L’industrie dans le viseur des attaquants
L’industrie française vit une transformation profonde. Les usines connectées, les automates pilotés à distance, les capteurs IoT sur les lignes de production : tout ce qui relève de l’industrie 4.0 a multiplié les gains de productivité. Mais cette interconnexion a aussi créé un problème que beaucoup de PMI et ETI industrielles sous-estiment : les réseaux opérationnels (OT) et les réseaux informatiques (IT) communiquent désormais entre eux. Et quand un collaborateur clique sur un lien de phishing dans sa messagerie, l’attaquant n’est plus cantonné au réseau bureautique. Il peut atteindre les systèmes de contrôle industriel.
La convergence OT/IT : un pont entre le bureau et l’usine
Historiquement, les systèmes SCADA et les automates programmables fonctionnaient sur des réseaux isolés (le fameux « air gap »). Avec la numérisation, cette barrière a disparu : les ERP communiquent avec les systèmes de production, les techniciens accèdent aux automates via le réseau informatique, les données de production remontent vers des tableaux de bord web.
Ce lien permanent entre IT et OT signifie qu’un ransomware entré par un email de phishing sur le poste d’un comptable peut se propager jusqu’aux serveurs de contrôle de la production. L’attaque de Norsk Hydro en 2019 l’a démontré : le ransomware LockerGoga, entré par le réseau IT, a forcé le géant de l’aluminium à passer 170 usines en mode manuel pendant plusieurs semaines, pour un coût estimé à plus de 70 millions de dollars.
Le ransomware : arrêt de production garanti
Ce qui rend l’industrie si attractive pour les opérateurs de ransomware, c’est la pression du temps. Une banque victime de ransomware peut basculer sur des procédures manuelles pendant quelques jours. Une usine qui ne produit plus perd des dizaines ou des centaines de milliers d’euros par jour d’arrêt. Les commandes s’accumulent, les clients se tournent vers la concurrence, les pénalités contractuelles s’activent. Cette pression pousse les industriels à payer la rançon plus souvent et plus vite que dans d’autres secteurs.
En France, le cas de Lise Charmel (lingerie haut de gamme) a marqué les esprits : le ransomware a paralysé la production et les systèmes de gestion, contribuant directement au redressement judiciaire de l’entreprise. Pour un panorama complet des cas français, consultez notre analyse du coût du ransomware en France.
La propriété intellectuelle : un butin silencieux
Au-delà du ransomware, les entreprises industrielles possèdent des actifs que les attaquants convoitent par d’autres moyens : plans de fabrication, formules chimiques, procédés brevetés, données R&D, listes de prix et conditions négociées avec les fournisseurs. Le spear phishing ciblant un ingénieur R&D ou un directeur technique peut mener à l’exfiltration de données stratégiques sans que l’entreprise ne s’en apercoive pendant des mois. L’ANSSI alerte régulièrement sur les campagnes de cyber-espionnage industriel visant le tissu industriel français, souvent attribuées à des acteurs étatiques.
La position dans la supply chain
Les PMI industrielles sont souvent des fournisseurs de rang 1 ou 2 pour de grands donneurs d’ordres (automobile, aéronautique, défense, énergie). Compromettre un fournisseur permet aux attaquants de remonter la chaîne d’approvisionnement vers des cibles plus lucratives via des attaques supply chain. C’est aussi pourquoi les grands donneurs d’ordres imposent de plus en plus la certification ISO 27001 à leurs fournisseurs — un sujet que nous abordons dans la section réglementaire.
Ce que disent les chiffres
Les données confirment que le secteur manufacturier est devenu la cible prioritaire des cyberattaques, devant la finance et la santé.
Notre analyse : 1 508 entreprises industrielles passées au crible
Nous avons analysé les configurations de sécurité email (SPF, DKIM, DMARC) des domaines de 1 508 entreprises du secteur industrie et manufacturing en France. Le constat : 22 % obtiennent un score de C ou pire. Ce chiffre est inférieur à celui de la finance (52 %), mais un score bas a des conséquences spécifiques. Un domaine mal configuré en DMARC ou en SPF permet à un attaquant d’envoyer des emails en se faisant passer pour votre entreprise auprès de vos clients et fournisseurs. Dans un secteur où les bons de commande et les factures transitent par email, l’usurpation d’identité de domaine a un impact direct sur la trésorerie.
Nous avons également recensé 9 incidents de cyberattaques documentés dans notre base pour le secteur industriel français. Ces incidents — qui ne représentent que la partie visible — couvrent des arrêts de production par ransomware, des compromissions de messagerie et des vols de données techniques.
Les statistiques du secteur
Le rapport IBM X-Force Threat Intelligence Index 2024 place le manufacturing comme le secteur le plus attaqué au monde pour la troisième année consécutive, devant la finance et l’énergie. Le secteur représente plus de 25 % des incidents analysés.
Le Verizon DBIR 2024 confirme que le phishing et les identifiants volés restent les deux vecteurs d’intrusion principaux dans le manufacturing. Les attaquants ciblent ce secteur pour la rapidité de monétisation via le ransomware et pour la valeur de la propriété intellectuelle.
En France, l’ANSSI a documenté une hausse des attaques contre les entreprises industrielles dans son panorama de la cybermenace 2024. Les PMI et ETI industrielles y sont identifiées comme des cibles privilégiées en raison de leur position stratégique dans les chaînes d’approvisionnement et de leurs moyens de défense souvent limités.
Le coût moyen d’une violation de données dans le secteur industriel atteint 4,7 millions de dollars selon le rapport IBM Cost of a Data Breach 2024. Mais pour une usine, le coût d’un arrêt de production dépasse souvent largement ce chiffre : entre 10 000 et 300 000 euros par jour selon la taille de l’entreprise et le type de production, sans compter les pénalités contractuelles et la perte de commandes.
Les attaques qui visent votre secteur
Les attaquants adaptent leurs scénarios au contexte industriel. Voici les modes opératoires les plus fréquents contre les PMI et ETI manufacturières.
Ransomware via phishing : du bureau à la ligne de production
Le scénario le plus dévastateur commence par un email banal : une fausse facture, un faux bon de commande, une pièce jointe imitant un document de transport. Un collaborateur ouvre le fichier, qui installe un accès distant (malware). L’attaquant se déplace latéralement dans le réseau IT, atteint les systèmes OT, puis déclenche le chiffrement. Les ERP sont bloqués, les systèmes de supervision ne répondent plus, les automates passent en mode dégradé. La production s’arrête.
Fausses factures et bons de commande fournisseurs
La fraude au faux fournisseur est particulièrement efficace dans l’industrie, où les services achats traitent des volumes élevés de bons de commande par email. L’attaquant usurpe l’email d’un fournisseur existant et envoie une facture avec un RIB modifié, accompagnée d’un prétexte (« changement de banque », « nouvelle entité juridique »). Le montant des transactions industrielles rend chaque détournement plus rentable que dans le tertiaire.
Fausses notifications ERP
Les industriels travaillent quotidiennement avec des ERP (SAP, Sage X3, Cegid). Les attaquants envoient des emails imitant ces systèmes : « Bon de commande n’152847 en attente de validation », « Erreur de synchronisation stock — action requise ». Le lien mène à une page de connexion contrefaite. Un accès ERP compromis donne la visibilité sur les fournisseurs, les prix, les stocks et les flux financiers.
Fausses communications HSE et sécurité
Dans un environnement industriel, les communications sur l’Hygiène, la Sécurité et l’Environnement (HSE) sont prises au sérieux. Les attaquants exploitent ce réflexe avec de faux emails d’audit (« Audit DREAL — documents requis sous 48h »), de fausses alertes sécurité ou de faux formulaires d’évaluation des risques. Les collaborateurs, conditionnés à réagir vite aux sujets HSE, cliquent sans vérifier.
Vol de propriété intellectuelle par spear phishing
Le spear phishing ciblant les ingénieurs et les directeurs techniques vise l’exfiltration de données stratégiques. L’attaquant usurpe l’identité d’un partenaire ou d’un organisme de normalisation et demande l’envoi de documents techniques ou de spécifications. Cette attaque silencieuse peut passer inaperçue pendant des mois. Le risque est amplifié par les techniques de pretexting où l’attaquant construit une relation de confiance sur plusieurs échanges avant de demander les documents sensibles.
NIS2, ISO 27001 et vos obligations
Le cadre réglementaire européen impose des exigences de cybersécurité croissantes aux entreprises industrielles. Deux textes majeurs concernent directement votre secteur.
NIS2 : les industriels comme entités « importantes »
La directive NIS2 classe les entreprises manufacturières de secteurs stratégiques (chimie, pharmacie, agroalimentaire, dispositifs médicaux, électronique, machines, véhicules) parmi les entités « importantes » ou « essentielles » selon leur taille et leur criticité. Les seuils sont fixés à 50 salariés ou 10 millions d’euros de chiffre d’affaires.
Pour les entités concernées, NIS2 impose :
- La mise en place de mesures de gestion des risques cyber, incluant la sécurité de la chaîne d’approvisionnement
- La notification des incidents significatifs aux autorités compétentes (ANSSI en France) dans les 24 heures
- Des programmes de formation et de sensibilisation du personnel aux cybermenaces
- La responsabilité de la direction : les dirigeants doivent suivre des formations en cybersécurité et peuvent être tenus personnellement responsables en cas de manquement
Les sanctions prévues par NIS2 atteignent 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles. Pour une PMI industrielle, la non-conformité représente un risque financier et juridique concret. Pour approfondir le sujet NIS2, consultez notre page glossaire NIS2.
ISO 27001 : l’exigence des donneurs d’ordres
La norme ISO 27001 est devenue un prérequis commercial dans l’automobile, l’aéronautique et la défense. Les donneurs d’ordres exigent la certification de leurs fournisseurs pour sécuriser la chaîne d’approvisionnement.
L’annexe A (contrôle A.6.3) exige des programmes de sensibilisation et de formation. Les audits vérifient :
- L’existence de programmes de sensibilisation réguliers (pas seulement annuels)
- La mesure de l’efficacité (taux de participation, évolution des comportements)
- La documentation des actions menées et des résultats obtenus
- L’adaptation des contenus aux risques spécifiques de l’organisation
Les simulations de phishing avec suivi des métriques répondent directement à ces exigences et alimentent le dossier de certification.
IEC 62443 : la sécurité des systèmes industriels
Pour les entreprises qui opèrent des systèmes de contrôle industriel (SCADA, automates, IoT industriel), la norme IEC 62443 complète ISO 27001 sur la sécurité OT. Elle impose la formation du personnel ayant accès aux systèmes de contrôle et la gestion des accès entre les zones IT et OT. La sensibilisation au phishing s’inscrit dans cette démarche : l’email reste le vecteur d’intrusion initial dans la majorité des attaques qui touchent les systèmes OT.
Pour un panorama complet de vos obligations de conformité et de la manière dont nos rapports y répondent, consultez notre page Conformité.
Des scénarios de simulation adaptés à l’industrie
Les simulations de phishing génériques ne fonctionnent pas dans un contexte industriel. Vos collaborateurs ne se feront pas piéger par un faux cadeau iPhone — mais ils réagiront instinctivement à un email qui ressemble à leur quotidien. Voici les scénarios que nous déployons pour le secteur industrie et manufacturing.
Fausses alertes ERP
Un email imite une notification SAP, Sage X3 ou Cegid : « Bon de commande #FR-2026-4817 rejeté — erreur de validation fournisseur. Cliquez ici pour corriger. » Le lien mène à une page de connexion contrefaite. Ce scénario cible les services achats, logistique et comptabilité qui ont le réflexe de cliquer vite pour ne pas bloquer la chaîne.
Faux bons de commande avec modifications fournisseur
Un email prétendument envoyé par un fournisseur régulier informe d’un changement de coordonnées bancaires. Le message joint une fausse facture avec un nouveau RIB. Ce scénario teste la rigueur des procédures de vérification des changements de RIB.
Fausses notifications d’audit HSE
Un email imitant la DREAL ou un organisme de certification informe d’un audit de sécurité à venir et demande de compléter un formulaire en ligne avec les identifiants d’accès au portail de reporting environnemental. Ce scénario exploite le respect des obligations HSE et la crainte des sanctions administratives.
Fausses communications de maintenance planifiée
Un email prétendument envoyé par le service IT informe d’une fenêtre de maintenance : « Mise à jour de sécurité des automates — veuillez vous reconnecter au portail de supervision avant vendredi. » Ce scénario cible les techniciens de maintenance et les responsables de production qui gèrent les accès aux systèmes de supervision.
Faux documents techniques partagés
Un email imite un partenaire ou un bureau d’études et invite à télécharger un document technique via un faux espace de partage qui demande une authentification. Ce scénario cible les ingénieurs et responsables projets qui échangent régulièrement des fichiers avec des partenaires externes.
Chaque simulation ratée déclenche une micro-formation de 3 à 5 minutes sur les signaux d’alerte du scénario. Pas de vidéo de 45 minutes, pas de quiz générique : un retour contextuel et immédiat sur l’erreur commise. Les résultats alimentent un tableau de bord par site, par service et par type de scénario.
Protéger votre entreprise industrielle
La protection contre le phishing dans une PMI ou ETI industrielle suit quatre étapes progressives.
Étape 1 : Auditer votre sécurité email
Avant de former les collaborateurs, vérifiez que votre domaine email n’est pas vulnérable à l’usurpation d’identité. Un domaine sans DMARC en mode « reject », sans DKIM correctement configuré ou avec un SPF trop permissif permet aux attaquants d’envoyer des emails en votre nom — à vos clients, à vos fournisseurs, à vos donneurs d’ordres. Nos données montrent que 22 % des entreprises industrielles analysées ont des configurations insuffisantes.
Testez gratuitement la sécurité email de votre domaine en 30 secondes. Le rapport détaille votre configuration SPF, DKIM, DMARC et MTA-STS, avec des recommandations de correction prioritaires.
Étape 2 : Lancer une simulation de référence
La première campagne de simulation établit votre taux de clic de référence (baseline). Nous utilisons des scénarios adaptés au contexte industriel — fausses alertes ERP, faux bons de commande, fausses notifications HSE — pour mesurer la vulnérabilité réelle de vos équipes. Selon nos données agrégées, le taux de clic initial dans les PMI se situe entre 20 % et 35 %, des chiffres qui baissent significativement après trois mois de simulation et formation continues.
Étape 3 : Former par micro-learning contextuel
Chaque collaborateur qui échoue à une simulation reçoit immédiatement une micro-formation de 3 à 5 minutes sur les signaux d’alerte du scénario en question. Le format court et contextuel est plus efficace que les sessions de formation annuelles de deux heures. Les contenus sont adaptés aux profils : les services achats reçoivent des formations sur la fraude fournisseur, les techniciens de maintenance sur les faux emails de supervision, les dirigeants sur le whaling et le vishing.
Étape 4 : Générer les rapports de conformité NIS2 et ISO 27001
Chaque campagne produit automatiquement les métriques attendues par vos obligations réglementaires et vos audits de certification : taux de participation, taux de signalement, évolution du taux de clic, couverture des équipes formées par site et par service. Ces rapports sont formatés pour répondre aux exigences de l’annexe A.6.3 d’ISO 27001 et aux obligations de sensibilisation de NIS2. Les données sont structurées et exportables en un clic pour vos auditeurs.
Votre domaine email est-il protégé contre l’usurpation d’identité ? 22 % des entreprises industrielles que nous avons analysées présentent des failles. Testez le vôtre gratuitement — le diagnostic prend 30 secondes et le rapport est immédiat.
Questions fréquentes
Pourquoi les entreprises industrielles sont-elles ciblées par le phishing ?
Les entreprises industrielles sont ciblées parce que l'arrêt d'une ligne de production coûte très cher, ce qui pousse les victimes à payer rapidement les rançons. La convergence OT/IT a aussi élargi la surface d'attaque : un email de phishing sur le réseau bureautique peut désormais atteindre les systèmes de contrôle industriel (SCADA, automates) si les réseaux ne sont pas correctement segmentés.
Qu'est-ce que la convergence OT/IT et pourquoi augmente-t-elle le risque cyber ?
La convergence OT/IT désigne l'interconnexion croissante entre les réseaux opérationnels (automates, SCADA, capteurs IoT) et les réseaux informatiques classiques (messagerie, ERP, bureautique). Cette interconnexion permet des gains d'efficacité mais crée des passerelles : un ransomware entré par un email de phishing peut se propager latéralement jusqu'aux systèmes de production, causant un arrêt physique de l'usine.
Mon entreprise industrielle est-elle concernée par NIS2 ?
Si votre entreprise fabrique des produits chimiques, pharmaceutiques, alimentaires, électroniques ou mécaniques et dépasse 50 salariés ou 10 millions d'euros de chiffre d'affaires, elle est probablement classée comme entité importante ou essentielle par NIS2. La directive couvre les secteurs manufacturiers considérés comme stratégiques pour la chaîne d'approvisionnement européenne.
Quels scénarios de phishing sont les plus dangereux pour une usine ?
Les scénarios les plus efficaces contre les entreprises industrielles imitent les communications métier : fausses alertes ERP (SAP, Sage), faux bons de commande fournisseur avec modifications de RIB, fausses notifications d'audit HSE ou de maintenance planifiée. Ces emails exploitent les réflexes opérationnels des collaborateurs et le rythme soutenu de la production.
ISO 27001 impose-t-elle la sensibilisation au phishing ?
Oui. L'annexe A de la norme ISO 27001 (contrôle A.6.3) exige des programmes de sensibilisation et de formation à la sécurité de l'information pour tous les collaborateurs. Les audits de certification vérifient que ces programmes existent, qu'ils sont réguliers et que leur efficacité est mesurée. Les simulations de phishing avec suivi des résultats répondent directement à cette exigence.
Comment protéger les systèmes SCADA contre les attaques initiées par phishing ?
La protection passe par trois axes : la segmentation réseau stricte entre IT et OT pour limiter la propagation latérale, la sensibilisation des collaborateurs côté IT pour bloquer l'attaque à son point d'entrée (l'email), et la surveillance des flux entre les deux réseaux. Les simulations de phishing réduisent le risque à la source en formant les équipes à détecter les emails malveillants avant qu'ils n'ouvrent une brèche.