L’industrie manufacturière est désormais la première cible mondiale des cyberattaques pour la cinquième année consécutive. En France, les incidents ont bondi de 34 % en un an. À l’échelle mondiale, certaines études font état d’une hausse allant jusqu’à 71 %. Un chiffre qui, à première vue, surprend. Une usine, ce n’est pas une banque. Pas un hôpital. Pourtant, c’est bien là que les attaquants frappent le plus fort, et le plus souvent.
Le paradoxe est saisissant : les mêmes décisions technologiques qui ont permis à l’industrie de gagner en performance, en réactivité et en compétitivité sont aujourd’hui celles qui l’exposent. Ce n’est pas une fatalité. C’est la conséquence directe de projets de transformation menés sans intégrer la sécurité dès le départ.
Une surface d’attaque qui s’agrandit mécaniquement
Il y a encore quelques années, une usine fonctionnait en grande partie en vase clos. Les systèmes de production tournaient de façon isolée, peu ou pas connectés au reste du système d’information. Ce cloisonnement, souvent subi, avait au moins une vertu : il limitait naturellement les points d’entrée.
Aujourd’hui, ce modèle a volé en éclats. L’industrie 4.0 a imposé une logique d’interconnexion totale : les données remontent des machines vers les ERP, les ERP dialoguent avec les outils de pilotage, les outils de pilotage s’ouvrent vers des partenaires, des fournisseurs, des plateformes cloud. On veut tout voir, tout analyser, tout optimiser en temps réel.
C’est une évolution inévitable, et souvent nécessaire. Mais elle a un coût que l’on sous-estime encore trop souvent : plus on ouvre de portes, plus on multiplie les possibilités d’intrusion. C’est mathématique. Ce n’est pas un jugement sur la stratégie digitale, c’est une réalité physique du système d’information.
À cela s’ajoute une porosité croissante entre l’informatique bureautique classique et l’informatique industrielle, ce qu’on appelle la convergence IT/OT. Pour consolider des données de production, il faut bien que les deux mondes se parlent. Mais cette passerelle, si elle n’est pas maîtrisée, devient une autoroute pour les attaquants.
Et pendant que les entreprises ouvrent leurs systèmes, les attaquants, eux, se structurent. Ils s’organisent comme de véritables entreprises : des groupes spécialisés dans le développement d’outils malveillants, d’autres dans leur déploiement, d’autres encore dans la négociation des rançons. L’intelligence artificielle démultiplie leurs capacités. Les attaques s’industrialisent, elles aussi.
Pourquoi l’industrie manufacturière est une cible de choix
Trois réalités se combinent pour faire des industriels des cibles particulièrement attractives.
Des systèmes qui n’évoluent pas. Dans une usine, on ne touche pas à ce qui fonctionne. Une ligne de production repose sur des équipements complexes, mécaniques, hydrauliques, électroniques, embarqués, et faire évoluer le système d’information qui les pilote est long, coûteux, risqué. Résultat : des environnements legacy qui accumulent les vulnérabilités connues, sans que personne ne les corrige vraiment. Et quand on vient connecter ces systèmes anciens à des réseaux modernes, on leur ouvre une porte qu’ils n’étaient pas conçus pour défendre.
Des équipes IT sous-dimensionnées. Dans beaucoup d’ETI industrielles, l’équipe informatique se résume à une ou deux personnes qui jonglent entre la bureautique, le réseau, la maintenance des postes et parfois la supervision des machines. Ce ne sont pas des spécialistes de la sécurité. Ce n’est pas un reproche, c’est une réalité structurelle. Mais elle laisse des angles morts considérables, notamment sur la gestion des mises à jour, des accès et des interconnexions.
Des actifs qui valent cher. Les industriels ont tendance à penser que leurs données ne sont pas très sensibles. Pourtant, un plan de fabrication, une recette, un process propriétaire ou une base de données clients représentent une valeur réelle commerciale, concurrentielle, parfois stratégique. Certains secteurs travaillent avec des donneurs d’ordre étatiques ou des acteurs de défense. Dans ce cas, paralyser un sous-traitant, c’est parfois paralyser toute une chaîne. Les attaquants le savent.
Et contrairement au secteur de la santé, historiquement peu solvable face à une demande de rançon, une usine à l’arrêt génère des pertes immédiates et massives. Chaque jour sans production, c’est du chiffre d’affaires perdu, des clients mécontents, des pénalités de retard : pour un site industriel critique, une seule journée d’arrêt représente entre 0,5 % et 3 % du chiffre d’affaires annuel. La pression est maximale. Et c’est précisément sur cette pression que les groupes ransomware jouent.
L’ERP : pièce centrale, angle mort de la sécurité
Si la surface d’attaque s’est élargie, l’ERP en est devenu l’un des points les plus critiques et les plus négligés.
L’ERP concentre tout ce qui fait fonctionner une entreprise industrielle : les commandes, la production, les expéditions, la facturation, les données fournisseurs et clients. Il est connecté à tout, utilisé par tous les métiers, et souvent ouvert vers l’extérieur : partenaires, EDI, cloud. C’est précisément ce qui en fait une cible de premier ordre.
Pourtant, la question de sa sécurité reste floue dans beaucoup d’organisations. L’ERP est déployé par les équipes IT, mais piloté au quotidien par les métiers. Résultat : personne ne se sent vraiment responsable de sa sécurité. On ouvre des accès au fil des besoins : « Martine a besoin de voir les données compta », « ce partenaire doit se connecter pour l’échange de flux », sans jamais les refermer. Les droits s’accumulent. Les portes restent ouvertes.
Et quand on pose la question de ce qui se passe si l’ERP tombe, les réponses sont souvent vagues. Or la réponse est simple : si l’ERP est down, l’usine s’arrête. Pas de commandes, pas de production, pas d’expédition, pas de facturation. La chaîne entière se bloque.
Intégrer la sécurité dès le projet : un investissement, pas un frein
La digitalisation ne s’arrêtera pas. Et ce n’est pas le sujet. La vraie question est ailleurs : est-ce qu’on intègre la sécurité dès la conception des projets, ou est-ce qu’on continue de la traiter après coup, quand il est trop tard ?
La fonction sécurité est encore trop souvent perçue comme un frein, un coût, une contrainte. En réalité, c’est exactement l’inverse. Passer quinze jours à poser les bonnes questions en amont d’un projet ERP « qui y accède, comment, depuis où, avec quels droits » peut coûter quelques milliers d’euros. Découvrir six mois après la mise en production que le système est mal configuré, mal cloisonné, mal documenté, et subir une attaque qui paralyse l’usine pendant dix jours : ça, ça coûte des millions.
C’est d’autant plus vrai pour un ERP comme SAP, qui concentre l’ensemble des processus critiques de l’entreprise et s’interconnecte avec des dizaines de systèmes tiers. La gestion des droits et des profils d’autorisation, la surveillance des accès, le contrôle des interfaces, ce sont des sujets qui doivent être posés dès le projet d’intégration, pas en réaction à un incident.
La sécurité n’est pas un projet ponctuel. C’est une démarche continue : s’assurer que les mises à jour sont faites, que les accès sont revus régulièrement, que les interconnexions sont documentées et maîtrisées. Tout au long de la vie de l’applicatif. Parce qu’un ERP bien intégré, c’est bien. Un ERP bien intégré et sécurisé dès le départ, c’est ce qui fait la différence le jour où quelqu’un essaie d’entrer.
