Pour la première fois, une offre OT complète sur le salon Cybersec Europe Brussels. Une première en Belgique

Le CRA (Cyber Resilience Act) arrive. La législation tiendra la vedette à Cybersec Europe les 20 et 21 mai. Elle intéresse tout particulièrement les acteurs du secteur OT (Operational Technology). Tour d’horizon avec Agoria des enjeux.

Premier règlement européen relatif à la cybersécurité des produits, le CRA vise les fabricants, les importateurs et les distributeurs de produits comportant des éléments numériques. En clair, tout ce qui contient un logiciel ou est connecté en réseau.

Pour les fabricants de machines, d’équipements industriels et de produits connectés, cette réglementation introduit des obligations inédites qui transforment profondément les pratiques de conception et de commercialisation. L’OT est particulièrement concerné. Les fabricants de systèmes de contrôle-commande (SCADA, DCS, PLC), de capteurs intelligents et d’interfaces homme-machine (HMI) doivent adapter leurs processus de développement.

L’OT, cible de choix

L’objectif central du CRA est d’imposer une approche « security by design » pour tous les produits numériques. Cette philosophie exige que la cybersécurité soit intégrée dès les premières phases de développement, et non ajoutée comme une couche supplémentaire après coup. Par ailleurs, le CRA contraint les fabricants à fournir des mises à jour pendant la durée de vie du produit.

Pour Gregorio Matias, CEO, MCG, l’OT est une cible de choix, avec une augmentation massive des tentatives de ransomwares, obligeant à adopter des défenses actives et à sécuriser les anciens systèmes qui ne peuvent pas être facilement patchés. « IT et OT ne parlent pas la même langue. Et si personne ne jette de pont entre eux, ces deux mondes restent vulnérables », estime l’expert pour Agoria. En ce sens, le CRA les rassemblera.

Trop peu d’attention au cycle de vie d’un produit

Il y a urgence. En 2026, la question n’est plus de savoir si une usine sera ciblée, mais combien de temps elle pourra résister avant d’être compromise. L’un des défis majeurs de 2026 réside dans l’accélération de l’automatisation et de la robotisation des sites de production. Les usines modernes intègrent désormais des robots collaboratifs (cobots), des systèmes de manutention automatisée et des robots de nettoyage ou d’inspection, conçus pour améliorer la productivité et réduire les coûts.

Côté cybersécurité, il y a encore beaucoup à faire. « Même dans les nouveaux environnements de production, on accorde trop peu d’attention au cycle de vie complet, souvent sous la pression de délais serrés, constate Erik De Nert, Head of OT, Spotit. Or, la cybersécurité ne s’arrête pas à la livraison d’un produit ! »

Au-delà des robots, les environnements industriels restent confrontés à des vulnérabilités structurelles. Contrairement aux environnements IT traditionnels, les organisations industrielles doivent relever des défis complexes liés à la maîtrise d’un écosystème IT/OT hétérogène, tout en préservant les objectifs de sécurité propre à chaque environnement, la confidentialité et la disponibilité.

Un calendrier serré

L’application complète du CRA est prévue pour le 11 décembre 2027, mais un bloc d’obligations essentiel entre en vigueur plus tôt : à partir du 11 septembre 2026, les fabricants devront signaler les vulnérabilités activement exploitées et les incidents de sécurité graves.

Cette obligation de signalement représente, sur le plan opérationnel, la partie la plus critique du CRA. Elle intègre directement les équipes de sécurité informatique dans les processus réglementaires et crée une interface rigide entre la gestion des vulnérabilités et la communication avec les autorités.

Concrètement, on pourra toujours utiliser les anciennes machines, assure Geoffroy Moens, Global Cybersecurity Architect, Schneider Electric. « Le CRA se concentre sur les nouveaux produits. Vous limitez vous-même les risques liés aux produits existants grâce à des mesures compensatoires, telles que la segmentation du réseau, l’isolation des systèmes vulnérables et l’accès contrôlé. En revanche, avec le CRA, le remplacement des produits existants par des produits ‘secure-by-design’ réduira la surface d’attaque des environnements industriels. Et le plus tôt sera le mieux ! »

À CyberSec Europe 2026, les visiteurs découvriront pour la toute première fois une offre OT complète sur le salon. Une première en Belgique. Agoria invite les PME à rencontrer les experts et les membres de Cyber Made in Belgium.