SEPEM Brest 2026 : la Bretagne industrielle se donne rendez-vous les 2 et 3 juin
17 avril 2026
Maintenance prédictive : quand l’IA devient rentable sur les lignes
17 avril 2026
Quand une usine s’arrête, ce ne sont pas seulement des machines qui se figent : ce sont des commandes qui s’accumulent, des équipes qui se retrouvent en attente, des matières premières qui se périment et des clients qui perdent confiance. Une cyberattaque en environnement industriel a ceci de particulier qu’elle touche le monde physique. Entre réseaux IT et systèmes OT, automatismes, supervision et lignes de production, l’impact peut être immédiat et massif. Comprendre les scénarios d’attaque les plus courants, leurs effets concrets et les bonnes pratiques de continuité d’activité est devenu indispensable pour toute organisation qui produit, transforme ou assemble.
Cyberattaque en usine : les scénarios les plus fréquents (et les plus dangereux)
Les cybercriminels ciblent les sites industriels car ils savent qu’une interruption de production coûte cher, donc qu’une pression financière fonctionne. Dans une démarche de cybersécurité industrielle, il est essentiel d’anticiper les scénarios réalistes, souvent hybrides, combinant systèmes bureautiques, accès distants et environnements OT.
Ransomware : arrêt de production par effet domino IT → OT
Le scénario le plus courant reste le ransomware qui débute dans l’IT (messagerie, poste utilisateur, VPN) puis se propage vers des serveurs critiques : ERP, MES, historien, supervision, services d’authentification. Même si les automates ne sont pas directement chiffrés, l’usine peut être forcée d’arrêter faute de recettes, d’ordres de fabrication, de traçabilité ou de visibilité process.
- Chiffrement des serveurs MES/SCADA et impossibilité de piloter la production.
- Indisponibilité des sauvegardes ou sauvegardes chiffrées à leur tour.
- Propagation via partages réseau, comptes à privilèges, accès d’administration.
Compromission d’accès distant : prestataire, VPN, rebond vers l’OT
Les accès distants sont indispensables pour la maintenance, mais ils constituent une porte d’entrée privilégiée. Un compte prestataire compromis, un VPN mal configuré ou une passerelle de télémaintenance non isolée peuvent permettre un rebond vers les segments OT. La difficulté vient du fait que l’OT est parfois moins surveillé, et que des équipements hérités ne supportent pas toujours des mécanismes de sécurité modernes.
- Vol d’identifiants (phishing, réutilisation de mots de passe, fuite).
- Absence de MFA sur les accès critiques.
- Connexions directes IT ↔ OT sans segmentation stricte.
Sabotage discret : altération de paramètres, recettes et capteurs
Toutes les attaques ne visent pas à chiffrer. Certaines cherchent à dégrader la qualité, provoquer des rebuts, ou créer des incidents de sécurité. Un attaquant peut modifier des consignes, des seuils d’alarme, des recettes, voire manipuler des données de capteurs pour masquer la dérive. Ces scénarios sont souvent plus longs à détecter et peuvent coûter plus cher que l’arrêt net, car la production continue… mais mal.
- Modification de setpoints ou de paramètres de sécurité.
- Altération de la traçabilité (lots, mesures, historiques).
- Dégradation progressive entraînant non-conformités et rappels.
Attaques sur la chaîne logistique et dépendances externes
Une usine dépend d’un écosystème : éditeurs de logiciels, intégrateurs, fabricants de machines, fournisseurs de services. Une compromission chez un tiers (mise à jour piégée, outil de télémaintenance, bibliothèque logicielle) peut devenir un vecteur d’intrusion. La cybersécurité industrielle impose donc une gestion des risques fournisseurs, avec des exigences contractuelles et des contrôles techniques.
Impacts concrets d’une attaque OT : production, sécurité, conformité, image
En contexte industriel, l’impact se mesure sur plusieurs dimensions, souvent simultanées. L’OT (Operational Technology) pilotant des équipements physiques, une attaque dépasse le simple périmètre informatique.
Arrêt de ligne, pertes financières et rupture de service
Le premier coût est souvent l’indisponibilité : lignes à l’arrêt, équipes mobilisées, pénalités contractuelles, retards de livraison. Même une remise en route peut être longue : contrôles qualité, requalification de process, redémarrage progressif, recalibrage d’équipements.
- Perte de chiffre d’affaires liée à l’arrêt.
- Surcoûts opérationnels (heures supplémentaires, sous-traitance d’urgence).
- Gaspillage de matières, rebuts, produits en cours de fabrication à jeter.
Risques HSE : sécurité des personnes et intégrité des installations
Une cyberattaque peut affecter la sécurité si elle perturbe des fonctions de contrôle, d’alarme ou de supervision. Même lorsque des systèmes instrumentés de sécurité existent, le risque augmente si la visibilité est réduite ou si des opérateurs doivent travailler en mode dégradé. Dans certains secteurs (chimie, énergie, agroalimentaire, pharmaceutique), les conséquences peuvent être majeures.
Non-conformité, traçabilité et obligations réglementaires
La perte de données de traçabilité, l’indisponibilité de rapports de production ou la corruption d’historiques peut conduire à des non-conformités, des audits défavorables et des lots bloqués. Selon l’activité et le pays, des obligations de notification peuvent s’appliquer, sans compter la nécessité de prouver que les produits sont conformes après incident.
Atteinte à la réputation et perte de confiance
Les clients industriels attendent de la fiabilité. Un incident majeur entraîne des interrogations : capacité à livrer, sécurité des données, maturité de gestion de crise. La réputation se joue aussi auprès des assureurs, partenaires et autorités.
Bâtir une continuité d’activité adaptée à l’usine : du PCA à la reprise OT
Un plan de continuité d’activité efficace ne se limite pas à des sauvegardes informatiques. Il doit intégrer les contraintes opérationnelles de l’usine : redémarrage sécurisé, priorisation des lignes, dépendances aux systèmes et capacité à opérer en mode dégradé. L’objectif est de réduire le temps d’arrêt (RTO) et la perte de données (RPO), tout en préservant la sécurité.
Identifier les processus critiques et définir des objectifs réalistes (RTO/RPO)
Commencez par cartographier les processus et systèmes indispensables : MES, SCADA, historien, ERP, gestion de recettes, annuaires, serveurs de licences, postes opérateurs, jump servers, outils de maintenance. Pour chacun, définissez :
- RTO (temps maximal d’indisponibilité acceptable) par ligne/atelier.
- RPO (perte de données acceptable) pour la traçabilité et la qualité.
- Dépendances : réseau, temps, AD, DNS, certificats, serveurs de patch, etc.
Prévoir le mode dégradé : produire sans SI complet
Dans de nombreuses usines, il est possible de produire partiellement sans ERP/MES pendant un temps limité, à condition d’avoir des procédures prêtes. Ce mode dégradé doit être écrit, testé et compris des équipes :
- Ordres de fabrication manuels, formulaires papier, étiquetage alternatif.
- Règles de traçabilité minimale et mécanismes de réconciliation a posteriori.
- Gestion des stocks et expéditions en contournement temporaire.
Sauvegardes OT et « golden images » : restaurer vite et propre
La continuité d’activité en OT nécessite des sauvegardes adaptées : configurations d’automates, projets d’ingénierie, images de postes de supervision, recettes, bases SCADA, serveurs d’historisation. Les bonnes pratiques incluent :
- Sauvegardes hors ligne ou immuables (protection contre le ransomware).
- « Golden images » de postes critiques (HMI, serveurs SCADA, engineering stations).
- Inventaire des versions et dépendances (drivers, licences, middleware).
Plan de reprise : séquencer le redémarrage et éviter la réinfection
Redémarrer trop vite peut réintroduire l’attaquant ou relancer un malware. Un plan de reprise OT doit prévoir un ordre de restauration, des contrôles de sécurité et des critères de validation :
- Isolation des segments et remise en service progressive (par zone/ligne).
- Reconstruction des comptes à privilèges et rotation des secrets.
- Vérifications d’intégrité (fichiers, images, projets d’automates, paramètres).
- Tests fonctionnels et qualité avant reprise de cadence.
Réduire la probabilité d’un incident : mesures clés en cybersécurité industrielle
La continuité d’activité ne remplace pas la prévention : elle la complète. Une approche pragmatique de cybersécurité industrielle cible les points de rupture les plus courants, en tenant compte des contraintes de disponibilité et de sûreté.
Segmenter IT/OT et contrôler les flux
La segmentation est un pilier : zones et conduits, filtrage, listes blanches de flux, bastions d’administration. L’objectif est d’éviter qu’un incident bureautique devienne un arrêt de production.
- DMZ industrielle entre IT et OT, avec services strictement nécessaires.
- Bastion/jump server, journalisation, sessions administrées.
- Interdiction des accès directs non contrôlés vers l’OT.
Durcir les accès et les privilèges
Beaucoup d’attaques réussissent par excès de droits ou mots de passe faibles. Priorisez :
- MFA sur VPN, accès distants, comptes administrateurs.
- Principe du moindre privilège, comptes nominaux, séparation des rôles.
- Gestion des identités et des secrets (rotation, coffre-fort, traçabilité).
Surveiller l’OT : détection adaptée aux protocoles industriels
Les environnements OT ont des protocoles et des comportements différents de l’IT. Une supervision efficace s’appuie sur des journaux, des sondes réseau, et des alertes orientées anomalies :
- Inventaire continu des actifs OT (automates, IHM, switches, serveurs).
- Détection d’événements : nouveaux équipements, scans, changements de configuration.
- Corrélation IT/OT pour comprendre la chaîne d’attaque.
Gérer les vulnérabilités sans casser la production
Patch management et OT ne font pas toujours bon ménage. La solution passe par une gouvernance : fenêtres de maintenance, tests, compensations (segmentation, durcissement) quand le patch est impossible, et suivi des risques documenté.
Tester et faire vivre le plan : exercices, rôles, communication de crise
Un plan non testé est un plan théorique. En cas de ransomware ou d’incident OT, la différence se fait sur la coordination et la rapidité des décisions. Le dispositif doit inclure l’usine, l’IT, la sécurité, la qualité, la maintenance, les achats et la direction.
Exercices de crise : du tabletop à la simulation technique
- Exercices « tabletop » : scénario d’arrêt MES/SCADA, décisions, priorités, communication.
- Tests de restauration : reconstruire un serveur, restaurer une base, valider une IHM.
- Exercices de mode dégradé : produire et tracer sans SI central sur une durée définie.
Chaîne de décision et communication interne/externe
Définissez qui décide de l’arrêt d’une ligne, qui autorise la remise en service, qui communique avec les clients et partenaires, et comment documenter les actions. Préparez des modèles de communication, et clarifiez les interactions avec assureur, autorités et prestataires de réponse à incident.
Une cyberattaque en usine n’est plus une hypothèse lointaine : c’est un risque opérationnel majeur. En combinant prévention (segmentation, accès maîtrisés, supervision) et continuité d’activité conçue pour l’OT (sauvegardes adaptées, mode dégradé, plan de reprise séquencé), vous transformez un scénario catastrophe en incident maîtrisable. Si vous souhaitez évaluer votre exposition, prioriser vos actions et construire un plan réellement applicable sur le terrain, faites auditer vos flux IT/OT et organisez un exercice de crise : c’est souvent le point de départ le plus rentable.
