Pourquoi le Ransomware continue de frapper durement l’industrie manufacturière.

L’industrie manufacturière, première cible des Ransomware

L’industrie manufacturière est devenue la cible privilégiée des attaquants de Ransomware, non pas parce que c’est le seul secteur de valeur, mais parce que c’est le plus facile à frapper efficacement. La plupart des usines fonctionnent encore avec des systèmes obsolètes conçus pour optimiser la production, et non pour résister aux cybermenaces modernes. Ces réseaux anciens, profondément interconnectés avec les technologies de l’information (IT) et les technologies opérationnelles (OT), offrent de nombreux points d’attaque.

Pour les cybercriminels, l’industrie manufacturière offre les conditions idéales : des systèmes complexes qui ne peuvent pas se permettre de temps d’arrêt et des dirigeants prêts à payer pour un rétablissement rapide. La pression exercée pour éviter les retards de production transforme ce qui pourrait être des failles de sécurité mineures en événements à fort enjeu dont les conséquences se chiffrent en millions de dollars. Les données reflètent cette réalité. En 2025, plus de la moitié des fabricants touchés par un Ransomware ont payé les attaquants, selon Sophos. Le paiement médian s’élevait à 1 million de dollars, et 18 % des paiements atteignaient 5 millions de dollars ou plus.

Les leaders de cet espace doivent commencer à considérer la cybersécurité non pas comme un coût indirect, mais comme un bouclier direct contre l’effondrement opérationnel et financier. Les mises à niveau des systèmes de base, la gestion à distance sécurisée et la surveillance en temps réel ne sont plus optionnelles, elles sont fondamentales pour la survie de l’industrie manufacturière à mesure que la transformation numérique s’accélère. Construire des opérations résilientes qui peuvent absorber les coups et continuer à fonctionner est ce qui sépare les fabricants prêts pour l’avenir de ceux qui vivent en mode de crise constante.

Impact des perturbations et des chaînes d’approvisionnement interdépendantes

La force de la fabrication moderne réside dans sa fiabilité et sa précision. Mais cette même force devient une vulnérabilité lorsque des perturbations se répercutent sur des chaînes d’approvisionnement interconnectées. Une cyberattaque contre un petit fournisseur peut entraîner la fermeture de plusieurs usines, ralentissant ainsi la production dans le monde entier. Paul Furtado, analyste chez Gartner, l’explique simplement : les perturbations qui arrêtent les chaînes de production sont extrêmement coûteuses, et leurs effets ne s’arrêtent pas là : ils se propagent dans les réseaux de fournisseurs, mettant sous pression toutes les entreprises qui y sont liées.

L’attaque subie par Kojima Industries en 2022 a montré à quel point cela pouvait être préjudiciable. Kojima, fournisseur de Toyota Motor Company, a été victime d’une violation par Ransomware qui a contraint Toyota à arrêter la production dans l’ensemble de ses 14 usines au Japon. Même un arrêt de courte durée a entraîné des pertes considérables, tant sur le plan financier que sur celui de la réputation.

Pour les dirigeants, cela met en évidence une vérité essentielle : la cybersécurité n’est pas une fonction informatique isolée, c’est la gestion des risques de la chaîne d’approvisionnement. Un seul fournisseur compromis peut bloquer tout un écosystème de production. Les dirigeants doivent exiger une meilleure visibilité à chaque niveau de leur chaîne d’approvisionnement et insister sur des normes communes en matière de sécurité. Il est essentiel de procéder à des audits réguliers des fournisseurs, de segmenter le réseau et d’activer immédiatement un plan en cas de cyber-événement.

L’objectif n’est pas d’éliminer totalement les risques, c’est impossible, mais de faire en sorte qu’une attaque sur une partie de vos opérations n’arrête pas la production partout. La résilience doit être intégrée au réseau et au processus commercial lui-même. Les entreprises qui y parviendront ne se contenteront pas d’éviter les pertes, elles en sortiront plus fortes et plus agiles dans un environnement mondial instable.

Risque de vol de données et d’extorsion d’informations confidentielles

Les fabricants sont en train de devenir des entreprises de données, qu’ils le réalisent ou non. Les conceptions techniques, les méthodes de production et les secrets commerciaux qui alimentent les usines modernes sont des actifs de grande valeur. Lorsque les auteurs d’attaques par Ransomware accèdent à cette propriété intellectuelle, il ne s’agit pas seulement de verrouiller des fichiers, mais de demander une rançon pour l’avenir compétitif d’une entreprise.

Sophos a indiqué qu’en 2025, 40 % des incidents de Ransomware dans l’industrie manufacturière ont entraîné le chiffrement des données, tandis que 16 % ont combiné le chiffrement avec le vol pur et simple de données. Les attaques par extorsion uniquement, où les criminels volent les données au lieu de les crypter, sont passées de 3 % à 10 % en une seule année. Cette évolution montre que les attaquants considèrent les informations propriétaires comme une source d’influence égale, voire supérieure, à l’interruption des opérations.

Paul Furtado, analyste chez Gartner, l’a dit clairement : les fabricants gardent « les joyaux de la couronne » du monde industriel, leurs secrets commerciaux. Perdre le contrôle de ces actifs ne nuit pas seulement aux opérations ; cela détruit la confiance des partenaires, des investisseurs et des clients.

Pour les dirigeants, la protection des données doit aller au-delà des listes de contrôle de conformité. La question n’est pas seulement de savoir comment prévenir les violations, mais aussi de s’assurer que votre propriété intellectuelle la plus sensible est compartimentée, cryptée et surveillée en permanence. La mise en place de contrôles d’accès stricts, l’isolement des données de conception critiques et le suivi de chaque mouvement de données entre les systèmes sont des priorités essentielles.

Les entreprises qui adoptent des approches disciplinées en matière de gouvernance des données seront celles qui pourront innover librement, sans craindre que leurs avancées ne deviennent le levier de quelqu’un d’autre. Dans l’industrie manufacturière, la protection des informations n’est plus secondaire par rapport à la production, c’est désormais une ligne de défense primaire pour la continuité de l’activité.

Vulnérabilités des systèmes OT existants et de l’intégration IT/OT

La plupart des environnements industriels reposent encore sur des technologies opérationnelles (OT) antérieures à l’architecture moderne de cybersécurité. Ces systèmes ont été conçus pour durer, et non pour évoluer avec un environnement industriel de plus en plus numérique et interconnecté. Lorsqu’ils sont intégrés aux réseaux informatiques pour permettre l’automatisation et l’analyse, il en résulte souvent des limites de défense faibles et des voies ouvertes aux attaquants.

Sophos a constaté que 42% des fabricants ont attribué les récents incidents de ransomware à des lacunes de sécurité inconnues, tandis que 41% ont pointé du doigt des protections inadéquates. Ces chiffres reflètent un problème systémique, à savoir une visibilité insuffisante. De nombreuses entreprises ne comprennent pas pleinement ce qui est connecté entre leurs couches informatiques et techniques. Sans une cartographie claire du réseau et une classification des risques, il est impossible de sécuriser ce que vous ne pouvez pas voir.

Paddy Harrington, analyste chez Forrester, a fait remarquer que les réseaux OT ont traditionnellement été construits sur une base de confiance. Une fois qu’un attaquant passe de l’informatique à l’informatique de terrain, l’accès est souvent illimité ou, pour reprendre ses termes, « les portes sont souvent grandes ouvertes ». Pour fermer ces portes, il faut un changement culturel et technique. Les dirigeants doivent exiger une surveillance en temps réel des systèmes informatiques et électroniques, une gestion cohérente des correctifs et un partenariat solide entre les équipes d’ingénierie et de cybersécurité.

Pour les décideurs, il ne s’agit pas seulement d’une conversation technique. Il s’agit d’une conversation opérationnelle. Chaque nouvel appareil IoT ou connexion existante ajoutée au réseau modifie le profil de risque de l’organisation. Investir dans la segmentation, les passerelles sécurisées et l’accès basé sur l’identité n’est pas seulement un moyen d’atténuer les risques, c’est aussi un moyen de préserver l’activité.

La fabrication moderne dépend du fonctionnement sans faille de systèmes interconnectés. Cette continuité doit désormais inclure la sécurité. Ceux qui modernisent leurs environnements OT en appliquant des principes de conception axés sur la sécurité réduiront à la fois l’exposition et les temps d’arrêt, jetant ainsi des bases plus solides pour une croissance durable à l’ère des menaces numériques constantes.

Préférence stratégique des cybercriminels pour l’industrie manufacturière

Les cybercriminels font des choix calculés quant à leurs cibles, et l’industrie manufacturière est devenue l’un des paris les plus sûrs pour eux. Les attaquants savent que l’arrêt d’un hôpital ou d’une centrale électrique provoquerait un tollé général et une intervention immédiate des pouvoirs publics. L’industrie manufacturière, en revanche, produit des biens matériels, critiques, mais pas de vie ou de mort. Cette différence réduit considérablement le risque pour les groupes criminels tout en maintenant une récompense financière élevée.

Paddy Harrington, analyste chez Forrester, a observé que « l’industrie manufacturière mène de loin » dans le ciblage des Ransomware, et ce pour de bonnes raisons. Le potentiel de paiement de rançons importantes est élevé, tandis que la probabilité d’une réaction intense des forces de l’ordre reste faible. Ces attaquants ne sont pas motivés par une idéologie ; ils veulent de l’argent, et ils savent que les fabricants paieront pour reprendre rapidement leurs activités.

Les dirigeants doivent comprendre que cette préférence n’est pas le fruit du hasard. Les cybercriminels opèrent selon les principes du marché : faible risque, rendement élevé. L’industrie manufacturière correspond à ce modèle aujourd’hui parce que sa transformation numérique a dépassé ses investissements dans la cybersécurité. Les attaquants exploitent ce déséquilibre pour frapper les organisations qui peuvent payer sans craindre une surveillance gouvernementale intense.

Pour les dirigeants, la conclusion est simple : moins le public accorde d’attention à une perturbation, plus le risque de devenir une cible est élevé. Les entreprises des secteurs traditionnels doivent désormais considérer qu’elles font partie du peloton de tête des cybercriminels. Renforcer les plans d’intervention en cas d’incident, investir dans le renseignement sur les menaces et renforcer les contrôles d’accès des fournisseurs sont des mesures essentielles. Les entreprises qui agiront avant la prochaine vague d’attaques contrôleront leur exposition, tandis que les autres se retrouveront à négocier sous la pression.

Nécessité de renforcer la sécurité et la gestion des risques dans le domaine des technologies de l’information

Les fabricants réalisent aujourd’hui que la gestion du risque opérationnel passe par la gestion du risque de cybersécurité. La différence entre une opération sécurisée et une opération exposée se résume à la visibilité, au contrôle et à la préparation. Dans l’ensemble du secteur, l’adoption d’approches structurées combinant la gestion de la posture de risque, la segmentation du réseau, l’accès à distance sécurisé et la protection avancée des terminaux fait l’objet d’une attention croissante.

Paddy Harrington, de Forrester, a souligné que de nombreuses entreprises commencent à améliorer leurs pratiques de sécurité OT, mais qu’elles se heurtent encore à des limites structurelles, telles que la dépendance à l’égard d’un petit nombre de solutions approuvées par les fournisseurs. Alors que la responsabilité de la sécurité des systèmes d’exploitation est de plus en plus confiée aux responsables de la sécurité de l’information (CISO)les dirigeants doivent s’assurer que ces responsables ont accès aux outils et à l’autorité nécessaires pour mettre en œuvre des stratégies de sécurité plus vastes, à la fois dans le domaine des technologies de l’information et des technologies de l’information.

Les décideurs devraient privilégier les modèles de défense en couches qui surveillent les systèmes physiques et numériques en temps réel. La segmentation du réseau peut contenir les brèches potentielles, tandis que l’accès à distance sécurisé protège les interactions avec les équipementiers et les sous-traitants. Des outils sophistiqués pour les terminaux, tels que Endpoint Detection and Response (EDR) et Extended Detection and Response (XDR), offrent la visibilité nécessaire pour détecter les menaces avant qu’elles ne perturbent la production.

Pour les dirigeants, il s’agit d’une question de leadership, et pas seulement d’une question technique. Une gouvernance solide est le moteur d’une résilience efficace. Lorsque les stratégies de cybersécurité sont alignées sur les priorités opérationnelles, la sécurité devient un élément de la performance et non un obstacle. Les entreprises qui parviennent à cet alignement sécurisent leurs opérations, protègent leurs données et font preuve d’une maturité qui les distingue dans une économie numérique volatile.

Principaux faits marquants

• L’industrie manufacturière sous le feu des critiques : Les attaquants par Ransomware ciblent de plus en plus les fabricants en raison de systèmes obsolètes et de la forte pression exercée pour maintenir des opérations continues. Les dirigeants devraient investir dans la modernisation des infrastructures critiques et le renforcement des capacités de récupération rapide.
• Fragilité de la chaîne d’approvisionnement : Une faille chez un fournisseur peut perturber la production de réseaux entiers, comme l’a montré l’arrêt de Toyota en 2022. Les dirigeants devraient appliquer des normes de cybersécurité communes et mener des audits de résilience réguliers dans l’ensemble de leurs chaînes d’approvisionnement.
• Les données, une cible de choix : Les attaquants se concentrent désormais sur le vol ou le cryptage de dessins exclusifs et de secrets commerciaux à des fins d’extorsion. Les dirigeants doivent faire de la sécurité des données une priorité stratégique et veiller à ce que les informations sensibles soient cryptées, compartimentées et surveillées en permanence.
• Les systèmes existants : un handicap : Les environnements OT obsolètes exposent les fabricants à des points d’entrée à haut risque pour les cybercriminels. Les dirigeants devraient accélérer la modernisation IT/OT et exiger une coordination interfonctionnelle de la sécurité pour combler les lacunes en matière de visibilité.
• Les criminels suivent l’argent : L’industrie manufacturière est devenue la cible privilégiée parce qu’elle offre d’importants retours financiers tout en attirant moins l’attention des forces de l’ordre. Les dirigeants doivent renforcer la veille proactive sur les menaces et investir dans des cadres de réponse rapide pour limiter l’exposition.
• Renforcer la cyber-résilience opérationnelle : Il est désormais essentiel de renforcer la sécurité des systèmes informatiques par la segmentation du réseau, la gestion des risques et des outils de détection avancés. Les dirigeants devraient donner aux RSSI l’autorité et les ressources nécessaires pour aligner directement les initiatives de sécurité sur les objectifs de production.