Pourquoi l’industrie manufacturière sera la plus durement touchée par les ransomwares en 2025.

L’industrie manufacturière est apparue comme le secteur le plus ciblé par les Ransomware en 2025

L’industrie manufacturière est devenue le point focal des menaces de Ransomware à l’échelle mondiale. Selon l’analyse des menaces pour 2025 de Check Point, les fabricants ont subi 1 466 incidents de Ransomware dans le monde, soit une hausse de 56 % par rapport aux 937 incidents de 2024. Tous secteurs confondus, l’activité totale de Ransomware a grimpé de 32 % pour atteindre 7 419 cas. Le message est clair : les environnements industriels sont devenus des biens immobiliers de premier ordre pour les cybercriminels.

L’empreinte numérique croissante du secteur est à la fois sa plus grande force et sa plus grande vulnérabilité. De nombreuses usines fonctionnent désormais avec des systèmes numériques connectés qui améliorent le contrôle et le flux de données. Pourtant, ces mêmes systèmes s’appuient sur des technologies opérationnelles existantes, des composants mécaniques et logiciels conçus bien avant que les cybermenaces actuelles n’existent. Cela crée des failles exploitables dans les chaînes de production, les plateformes logistiques et les réseaux de fournisseurs. Lorsque ces systèmes sont verrouillés par un Ransomware, les dommages ne se limitent pas à une seule installation. Les opérations sont bloquées, les protocoles de sécurité vacillent et les retards se répercutent sur des marchés entiers.

Pour les cadres supérieurs, il ne s’agit pas seulement d’un défi informatique, mais d’un risque commercial majeur. Les arrêts de production ont un impact direct sur le chiffre d’affaires et la réputation de l’entreprise. Les dirigeants doivent reconnaître que la cybersécurité est désormais une question qui se pose au niveau du conseil d’administration et qui exige la même attention que la productivité et l’innovation. Pour faire face à cette menace, il faut investir au-delà de la conformité. Il s’agit d’assurer la continuité des opérations à une époque où la moindre panne peut avoir des répercussions sur l’ensemble des secteurs d’activité.

Dépendance à l’égard des anciennes technologies opérationnelles

Le rapport de Check Point met en évidence trois facteurs structurels à l’origine de cette montée en puissance. Le premier est la technologie opérationnelle héritée. Rien qu’en Europe, 80 % des fabricants exploitent encore des systèmes OT critiques dont les vulnérabilités sont connues. Ces systèmes, qui contrôlent des fonctions industrielles essentielles, n’ont jamais été conçus pour les environnements connectés d’aujourd’hui. Les cybercriminels le savent et continuent d’exploiter des faiblesses de longue date qui ne sont souvent pas corrigées en raison de contraintes opérationnelles.

Le deuxième facteur est la complexité de la chaîne d’approvisionnement. Les attaquants ne se concentrent plus uniquement sur les grandes entreprises. Ils s’attaquent désormais aux petits fournisseurs, aux prestataires de services gérés ou aux éditeurs de logiciels pour contourner les défenses de première ligne et infiltrer les grands écosystèmes industriels. Ces attaques indirectes ont presque doublé, passant de 154 incidents enregistrés liés à la chaîne d’approvisionnement en 2024 à 297 en 2025.

Le troisième moteur est la prolifération des Ransomware-as-a-service (RaaS). Il s’agit de partenariats criminels organisés dans lesquels des opérateurs techniques construisent des outils d’attaque et les louent à des affiliés en échange d’une part des bénéfices. Le RaaS abaisse la barrière à l’entrée pour les nouveaux acteurs de la menace, leur permettant de déployer des attaques ciblées par région, par langue et par secteur d’activité.

Pour les dirigeants, ce nouveau paysage de menaces exige un changement de stratégie. L’investissement dans la sécurité doit aller au-delà de la défense du périmètre ou des correctifs périodiques. Il s’agit de renforcer la résilience à tous les niveaux de l’environnement industriel, des personnes, de la technologie et des partenaires. La surveillance continue, la modernisation des systèmes existants et le partage d’informations en temps réel avec des organismes de cyberespionnage de confiance devraient désormais faire partie des pratiques opérationnelles courantes.

Les cybermenaces n’évoluent plus de manière linéaire. Elles évoluent dans des écosystèmes partagés, à l’instar des entreprises elles-mêmes. Les entreprises qui agissent de manière décisive, qui se corrigent rapidement et qui collaborent efficacement seront celles qui maintiendront la sécurité de leurs opérations et de leurs marchés.

Des groupes spécifiques de Ransomware mènent des attaques ciblées contre les fabricants.

Plusieurs groupes organisés de Ransomware façonnent aujourd’hui le paysage des menaces dans l’industrie manufacturière. Akira se distingue comme l’un des plus prospères financièrement, accumulant environ 244 millions de dollars d’ici la fin de l’année 2025. Le groupe s’introduit principalement dans les réseaux industriels par le biais de réseaux privés virtuels (VPN) dépourvus d’authentification multifactorielle, tout en exploitant des vulnérabilités connues et en employant des tactiques d’hameçonnage ciblées. Le rapport de Check Point montre que Qilin, un réseau de Ransomware-as-a-service basé en Russie, amplifie encore la menace en soutenant des affiliés spécialisés dans l’infiltration des systèmes de fabrication et de logistique. Le groupe Play continue de dominer les attaques aux États-Unis, et le FBI a déjà recensé environ 900 entités touchées par ses opérations.

Cette vague ne se limite pas aux acteurs motivés par des raisons financières. Des collectifs d’hacktivistes et des groupes alignés sur l’État, dont NoName057(16) et des acteurs liés à la Chine, profitent des frictions géopolitiques pour perturber les réseaux industriels par des campagnes de déni de service et la défiguration de sites web. Si ces opérations diffèrent par leur motif, leur effet combiné exerce une pression considérable sur la sécurité des infrastructures commerciales et nationales.

Pour les dirigeants, la conclusion est simple : la diversité des menaces s’est accrue. Les groupes de Ransomware fusionnent désormais l’ambition financière avec l’intention politique. Les entreprises doivent investir dans des stratégies de défense à plusieurs niveaux qui intègrent un accès à distance sécurisé, une détection des intrusions en temps réel et une protection vérifiée des points d’extrémité. Les dirigeants doivent établir des cadres de réponse coordonnés, intégrant à la fois les équipes techniques et les décideurs stratégiques. L’attribution des attaques peut être complexe, mais la préparation et la discipline opérationnelle sont mesurables et contrôlables.

Les attaquants exploitent de plus en plus les vulnérabilités des systèmes, les informations d’identification volées et l’accès à la chaîne d’approvisionnement pour pénétrer dans les réseaux industriels.

Les cyberattaques industrielles évoluent en empruntant des voies d’entrée plus précises et plus lucratives. En 2025, 32 % des incidents observés dans l’industrie manufacturière ont commencé par l’exploitation de vulnérabilités, généralement dans des environnements technologiques opérationnels obsolètes ou mal configurés. Le phishing représentait 23 % des incidents, les attaquants exploitant l’intelligence artificielle pour créer des leurres convaincants qui échappent à l’examen humain habituel. Dans le même temps, les identifiants d’accès volés sont devenus une marchandise importante, se vendant sur les places de marché du dark web entre 4 000 et 70 000 USD, donnant aux attaquants un accès direct aux réseaux de production sensibles sans avoir à effectuer une intrusion externe.

L’intégration entre les systèmes informatiques traditionnels et les environnements OT industriels s’est renforcée, créant des opportunités supplémentaires de mouvement latéral pour les acteurs de la menace. Une fois l’accès obtenu, ces intrus utilisent des outils d’administration à distance et des logiciels de chaîne d’approvisionnement compromis pour échapper à la détection interne. La méthode est efficace et préjudiciable, combinant souvent le cryptage de fichiers avec le vol de données ou des opérations d’extorsion conçues pour pousser les victimes à payer.

Les dirigeants doivent considérer cela comme un risque pour la continuité de l’activité, et pas seulement comme un problème de cybersécurité. L’amélioration de la visibilité à travers les couches du réseau, le renforcement de la gestion des accès et l’application immédiate de correctifs dans les heures qui suivent la divulgation, et non plus dans les jours qui suivent, sont désormais des impératifs opérationnels. Les dirigeants doivent également s’assurer que les systèmes de décision basés sur les données intègrent la télémétrie de la sécurité, ce qui permet de savoir en temps réel où se forment les vulnérabilités.

Les disparités régionales révèlent des impacts différents

L’analyse de Check Point montre comment la pression du Ransomware est répartie de manière inégale dans le paysage industriel mondial. En Europe, l’industrie manufacturière a représenté 72 % de tous les incidents de Ransomware industriels au troisième trimestre 2025, avec des demandes de rançon moyennes atteignant 1,16 million de dollars, soit plus du double du chiffre de l’année précédente. Ces données indiquent une forte augmentation de la fréquence et de l’impact financier. La vaste base d’infrastructures manufacturières existantes et les chaînes d’approvisionnement interconnectées de la région contribuent à cette vulnérabilité.

Les États-Unis restent le pays le plus ciblé par les Ransomware industriels pour la quatrième année consécutive, l’industrie manufacturière continuant à supporter près de la moitié des brèches industrielles enregistrées. Le coût médian d’une attaque s’élève désormais à 500 000 USD par incident, sans compter l’impact financier plus large de l’interruption des opérations. En Inde, la tendance est tout aussi préoccupante. Soixante-cinq pour cent des organisations touchées ont payé des rançons en 2025, et le paiement moyen a atteint 1,35 million de dollars. L’expansion de la numérisation industrielle du pays et la concentration des fournisseurs de services informatiques ont intensifié son exposition aux groupes de Ransomware qui cherchent à la fois à exploiter les données et les opérations.

Pour les dirigeants, la conclusion est qu’il est nécessaire de mettre en place des politiques de cybersécurité et des investissements spécifiques à chaque région. L’Europe doit accélérer la modernisation de ses technologies opérationnelles afin de combler les failles connues. Les opérateurs industriels américains devraient se concentrer sur une résilience rentable, en réduisant les temps d’arrêt et en maintenant la continuité du service même en cas de cyberdure. En Inde, les dirigeants devraient donner la priorité à une application plus stricte des protocoles de sauvegarde et des cadres de réponse aux incidents. Une stratégie unique est inefficace. Il est essentiel de mettre en place des architectures de défense sur mesure, basées sur les modèles de menace locaux et la maturité de l’infrastructure.

Mesures de cybersécurité renforcées et remédiation accélérée

Le dernier appel à l’action du rapport est centré sur une transformation décisive de la cybersécurité. Il est conseillé aux fabricants d’adopter des architectures de défense à plusieurs niveaux qui renforcent le contrôle des identités, la protection des informations d’identification et la correction rapide des vulnérabilités. Il est recommandé de déployer les correctifs en quelques heures, et non en quelques jours ou semaines, ce qui réduit considérablement la fenêtre d’exposition. La segmentation du réseau, les sauvegardes hors ligne et l’amélioration de la visibilité entre les systèmes IT et OT constituent la base de ce modèle de défense. Une formation complète du personnel et une gouvernance stricte des risques par des tiers sont également mises en avant pour remédier aux vulnérabilités techniques et humaines.

Les dirigeants doivent considérer la cybersécurité comme une compétence opérationnelle qui évolue en même temps que la technologie de fabrication. L’environnement actuel des menaces exige rapidité et coordination. Les outils de surveillance alimentés par l’intelligence artificielle et l’apprentissage automatique offrent une capacité de détection en temps réel et une vision prédictive. L’intégration de ces outils dans les systèmes industriels existants garantit la continuité, même lorsque les conditions extérieures deviennent volatiles.

Pour les dirigeants, ce moment exige un engagement au niveau stratégique. Une protection efficace dépend de la politique, des ressources et de l’exécution. Les organisations qui s’adaptent le plus rapidement, en renforçant les contrôles, en modernisant l’infrastructure et en déployant la détection de nouvelle génération, passeront de la vulnérabilité à la résilience. La cybersécurité doit désormais être intégrée à tous les niveaux de la planification des activités, en influençant les calendriers de production, la gestion des fournisseurs et la gouvernance des dirigeants. En améliorant la vitesse de réaction et la visibilité des risques, les dirigeants peuvent maintenir l’intégrité opérationnelle et conserver un avantage concurrentiel.

Principaux faits marquants

• L’industrie manufacturière devient l’épicentre des ransomwares : Le secteur manufacturier a été confronté à 1 466 incidents de Ransomware en 2025, soit une hausse de 56 % par rapport à 2024, en raison de la numérisation combinée à une technologie obsolète. Les dirigeants devraient donner la priorité à l’investissement dans la cybersécurité en tant qu’impératif de résilience opérationnelle.
• Les systèmes existants et les chaînes d’approvisionnement complexes intensifient les risques : Les technologies opérationnelles obsolètes et les réseaux d’approvisionnement interconnectés restent les principaux vecteurs d’attaque. Les dirigeants doivent accélérer la modernisation de la technologie opérationnelle et renforcer la gouvernance des risques des tiers afin de réduire les vulnérabilités.
• Quelques groupes dominants sont à l’origine des perturbations industrielles : Akira, Qilin et Play sont responsables d’une grande partie de la vague de Ransomware, mêlant motivation financière et influence géopolitique. Les dirigeants doivent déployer des systèmes avancés de détection des menaces et coordonner les réponses entre les différentes unités opérationnelles.
• Les attaquants exploitent les points faibles des réseaux : Trente-deux pour cent des incidents découlent de vulnérabilités connues, tandis que des informations d’identification volées, vendues jusqu’à 70 000 dollars, ont permis des intrusions plus profondes. Des correctifs rapides et une gestion stricte des identités devraient être des politiques obligatoires.
• Les tendances régionales exigent des stratégies de défense adaptées : L’Europe, les États-Unis et l’Inde sont les régions les plus touchées, avec une augmentation des paiements de rançons et des coûts. Les dirigeants doivent aligner les plans de cybersécurité régionaux sur les menaces et les cadres réglementaires locaux.
• La vitesse et les défenses en couches définissent une protection efficace : La remédiation rapide, la segmentation du réseau et les sauvegardes hors ligne définissent désormais la résilience industrielle. Les dirigeants doivent se faire les champions de cycles de correctifs plus rapides et d’une surveillance continue pour maintenir les opérations et la confiance.