Quand la production s’arrête : pourquoi la mécanique allemande devient une cible privilégiée des attaques OT
119 groupes de ransomwares ciblent les organisations industrielles en 2025 – une hausse de 49 %. Dans 81 % des environnements OT, la segmentation avec l’IT est insuffisante. La mécanique allemande est dans la ligne de mire, et la plupart des entreprises ne le savent pas.
L’essentiel
- 49 % de plus de groupes de ransomwares : Dragos a recensé en 2025 un total de 119 groupes de ransomwares ciblant des organisations industrielles – contre 80 l’année précédente.
- 81 % sans segmentation adéquate : Dans quatre environnements OT sur cinq évalués, aucune séparation claire n’existe entre les réseaux IT et OT (Dragos OT Cybersecurity Report 2026).
- Plus des deux tiers issus de la production : Le secteur manufacturier représente la majorité des victimes mondiales de ransomwares OT.
- 119 nouvelles vulnérabilités par jour : Le BSI signale, dans son rapport de situation 2025, une augmentation de 24 % du nombre de nouvelles failles de sécurité découvertes chaque jour.
- 88 % sans aide externe : L’étude VDMA Industrial Security 2025 montre que près de neuf entreprises industrielles sur dix gèrent la sécurité OT exclusivement en interne.
Une nouvelle qualité de menace
Les ransomwares contre les entreprises industrielles ne sont pas nouveaux. Ce qui l’est, c’est la précision avec laquelle les attaquants opèrent. Le Dragos OT Cybersecurity Report 2026, publié le 17 février 2026, documente un saut qualitatif : les attaquants cartographient activement le fonctionnement des systèmes de contrôle. Ils comprennent où les commandes sont générées, comment elles se propagent dans l’installation, et où des effets physiques peuvent être déclenchés.
Il s’agit d’une différence fondamentale par rapport aux ransomwares classiques. Chiffrer des postes de travail bloque les échanges de courriels. Manipuler un système de contrôle peut paralyser des lignes de production, saboter des processus qualité, voire causer, dans le pire des cas, des dommages physiques aux machines et au personnel.
Les chiffres illustrent l’ampleur de la menace : 119 groupes distincts de ransomwares ont ciblé des organisations industrielles en 2025 – une hausse de 49 % par rapport à 2024. 3 300 organisations dans le monde ont été touchées. Plus des deux tiers des victimes proviennent du secteur manufacturier. Pour la mécanique allemande, reconnue comme leader technologique mondial, il s’agit d’une menace directe.
Source : Dragos OT Cybersecurity Year in Review, février 2026
Pourquoi la mécanique est particulièrement vulnérable
La mécanique allemande souffre d’un problème structurel de sécurité. Les installations de production sont conçues pour durer. Une machine-outil fonctionne 15 à 20 ans, son logiciel de contrôle souvent tout autant. Les mises à jour sont risquées, car elles peuvent interrompre les processus de production. Les correctifs sont reportés, car personne ne souhaite arrêter une ligne en marche pour une mise à jour logicielle.
Le résultat : des réseaux OT fonctionnant sous des systèmes d’exploitation obsolètes, communiquant via des protocoles jamais conçus pour Internet, et gérés par des départements IT formés à l’informatique bureautique. L’étude VDMA Industrial Security 2025 (réalisée conjointement avec Fraunhofer AISEC) quantifie le problème : 88 % des entreprises industrielles interrogées gèrent la sécurité OT exclusivement en interne – sans spécialistes externes.
Cela semble relever de la responsabilité propre, mais correspond souvent à une surcharge. La sécurité OT exige un savoir-faire différent de celui de la sécurité IT. Un administrateur de pare-feu ne peut pas automatiquement évaluer la sécurité d’un système SCADA. Les protocoles sont différents (Modbus, OPC UA au lieu de TCP/IP), les priorités sont différentes (disponibilité avant confidentialité), et les conséquences d’une erreur aussi (arrêt de production plutôt que fuite de données).
S’ajoute une incertitude réglementaire. L’étude VDMA révèle que 30 % des PME interrogées ne savent pas si elles relèvent des exigences du CRA (Cyber Resilience Act) ou de NIS2. Cette incertitude conduit à la passivité – or, dans le contexte actuel de menace, la passivité est la stratégie la plus dangereuse.
« La menace a atteint un nouveau niveau de maturité en 2025. Les attaquants cartographient le fonctionnement des systèmes de contrôle – où les commandes sont générées, comment elles se propagent, et où des effets physiques peuvent être déclenchés. Les organisations industrielles sous-estiment massivement l’étendue des ransomwares dans les environnements OT, car elles continuent de traiter le sujet comme un simple problème IT. »
Robert M. Lee, PDG et cofondateur de Dragos (OT Cybersecurity Report, février 2026)
Trois nouvelles menaces ciblant les environnements OT
Le rapport Dragos identifie trois nouvelles menaces qui, en 2025, ont pour la première fois attaqué de manière ciblée des infrastructures KRITIS. Ces groupes se distinguent des acteurs classiques de ransomware par leur approche méthodique : ils évoluent pendant des semaines sans être détectés dans les réseaux OT, cartographient les boucles de contrôle et collectent des informations sur les processus physiques avant de frapper.
Cela concerne directement les entreprises de production allemandes, car l’Allemagne figure en bonne place dans les données géographiques des systèmes OT exposés. La combinaison d’une infrastructure industrielle 4.0 connectée, d’un haut degré d’automatisation et de concepts de sécurité parfois obsolètes rend le site particulièrement attractif pour les attaquants souhaitant provoquer des effets physiques.
Un autre résultat du rapport Dragos illustre la faiblesse opérationnelle : dans 82 % des organisations évaluées, des critères clairs font défaut pour déterminer à partir de quel moment une anomalie de fonctionnement doit déclencher une enquête cyber. Cela signifie que, même en cas d’attaque, les entreprises concernées pourraient ne pas la détecter – parce que personne n’a défini ce qu’est un comportement suspect dans l’environnement de production.
La perspective du BSI : 119 nouvelles vulnérabilités par jour
Le Bundesamt für Sicherheit in der Informationstechnik confirme cette menace dans son rapport annuel 2025. En moyenne, 119 nouvelles vulnérabilités dans les systèmes IT ont été répertoriées chaque jour durant la période analysée – une croissance de 24 % par rapport à l’année précédente. Le BSI cite explicitement la production d’énergie et la fabrication automobile comme secteurs à haut risque.
La présidente du BSI, Claudia Plattner, résume la situation en une phrase : toute institution ou personne accessible depuis Internet est fondamentalement menacée. Pour les entreprises de production, qui connectent de plus en plus leurs installations, cette déclaration n’est pas un avertissement abstrait. Elle décrit leur réalité opérationnelle quotidienne.
Selon le BSI, des acteurs russes attaquent activement les infrastructures IT d’entreprises, de collectivités et de particuliers allemands. La dimension géopolitique accroît la pression sur les entreprises qui pensaient jusqu’ici ne pas être suffisamment intéressantes pour des attaquants motivés par l’État. Avec les attaques massives, ce ne sont plus seulement les grands groupes qui sont visés.
La convergence IT/OT, un risque pour la sécurité
L’Industrie 4.0 a rapproché les mondes autrefois hermétiquement séparés de l’IT et de l’OT. La maintenance prédictive nécessite des données de production dans le cloud. Le contrôle qualité par IA exige le transfert de flux vidéo des caméras de la ligne de fabrication vers les centres de données. L’optimisation de la chaîne d’approvisionnement relie les systèmes ERP aux commandes des machines. Chacune de ces connexions constitue une porte d’entrée potentielle.
Le problème ne réside pas dans la connectivité elle-même – elle apporte des gains réels de productivité. Il réside dans la manière dont elle est mise en œuvre. Dans de nombreuses entreprises, les liens entre IT et OT ont été créés de façon ad hoc : un tunnel VPN ici, un partage de fichiers là, une connexion bureau à distance pour le technicien de maintenance externe. Chaque connexion était pragmatique prise isolément. Dans leur ensemble, elles forment un réseau qu’aucun architecte de sécurité n’aurait conçu ainsi.
Continental a vécu en 2022 à quelle vitesse une attaque IT peut frapper toute la chaîne de valeur. Même si les installations de production n’étaient pas directement touchées, l’incident a montré à quel point les entreprises industrielles connectées sont vulnérables. Depuis, le sujet a gagné en importance au plus haut niveau de direction – mais la mise en œuvre opérationnelle reste en retard par rapport à la prise de conscience.
Un aspect particulièrement critique : les accès à la maintenance à distance. De nombreux constructeurs de machines proposent une maintenance à distance via Internet. Ces accès fonctionnent souvent via des protocoles propriétaires, ni surveillés par l’équipe IT ni compris par l’équipe OT. Un accès à distance compromis donne à un attaquant un accès direct à la technique de commande – contournant complètement la périphérie de sécurité.
La solution ne réside pas dans l’isolement, mais dans l’ouverture contrôlée. Les principes Zero Trust, devenus standard dans le monde IT, doivent être transposés aux environnements OT. Chaque connexion est authentifiée, chaque flux de données vérifié, chaque accès enregistré. Cela nécessite des investissements en technologie et en savoir-faire – mais l’alternative est une surface d’attaque qui s’élargit avec chaque nouvelle initiative Industrie 4.0.
Cinq mesures immédiates pour les entreprises de production
1. Appliquer strictement la segmentation IT/OT : Le réseau de production doit être séparé physiquement ou logiquement du réseau bureautique. Un pare-feu entre les segments est le minimum. Mieux encore : une zone démilitarisée (DMZ) avec des points de transfert contrôlés pour les données devant circuler entre les deux mondes.
2. Mettre en place une détection d’anomalies : Définir ce qu’est un comportement normal dans l’environnement de production. Toute déviation – connexions inattendues, protocoles inhabituels, accès à des heures inhabituelles – doit déclencher une enquête. Des outils comme Nozomi Networks, Claroty ou la plateforme Dragos offrent une détection d’anomalies spécifique à l’OT.
3. Créer un inventaire des équipements : On ne peut pas protéger ce qu’on ne connaît pas. De nombreuses entreprises n’ont pas une vision complète de tous les appareils connectés dans leur production. Un inventaire à jour des équipements, incluant les versions de firmware, les connexions réseau et l’état des correctifs, est la base de toute stratégie de sécurité OT.
4. Élaborer un plan de réponse aux incidents OT : Le plan de réponse aux incidents IT ne s’applique pas à l’OT. Lorsqu’une installation de production est attaquée, les priorités changent : sécurité humaine d’abord, puis protection des équipements, puis sauvegarde des données. Chaque entreprise de production doit disposer d’un plan de réponse aux incidents OT spécifique, coordonné avec l’exploitation des installations.
5. Clarifier la conformité réglementaire : Vérifier si l’entreprise relève de NIS2 ou du Cyber Resilience Act. En cas de doute, la réponse est probablement oui – les définitions des secteurs concernés sont volontairement larges. Mieux vaut entamer dès maintenant des mesures de conformité préventives que de devoir les corriger sous pression plus tard.
Conclusion
La situation menaçante pour la mécanique allemande est grave, mais pas désespérée. Les mesures à prendre sont connues, les outils disponibles, les exigences réglementaires définies. Ce qui manque, c’est la mise en œuvre. 81 % sans segmentation adéquate, 88 % sans expertise externe en sécurité OT, 30 % incertains sur leurs obligations réglementaires – ce ne sont pas des problèmes techniques. Ce sont des décisions de management qui ne sont pas prises.
Le rapport Dragos 2026 montre : les attaquants ont augmenté leur niveau. Ils comprennent mieux les installations de production que nombre d’entreprises qui les exploitent. Celui qui ne comble pas cet écart risque non seulement la perte de données, mais aussi l’arrêt de production. Dans la mécanique allemande, où la fiabilité des livraisons et la qualité sont les principaux facteurs de différenciation, une seule attaque OT réussie peut menacer l’existence même de l’entreprise.
Questions fréquentes
Chaque question est verrouillée. Un clic déverrouille la réponse.
Quelle est la différence entre sécurité IT et sécurité OT ?
La sécurité IT protège les données et les processus métiers. La priorité est la confidentialité. La sécurité OT protège les processus physiques et les équipements. La priorité est la disponibilité. Une attaque par ransomware sur l’IT paralyse les courriels. Une attaque sur l’OT peut arrêter des lignes de production ou endommager des machines.
Comment savoir si mon entreprise relève de NIS2 ?
NIS2 concerne les entreprises de 18 secteurs définis ayant au moins 50 employés ou un chiffre d’affaires annuel de 10 millions d’Euro. La mécanique relève du secteur « fabrication » et entre donc dans le champ d’application. En cas de doute, il est conseillé de consulter un expert juridique spécialisé dans NIS2.
Combien coûte une segmentation OT ?
Pour une PME typique avec un ou deux sites de production, les coûts se situent entre 50 000 et 200 000 Euro pour le matériel, la mise en œuvre et la configuration initiale. Des coûts opérationnels récurrents pour la surveillance et la maintenance s’ajoutent. L’alternative – un arrêt de production dû à une attaque OT – coûte un multiple de ce montant.
Puis-je couvrir la sécurité OT avec mon équipe IT existante ?
Pour des mesures de base, oui – inventaire des équipements, segmentation réseau, gestion des correctifs. Pour des tâches spécialisées comme les tests d’intrusion OT, les évaluations de sécurité SCADA ou la réponse aux incidents dans des environnements de production, la plupart des entreprises ont besoin d’expertise externe. L’étude VDMA montre que 88 % travaillent en interne – cela ne signifie pas que cela soit optimal.
Quels outils de sécurité OT sont adaptés aux PME ?
Pour la surveillance réseau : Nozomi Networks Guardian ou Claroty CTD comme solution de monitoring passive. Pour la gestion des équipements : Langner OT-Base ou SecurityBridge pour les environnements SAP. Pour la segmentation : pare-feux industriels de Fortinet (FortiGate Rugged) ou Palo Alto (PA-Series Rugged). Le point de départ doit être la surveillance réseau – elle révèle les risques les plus importants sans intervention opérationnelle.
Pour approfondir
- La chaîne d’approvisionnement logicielle attaquée : comment GlassWorm a touché 400+ développeurs
- Obligation de registre NIS2 manquée ? La check-list pratique
Plus d’actualités du réseau MBF Media
Source de l’image : générée par IA (Juli 2026)