Déjà en proie à de nombreux risques dans leurs usines (pannes, accidents…), les industriels sont encore plus vulnérables face aux cyberattaques. En 2023, 53 % des entreprises françaises ont subi une attaque, contre 48 % l’année précédente, selon un rapport Hiscox. À ce jour, la majeure partie des attaques se matérialisent sous la forme de « phishing » et de « ransomware », mais parfois, les hackers optent pour des solutions plus sophistiquées, touchant directement les lignes de production. 

En 2020, l’industrie représentait 15 % des attaques par rançon logiciel en France, selon l’État, derrière les collectivités territoriales (20 %) et la santé (39 %). Pour les industriels, le risque augmente à mesure que les machines sont connectées aux infrastructures réseau. Entre le stockage de données dans le cloud, l’interconnexion des machines et leur gestion à distance, de nouvelles brèches de sécurité se sont progressivement créées dans les entreprises, sans que leurs dirigeantes et dirigeants ne prennent toujours la mesure du danger. « Avant même de parler de cybersécurité, les industriels doivent prendre conscience de ce qui se passe sur leurs réseaux. Beaucoup ne savent pas quelles machines sont connectées, ni comment elles communiquent entre elles. Pour rester dans la course face à des concurrents internationaux de plus en plus productifs, de nombreux dispositifs innovants (IoT et autres), sont venus s’agréger aux équipements existants, souvent anciens, créant des attelages générateurs de fragilités. », alerte Frédéric Blin, le responsable développement réseaux et cybersécurité industriels de Rexel.

D’autres entreprises se sont laissées tenter par la transition vers des « usines 4.0 », avec des machines capables de réaliser des opérations de pointe, comme de la maintenance prédictive pour anticiper les pannes industrielles. L’enjeu est surtout économique : selon une étude de Markets And Markets, les technologies IoT peuvent réduire les coûts de maintenance des entreprises jusqu’à 30 % et améliorer l’efficacité énergétique de 20 %.

Mais cela n’est pas sans risques. « Beaucoup d’entreprises ont tendance à prendre le problème à l’envers. Elles veulent absolument remonter des données grâce à l’IoT, mais quand on leur demande dans quel état est leur réseau, elles ne sont pas capables de le dire », analyse Frédéric Blin. Et le danger peut provenir d’une seule source. « Les parcs de machines sont souvent vieillissants et certaines d’entre elles fonctionnent encore sous Windows XP par exemple. Parfois, la machine a été fabriquée il y a vingt ans, elle fonctionne très bien, mais le constructeur n’existe plus ou ne produit plus ce modèle, donc le système d’exploitation ne peut pas être changé », ajoute l’expert. Auprès de ses clients, Frédéric Blin met en avant plusieurs solutions qui permettent de sécuriser la machine vulnérable avant qu’elle ne condamne le reste du parc industriel en cas d’attaque.

Un seul maillon faible suffit 

Cette incompréhension des risques est également soulignée par l’ANSSI, l’agence nationale de la sécurité des systèmes d’information. Dans un article publié en 2023, l’institution déplore « le faible niveau de connaissance des salariés des entreprises en matière de cybersécurité, qui facilite grandement les attaques ». « Parfois, tout part d’une clef USB infectée. Dans de nombreuses sociétés, si on laisse une clef traîner dans un bureau, on sait qu’il y a de grandes chances qu’une personne essaie de la connecter à son ordinateur par curiosité et infecte tout le système », explique Frédéric Blin.

Or, ces manquements augmentent fortement la « surface d’attaque » d’une entreprise, c’est-à-dire le nombre d’entrées possibles sur un réseau informatique. « Aujourd’hui, on parle beaucoup de l’internet des objets, mais cela fait longtemps que les industriels ont des machines connectées. La différence actuellement, c’est que les machines (gérées par l’OT) sont beaucoup plus interdépendantes avec l’IT (ou l’infrastructure internet). Si un hacker arrive à pénétrer « un des maillons faibles » à distance, il peut « infiltrer Fl’ensemble du réseau et stopper la production »», ajoute le responsable cybersécurité de Rexel. C’est ce qui est arrivé à Toyota en 2022, forçant le groupe nippon à arrêter temporairement 14 usines, représentant un gros manque à gagner sur les voitures qui n’ont pas été produites.

Des secteurs stratégiques

Parfois, ces offensives peuvent avoir des conséquences gravissimes. En octobre 2024, American Water, le plus grand fournisseur d’eau des États-Unis, a été la cible d’une cyberattaque, ce qui a poussé l’entreprise à mettre en pause une partie de son activité. En France, les industries de l’aéronautique et du nucléaire, particulièrement compétitives et stratégiques pour le pays, peuvent aussi constituer des proies faciles pour des acteurs venant de l’étranger. 

Dans un contexte de numérisation à marche forcée, la problématique risque de s’amplifier. En cause notamment, le nombre d’objets connectés, qui devrait plus que doubler de 2020 à 2030, selon l’agence internationale de l’énergie (IAE). Mais aussi le contexte géopolitique instable, qui favorise les attaques venant de pays tiers.

Si les grands groupes comme Framatome commencent à se structurer face à la menace cyber, la majorité du tissu industriel français est moins bien préparée. Selon l’enquête « ImpactCyber », publiée fin 2024, 61 % des entreprises françaises de moins de 250 salariés s’estiment faiblement protégées en matière de cybersécurité ou ne savent pas évaluer leur niveau de protection. Alors qu’en cas d’attaque, le risque de défaillance de l’entreprise augmente d’environ 50 % dans les 6 mois suivant l’incident. « Beaucoup de TPE et PME n’ont pas conscience des risques ou considèrent que la cybersécurité est un investissement non-rentable », déplore Frédéric Blin. 

Un des leviers d’amélioration repose sur la formation des équipes. Dans le cadre du programme « France 2030 », l’État a lancé des actions pour doubler le nombre de personnes formées entre 2019 et 2025. Pour Frédéric Blin, des progrès sont encore possibles du côté des installateurs de machines. « Je travaille beaucoup avec cette profession et malheureusement, leur parcours de formation ne les prépare pas aux risques cyber. Leur mission est de faire fonctionner la machine, pas de savoir si l’infrastructure réseau est solide », précise-t-il. 

Mais l’expert de Rexel reste optimiste, observant une évolution des mentalités depuis cinq ans. « Certains clients qui étaient sceptiques vis-à-vis de nos solutions il y a quelques années reviennent me voir en me disant qu’ils ont besoin de notre aide », rapporte Frédéric Blin. Les usines commencent même à « intégrer des paragraphes sur la cybersécurité dans leur cahier des charges, incitant les installateurs à se former », observe-t-il. 

Certaines organisations se sont aussi appropriées  la directive européenne NIS2, une série de règles de cybersécurité concernant les entreprises dans des secteurs dits « critiques », tels que l’énergie, le secteur bancaire, la santé, l’eau, les infrastructures numériques, mais aussi la production de produits chimiques et la transformation de denrées alimentaires. Entrée en vigueur l’an dernier, cette législation renforcée pourrait avoir un effet boule de neige sur le tissu de TPE et PME.