Les fabricants opèrent dans l'un des environnements les plus hostiles en matière de menaces et sont confrontés à un ensemble unique de pressions qui rendent les attaques particulièrement dévastatrices.
Les fabricants sont confrontés à une combinaison unique de risques : ils ont une très faible tolérance aux temps d'arrêt, ils sont au cœur de chaînes d'approvisionnement étendues et souvent complexes, et leur avantage concurrentiel repose souvent sur une propriété intellectuelle (PI) de grande valeur, notamment des conceptions exclusives et des secrets commerciaux. Cette association de facteurs devrait alerter les responsables informatiques et de la sécurité qui travaillent dans ce secteur.
Parallèlement, la nature des attaques modernes est également devenue de plus en plus complexe, sophistiquée et impitoyable. Les auteurs de menaces combinent souvent des exploits techniques avec l'ingénierie sociale et le vol d'identifiants, et cherchent à rester indétectables pendant de longues périodes, recueillant des informations et cartographiant les systèmes avant de passer à l'action.
La multiplication des attaques de ransomware très médiatisées ces dernières années confirme l'importance des enjeux : nous l’avons notamment constaté en 2017 avec le groupe français Renault qui a été paralysé par une cyberattaque de type ransomware. Plusieurs usines, dont le site de Renault à Sandouville, ont dû être mises à l’arrêt pour éviter la propagation de l’attaque.
Les extorsions numériques ont donc véritablement pris le secteur pour cible. Dans un secteur qui repose sur la précision, l'efficacité et des calendriers de production serrés, même quelques heures d'indisponibilité peuvent avoir des répercussions sur l'ensemble de l'entreprise et son réseau de partenaires, amplifiant ainsi l'impact.
Cependant, cela ne signifie pas que seuls la chance et le temps peuvent empêcher votre entreprise de subir une violation majeure. Cet article est le moment idéal pour réfléchir aux risques croissants auxquels le secteur est confronté et à la manière dont ils peuvent être réduits à des niveaux raisonnables en renforçant la résilience et en détectant les menaces le plus tôt possible.
Le secteur industriel dans le collimateur
Selon IBM, le secteur industriel a été le plus ciblé au niveau mondial au cours de l'année écoulée. Il représente un quart (26 %) des incidents pour lesquels les intervenants du fournisseur ont été appelés au cours de cette période, ce chiffre atteignant 40 % dans la région APAC. Les technologies héritées, et en particulier les technologies opérationnelles connectées (OT) telles que les systèmes de contrôle industriel et la robotique, ont élargi la surface d'attaque de nombreux fabricants. Cela offre de nombreuses opportunités aux adversaires les plus déterminés. Parmi les autres conclusions clés, on peut citer :
- Les exploits des applications publiques, des comptes valides et des services externes à distance ont été les vecteurs d'accès initiaux les plus courants, ce qui montre à quel point les cybermalfaiteurs exploitent les points d'accès mal configurés ou autrement non sécurisés.
- L'accès aux serveurs (16 %) et les logiciels malveillants/ransomwares (16 %) ont été les actions les plus fréquemment observées, ce qui montre que les perturbations opérationnelles et l'extorsion financière étaient les principaux objectifs des attaquants.
- L'extorsion, le vol de données, le vol d'identifiants et l'atteinte à la réputation ont été les conséquences les plus importantes pour les fabricants victimes de violations.
Par ailleurs, Verizon note que les violations confirmées dans le secteur ont augmenté de 89 % par an en 2025, les PME de moins de 1 000 employés représentant plus de 90 % des organisations victimes de violations. Son analyse révèle également qu'un cinquième des violations étaient motivées par l'espionnage, contre seulement 3 % l'année précédente. Les plans, rapports et e-mails sensibles ont été les types de données les plus fréquemment volés, ce qui met en évidence un risque pour la propriété intellectuelle qui va au-delà de la simple extorsion. Cela pourrait signifier la présence d'acteurs étatiques ou de concurrents avides de secrets commerciaux.
Cela étant dit, la présence de logiciels malveillants dans les violations dans le secteur industriel est passée de 50 % à 66 % au cours de la période, ce qui est attribuable aux ransomwares et à la préférence pour les « intrusions dans les systèmes » comme modèle de menace le plus courant. Il s'agit d'attaques complexes qui utilisent des « logiciels malveillants et/ou le piratage » pour atteindre leurs objectifs. On peut affirmer sans risque que les fabricants continueront d'être durablement dans le collimateur d'adversaires sophistiqués.
Une cybermenace protéiforme
Les acteurs du secteur industriel ne doivent pas seulement se méfier des cybercriminels motivés par l'appât du gain. Une campagne récente repérée par ESET visait les fabricants ainsi que des entreprises d'autres secteurs. Elle a été attribuée au groupe RomCom, qui combine campagnes opportunistes et activités d'espionnage. Celle-ci exploitait une vulnérabilité zero-day dans WinRAR pour voler secrètement des informations sensibles, soulignant la sophistication de certains acteurs malveillants qui ciblent le secteur.
Une autre mise en garde nous vient d'une violation de données survenue en 2023 chez Clorox, qui a coûté des dizaines de millions de dollars au fabricant de produits d'entretien. Cet incident, qui résultait d'une seule attaque par hameçonnage vocal et d'un ensemble d'identifiants, a affecté l'entreprise pendant des semaines, perturbant ses opérations et sa chaîne d'approvisionnement. Le fait qu'il soit apparemment dû à une erreur humaine de la part d'un sous-traitant informatique souligne la nature multicouche des cyber risques auxquels sont confrontés les fabricants.
Et si vous faisiez confiance aux services de Managed Detection & Response pour une protection continue ?
Maintenant que vous êtes au fait de l’ensemble des risques qui planent sur le secteur industriel, comment pouvez-vous tirer parti de ces mises en garde afin de minimiser les risques cyber au sein de votre entreprise ? La première étape consiste à renforcer la résilience grâce à des bonnes pratiques telles que l'authentification multifactorielle (MFA), l'application rapide des correctifs et le chiffrement des données. C'est la clé pour bloquer l'accès initial et empêcher autant que possible les mouvements latéraux. Mais ce n'est pas une solution miracle.
Les fabricants doivent également investir dans la détection et la réponse continues dans leurs environnements de messagerie électronique, cloud, serveurs, réseaux et autres. Si votre entreprise est une grande entreprise disposant d'un budget suffisant, elle peut y parvenir grâce à une équipe interne chargée des opérations de sécurité (SecOps) travaillant à partir d'un centre d'opérations de sécurité (SOC) équipé d'outils d’Extended Detection & Response (XDR).
Mais pour beaucoup, en particulier les 90 % de fabricants de moins de 1 000 employés qui ont été victimes d'une violation, l'option la plus judicieuse peut être de faire appel à un éditeur de sécurité expert en détection et réponse gérées (MDR). Un service de MDR rigoureusement sélectionné peut offrir une gamme de fonctionnalités plus rapidement et à moindre coût que si vous les développiez en interne, notamment :
- Surveillance des menaces 24 heures sur 24, 7 jours sur 7 et 365 jours par an par une équipe d'experts.
- Coût réduit par rapport aux dépenses d'investissement et d'exploitation élevées nécessaires pour recruter du personnel et entretenir un SOC.
- Recherche experte des menaces afin de détecter les plus sophistiquées.
- Détection, réponse et confinement rapides des menaces afin de minimiser les risques financiers, réputationnels et de conformité.
- Amélioration de la résilience financière et opérationnelle en permettant à l'organisation de poursuivre sa production même après une attaque.
- Informations exploitables pour renforcer la résilience face à des attaques similaires à l'avenir.
La mise en place d'un SOC mature offrant une couverture 24h/24 et 7j/7, la recherche de menaces et des compétences en matière d'investigation nécessite généralement plusieurs années et des investissements importants, tandis que les fournisseurs de MDR apportent rapidement une infrastructure établie et une équipe expérimentée. Les dépenses d'investissement et d'exploitation d'un SOC interne et l'expertise spécialisée en matière de sécurité requise pour surveiller les environnements convergents sont souvent prohibitives, en particulier pour les PME. De plus, les manuels MDR mettent l'accent sur le confinement et la récupération rapide afin de minimiser les temps d'arrêt de production, un indicateur essentiel pour le secteur manufacturier. Pour de nombreux fabricants, le MDR constitue le moyen le plus rapide et le plus rentable d'assurer la résilience opérationnelle.
La mise en place d'un SOC mature offrant une couverture 24h/24 et 7j/7, la recherche de menaces et des compétences en matière d'investigation nécessite généralement plusieurs années et des investissements importants, tandis que les fournisseurs de MDR apportent rapidement une infrastructure établie et une équipe expérimentée. Les dépenses d'investissement et d'exploitation d'un SOC interne et l'expertise spécialisée en matière de sécurité requise pour surveiller les environnements connectés sont souvent inabordables, en particulier pour les PME. De plus, les stratégies MDR mettent l'accent sur le confinement et la reprise rapide afin de minimiser les temps d'arrêt de production, un indicateur essentiel pour le secteur industriel. Pour de nombreux fabricants, le MDR constitue le moyen le plus rapide et le plus rentable d'assurer la résilience opérationnelle.
Chaque seconde compte
Lorsque les cybercriminels frappent, la course est lancée pour les trouver et les neutraliser. Et leurs motivations peuvent être diverses : recherche de votre propriété intellectuelle, des données de vos clients ou simplement en quête de perturbations maximales dans le but de vous extorquer de l'argent. Le MDR peut accélérer ce processus afin de vous fournir l'alerte anticipée dont vous avez besoin pour mettre en œuvre vos plans d'intervention en cas d'incident.
La surveillance et la sensibilisation continues de vos endpoints, réseau, environnement cloud par l’intermédiaire des services gérés s'alignent parfaitement sur l'approche Zero Trust, considérée comme la meilleure pratique en matière de cybersécurité. En combinant le meilleur de l'expertise humaine et des technologies de pointe, le MDR constitue une solution sérieuse et robuste pour votre entreprise. Il pourrait également être la clé pour sécuriser votre chaîne d'approvisionnement étendue.
