout une faiblesse structurelle : les programmes de récupération ne sont pas suffisamment éprouvés pour offrir une alternative crédible à la cession au chantage.

Le cas suisse : une approche réglementaire moderne

La Suisse illustre une approche pragmatique avec l'introduction en 2025 d'une obligation de déclaration obligatoire des cyberattaques sur les infrastructures critiques. Le Centre national de cybersécurité (NCSC) a traité près de 65 000 rapports d'incidents cyber en 2025, dont plus de 220 dans le cadre spécifique de cette nouvelle exigence. Le Cyber Security Hub (CSH) suisse compte désormais environ 1 600 membres et sert de plateforme centrale d'échange et de déclaration.

Cette approche transparente permet une compréhension collective des menaces et une réponse coordonnée. Pour les opérateurs concernés, elle implique trois changements pratiques : un délai de déclaration encadré (24 à 72 heures selon la gravité), une procédure standardisée de qualification de l'incident, et une obligation de coopération avec le NCSC pendant les phases d'investigation et de remédiation. Les entreprises suisses doivent désormais intégrer cette obligation dans leurs plans de réponse à incident — y compris les implications en matière de communication externe et de gestion de crise.

NIS2 et l'effet de cascade européen

La directive NIS2 (Network and Information Systems Directive 2), applicable dans l'Union européenne depuis octobre 2024, élargit considérablement le périmètre par rapport à NIS1. Elle couvre désormais 18 secteurs essentiels et importants, dont l'énergie, les transports, la santé, l'eau, les services numériques, l'agroalimentaire et la fabrication critique.

Les entreprises suisses ne sont pas directement assujetties à NIS2, mais l'exposition indirecte est massive : filiales européennes, clients soumis à la directive exigeant un alignement contractuel, et standards de marché qui s'imposent par effet de prime à la conformité. Concrètement, un opérateur suisse qui souhaite vendre des services à un client allemand, français ou italien classé entité essentielle se voit imposer dans la pratique le respect des exigences NIS2 par voie contractuelle.

Sept questions essentielles à poser à votre RSSI dès cette semaine

Tout dirigeant devrait évaluer la posture cyber de son organisation à travers sept questions précises. Les réponses doivent être chiffrées, datées et appuyées sur des éléments vérifiables.

1. Visibilité des actifs. Disposons-nous d'un inventaire complet et à jour de l'ensemble des systèmes OT et ICS ? Connaissons-nous toutes les connexions actives entre nos environnements IT et OT, y compris celles établies par les fournisseurs et les sous-traitants ?

2. Gestion des vulnérabilités OT. Combien de vulnérabilités critiques connues subsistent dans nos systèmes OT ? Pour chacune, quel est le plan d'atténuation, le calendrier d'application, et les mesures compensatoires en attendant la correction définitive ?

3. Résilience opérationnelle éprouvée. Si nous subissions une attaque par ransomware aujourd'hui, combien de temps faudrait-il précisément pour restaurer nos opérations critiques ? Quand avons-nous testé pour la dernière fois nos plans de récupération en conditions réelles, et avec quel résultat ?

4. Segmentation et architecture zéro confiance. Nos systèmes OT sont-ils correctement isolés du réseau d'entreprise et d'Internet ? Avons-nous mis en place une architecture zéro confiance pour les accès aux systèmes critiques, y compris pour les comptes à privilèges et les accès distants des fournisseurs ?

5. Surveillance des menaces et détection. Disposons-nous d'une visibilité en temps réel sur les anomalies dans nos environnements OT ? Sommes-nous membres des centres de partage d'informations sectoriels (ISAC) pertinents, et exploitons-nous activement leurs flux de menaces ?

6. Tiers et chaîne d'approvisionnement. Les fournisseurs et sous-traitants ayant accès à nos systèmes critiques sont-ils soumis aux mêmes exigences de sécurité que nous ? Auditons-nous régulièrement leur posture, et avons-nous un plan en cas de compromission de leur infrastructure ?

7. Préparation géopolitique. Notre stratégie cybersécuritaire intègre-t-elle les scénarios d'attaques motivées par des considérations géopolitiques — perturbation d'infrastructures, espionnage industriel, opérations d'influence ? Selon le World Economic Forum, 64 % des organisations intègrent désormais ces considérations dans leur planification.

Du RSSI au Chief Resilience Officer

Les attaques contre les organisations valant plusieurs milliards de dollars vont se poursuivre et s'intensifier en 2026, alimentées par trois dynamiques convergentes : l'IA générative qui simplifie la phase de reconnaissance et automatise l'ingénierie sociale, la croissance continue du Cybercrime-as-a-Service qui démocratise l'accès aux capacités offensives sophistiquées, et l'augmentation des activités parrainées par les États-nations, particulièrement contre les infrastructures critiques.

Dans ce contexte, le rôle du RSSI dépasse largement la sécurité informatique au sens strict. Le succès en 2026 appartient aux organisations qui combinent profondeur technique et vision stratégique, transformant la sécurité d'une fonction réactive en une force de résilience, de confiance et de croissance. Les dirigeants doivent considérer leur RSSI non plus comme un responsable de la sécurité, mais comme un Chief Resilience Officer — architecte de la continuité opérationnelle dans un environnement hyperconnecté.

Trois axes prioritaires d'investissement pour 2026

Pour renforcer la posture de cybersécurité des infrastructures critiques, trois axes d'investissement se dégagent comme prioritaires.

Briser les silos organisationnels. La résilience cyber dépend d'une compréhension partagée et d'une réponse unifiée entre la sécurité, les opérations, la direction juridique et la direction générale. Une cellule de crise cyber doit pouvoir se constituer en moins de 30 minutes, à toute heure.

Investir dans la détection et la réponse autant que dans la prévention. Compte tenu de la rapidité et de la complexité croissantes des attaques, la capacité à détecter en quelques minutes et à répondre en quelques heures devient aussi importante que la prévention elle-même. Le ratio d'investissement classique 80/20 prévention/réponse glisse vers 60/40, voire 50/50 dans les secteurs les plus exposés.

Tester, tester, tester. Les acteurs malveillants innovent aussi rapidement que la technologie évolue. L'apprentissage continu, les exercices red team, les tests d'intrusion sur environnements OT et les simulations de crise sont désormais des disciplines de sécurité essentielles, à exécuter trimestriellement et non plus annuellement.

Les infrastructures critiques constituent l'épine dorsale des économies et des sociétés. Leur protection exige un engagement au plus haut niveau de direction, une compréhension nuancée des risques spécifiques aux OT, et une collaboration étroite entre tous les acteurs de l'écosystème. Le temps de l'action est maintenant — les conséquences de l'inaction sont trop lourdes pour être ignorées.

Foire aux questions

Quelle est la différence entre cybersécurité IT et cybersécurité OT ? La cybersécurité IT protège les données et leur confidentialité comme priorité première. La cybersécurité OT protège les systèmes industriels qui contrôlent des processus physiques où la disponibilité et l'intégrité priment sur la confidentialité.

Quel est le coût moyen d'une cyberattaque sur une infrastructure critique en 2026 ? Selon le Sophos State of Ransomware 2024, le coût médian de récupération après ransomware dans les secteurs énergie et eau a atteint 3 millions de dollars, soit quatre fois la médiane intersectorielle mondiale.

La Suisse impose-t-elle une obligation de déclaration des cyberattaques ? Oui. Depuis 2025, la Suisse impose la déclaration obligatoire des cyberattaques visant les infrastructures critiques au Centre national de cybersécurité (NCSC).

Qu'est-ce que la directive NIS2 et qui est concerné ? NIS2 est la directive européenne sur la sécurité des réseaux et systèmes d'information, applicable depuis octobre 2024. Elle couvre 18 secteurs essentiels et importants.

Comment savoir si l'inventaire des actifs OT de mon entreprise est complet ? Un audit de découverte passive sur 30 jours révèle généralement 20 à 40 % d'actifs non documentés.

Combien de temps faut-il pour restaurer les opérations après un ransomware sur un environnement OT ? Sans plan éprouvé, 2 à 6 semaines. Avec un programme de résilience mature, 48 à 96 heures.

Le pôle Cyber de COMYA Group accompagne les dirigeants dans la sécurisation de leurs infrastructures critiques : audits OT/ICS, conformité NIS2 et nLPD, tests d'intrusion, programmes de résilience et exercices de crise. Pour une consultation confidentielle, contactez nos équipes.

À propos : L'équipe COMYA Cyber accompagne les dirigeants dans la sécurisation de leurs infrastructures critiques et la construction de programmes de résilience adaptés aux menaces contemporaines.