Un automate programmable industriel (API ou PLC) piraté, c'est une chaîne de production qui s'arrête, des matières premières dégradées, des engagements clients tenus en échec, parfois des dommages mécaniques sur les équipements eux-mêmes. La facture peut atteindre plusieurs millions d'euros en quelques jours.
Au-delà du choc opérationnel, l'incident pose immédiatement une question juridique : qui paie ?
L'exploitant du site, parce qu'il est juridiquement responsable de son outil de production ? L'intégrateur OT qui a livré et configuré l'automate, parce qu'il aurait dû sécuriser sa mise en service ? Le fabricant du PLC, parce qu'il aurait dû corriger une faille connue ? Le prestataire de maintenance, dont l'accès distant aurait été le vecteur d'entrée ? L'assureur cyber, dans la limite des exclusions du contrat ? Les auteurs de l'intrusion, en théorie poursuivis pénalement et civilement — mais le plus souvent insolvables ?
La réponse se construit à l'intersection de plusieurs corpus : droit des contrats (Code civil), responsabilité délictuelle, droit pénal cyber (loi Godfrain et articles 323 du Code pénal), directive NIS 2 et droit des assurances.
Décryptage de la cartographie des responsabilités, du cadre juridique de la réparation, de l'articulation avec l'assurance cyber, des recours possibles contre les tiers, et des cinq leviers pour limiter les pertes tout en préservant les recours — pour les directions générales, services juridiques, RSSI, achats et assurances des sites industriels.
1. Pourquoi les automates industriels sont des cibles
Les automates programmables industriels (Programmable Logic Controllers, PLC) sont les cerveaux opérationnels des sites de production : ils pilotent les chaînes de fabrication, les chaudières, les robots, les convoyeurs, les fours. Sans eux, l'usine s'arrête.
Pendant des décennies, ces équipements vivaient en vase clos sur des réseaux industriels isolés. La transformation numérique des dernières années a fait sauter ce cloisonnement : connexions à des SCADA, intégration aux MES et ERP, télémaintenance par les fournisseurs, supervision à distance, IoT industriel. Cette ouverture a multiplié les surfaces d'attaque.
Les vecteurs d'attaque les plus courants
Réseaux IT/OT mal cloisonnés
Une intrusion sur le réseau bureautique se propage vers le réseau industriel par défaut de segmentation. Vecteur dominant en industrie.
Télémaintenance non sécurisée
Les VPN ouverts pour les fournisseurs de PLC et SCADA, mots de passe partagés, accès non révoqués sont fréquemment exploités.
Clés USB et médias amovibles
Vecteur historique mais toujours exploité. Mises à jour, diagnostics, importations de programmes via clés non vérifiées.
Identifiants par défaut
Mots de passe administrateur d'usine non modifiés, comptes constructeur connus du marché. Risque maximal sur les automates anciens.
Vulnérabilités firmware
Failles connues mais non corrigées (CVE publiés), mises à jour non appliquées par crainte de régression sur la production.
Compromission supply chain
Mise à jour logicielle légitime mais détournée chez le fournisseur lui-même. Vecteur en forte croissance documenté par l'ENISA.
Les conséquences typiques d'un piratage PLC
Une attaque réussie sur un automate industriel peut produire plusieurs catégories de conséquences, parfois cumulatives :
- Arrêt total de production : modification du programme, blocage par rançongiciel, mise hors service délibérée.
- Production dégradée : modification subtile des consignes pour produire hors qualité, sans alerte immédiate.
- Dommages matériels : commande hors plage des moteurs, fours, presses — endommagement physique des équipements.
- Risque sécurité humaine : désactivation des sécurités automate (arrêts d'urgence, capteurs de fin de course), risque d'accident grave.
- Vol de données process : exfiltration de propriété intellectuelle (recettes, paramètres procédé, données R&D).
- Pertes en cascade : engagements clients non tenus, pénalités contractuelles, atteinte à l'image, perte de marchés.
Pour les directions, la question juridique « qui paie ? » se pose donc à plusieurs niveaux : qui paie l'arrêt de production direct, qui paie les dégâts matériels, qui paie les pénalités contractuelles aux clients, et qui paie le coût de remise en sécurité. Aucun de ces niveaux ne se résout automatiquement.
2. La cartographie des responsabilités potentielles
Quand l'incident survient, la première question juridique est de cartographier tous les acteurs potentiellement responsables. Cette cartographie est aussi importante pour identifier les recours possibles que pour anticiper les éventuelles mises en cause de l'exploitant lui-même.
Six acteurs apparaissent typiquement dans le tableau des responsabilités, chacun avec un fondement juridique propre et des limites spécifiques.
Les six acteurs concernés
| Acteur | Fondement de responsabilité | Solvabilité typique |
|---|---|---|
| Exploitant du site | Obligation de sécurité de ses installations ; engagements clients | Bonne — supporte initialement la perte |
| Intégrateur OT | Responsabilité contractuelle (devoir de conseil, mise en service sécurisée) | Variable — selon assurance RC professionnelle |
| Fabricant du PLC | Garantie des vices cachés, défaut de sécurité, devoir d'information | Bonne — souvent grands groupes |
| Prestataire maintenance | Responsabilité contractuelle ; faute si l'accès distant a été le vecteur | Variable — selon contrat |
| Hacker / pirate | Responsabilité pénale (Art. 323-1 et suivants CP) et civile (Art. 1240 C. civ.) | Quasi nulle — souvent insolvable ou non identifié |
| Assureur cyber | Contrat d'assurance spécifique cyber et pertes d'exploitation | Bonne dans les limites du contrat |
L'exploitant : premier impacté, juridiquement responsable
L'exploitant du site est la première victime de l'incident, mais il est aussi le premier juridiquement responsable de ses propres engagements. Vis-à-vis de ses clients, il reste contractuellement tenu de livrer dans les conditions convenues, sauf à invoquer la force majeure — ce qui est devenu juridiquement difficile depuis plusieurs décisions de la Cour de cassation.
L'arrêt de l'Assemblée plénière du 14 avril 2006 et la jurisprudence subséquente exigent trois critères cumulatifs pour la force majeure : extériorité, imprévisibilité, irrésistibilité. Pour un piratage cyber sur un système industriel, ces trois critères sont souvent contestables — la menace cyber est aujourd'hui prévisible, et des mesures de protection raisonnables permettent généralement d'y résister.
L'exploitant comme défendeur potentiel
Au-delà des pertes directes, l'exploitant peut lui-même être mis en cause :
- Par ses clients pour pénalités contractuelles, perte d'exploitation chez eux liée à la non-livraison.
- Par ses salariés en cas d'accident lié à la défaillance de sécurité automate (faute inexcusable, Art. L. 452-1 CSS).
- Par les autorités (ANSSI, DREAL) en cas de manquement aux obligations NIS 2 ou ICPE.
- Par la CNIL si l'incident a entraîné une violation de données personnelles (RGPD).
- Par les actionnaires en cas de défaut de gouvernance cyber (responsabilité des dirigeants).
Cette accumulation de mises en cause potentielles fait que l'exploitant ne peut pas se contenter de chercher des responsables externes : il doit d'abord sécuriser sa propre position en démontrant qu'il avait pris les mesures raisonnablement attendues.
3. Le cadre juridique de la réparation
Au-delà de la cartographie des acteurs, la réparation des pertes liées à un piratage PLC mobilise plusieurs corpus juridiques simultanément. Choisir le bon fondement pour chaque action conditionne la réussite des recours et l'étendue de l'indemnisation.
Quatre cadres principaux se croisent : la responsabilité contractuelle, la responsabilité délictuelle, la responsabilité du fait des produits, et le droit pénal cyber.
La responsabilité contractuelle
Lorsqu'un contrat existe entre l'exploitant et un acteur (intégrateur, fabricant, mainteneur), c'est le terrain de la responsabilité contractuelle (articles 1231-1 et suivants du Code civil) qui s'applique. Pour engager cette responsabilité, il faut démontrer :
- L'existence d'un contrat et de son périmètre exact (cahier des charges, prestations attendues, obligations de moyens vs résultat).
- Un manquement à une obligation contractuelle (livraison non conforme, défaut de sécurisation, devoir de conseil non respecté).
- Un préjudice chiffré et démontrable (arrêt de production, dégâts matériels, pénalités payées aux clients).
- Un lien de causalité entre le manquement et le préjudice — point souvent contesté, particulièrement en cyber.
La responsabilité délictuelle
Hors de tout contrat, la responsabilité délictuelle (Art. 1240 et suivants du Code civil) s'applique : « tout fait quelconque de l'homme qui cause à autrui un dommage oblige celui par la faute duquel il est arrivé à le réparer ». Trois éléments à prouver : une faute, un préjudice, un lien de causalité.
Ce fondement est typiquement utilisé contre les auteurs du piratage eux-mêmes lorsqu'ils sont identifiés. Il peut aussi être invoqué contre des tiers dont la négligence a contribué à l'incident sans qu'il existe de relation contractuelle directe avec l'exploitant.
La responsabilité du fait des produits défectueux
Pour les défauts du PLC lui-même, les articles 1245 et suivants du Code civil (transposition de la directive 85/374/CEE) ouvrent une voie spécifique. Le producteur est responsable du dommage causé par un défaut de son produit, même en l'absence de faute, dès lors que :
- Le produit présente un défaut de sécurité qui le rend non conforme à ce qu'on peut légitimement en attendre.
- Ce défaut a causé un dommage (corporel, matériel pour les biens autres que le produit lui-même).
- L'action est intentée dans les délais de prescription (3 ans à compter du dommage, 10 ans à compter de la mise en circulation).
Pour les PLC, la question des défauts de cybersécurité comme « défaut de sécurité du produit » est de plus en plus reconnue, particulièrement avec l'entrée en vigueur du Cyber Resilience Act (règlement UE 2024/2847) qui impose des exigences cyber sur les produits numériques mis sur le marché européen.
Le droit pénal cyber
La loi Godfrain de 1988, codifiée aux articles 323-1 à 323-7 du Code pénal, sanctionne les atteintes aux systèmes de traitement automatisé de données (STAD) :
| Infraction | Article | Sanction encourue |
|---|---|---|
| Accès ou maintien frauduleux dans un STAD | Art. 323-1 CP | 3 ans + 100 000 € (5 ans + 150 000 € si dommage) |
| Entrave ou altération du fonctionnement d'un STAD | Art. 323-2 CP | 5 ans + 150 000 € (7 ans + 300 000 € si système d'État) |
| Modification ou suppression frauduleuse de données | Art. 323-3 CP | 5 ans + 150 000 € (7 ans + 300 000 € si système d'État) |
| Bande organisée (circonstance aggravante) | Art. 323-4-1 CP | 10 ans + 300 000 € selon infraction principale |
| Mise à disposition d'outils d'attaque | Art. 323-3-1 CP | Mêmes peines que l'infraction principale |
Le choix du fondement juridique n'est pas optionnel : il conditionne la juridiction compétente, les délais de prescription, les modes de preuve et l'étendue de la réparation. Une stratégie contentieuse bien construite combine fréquemment plusieurs fondements pour optimiser les chances de succès.
4. L'assurance cyber : couverture, plafonds et exclusions
Pour la plupart des sites industriels, le contrat d'assurance cyber est la première ligne de défense financière en cas de piratage. Mais la couverture n'est ni automatique ni illimitée : sa portée dépend de la rédaction précise du contrat, des conditions imposées par l'assureur, et du respect par l'assuré de ses propres obligations de sécurisation.
Comprendre ce qu'un contrat cyber couvre — et ce qu'il ne couvre pas — est devenu un enjeu stratégique pour les directions financières et juridiques.
Les garanties typiques d'un contrat cyber industriel
Frais de remédiation
Coûts d'intervention forensique, restauration des systèmes, expertise technique, gestion de crise. Couverture quasi-universelle.
Pertes d'exploitation
Manque à gagner pendant l'arrêt de production, dans la limite d'une période d'indemnisation contractuelle (souvent 3 à 12 mois).
Responsabilité civile
Indemnisation des tiers (clients, partenaires) ayant subi un préjudice du fait de l'incident. Plafonds spécifiques.
Frais juridiques
Avocats, expertises, frais de procédure, notifications réglementaires. Souvent dans une enveloppe dédiée.
Cyber-rançon
Couverture du paiement de rançon en cas de rançongiciel — soumise à la loi du 24 janvier 2023 qui exige le dépôt de plainte préalable obligatoire.
Communication de crise
Frais de gestion de la communication clients, salariés, médias. Atteinte à l'image et reconstruction de la réputation.
Les exclusions et limitations à connaître
Les contrats cyber comportent presque tous des exclusions et limitations qui peuvent surprendre l'assuré au moment de l'incident :
- Acte de guerre / cyberguerre : exclusion fréquente. Les attaques étatiques massives sont souvent considérées comme acte de guerre — interprétation contestée mais largement utilisée par les assureurs.
- Défaut de mise à jour : exclusion possible si l'incident exploite une faille dont le correctif était disponible depuis plusieurs mois et non appliqué.
- Faute intentionnelle de l'assuré : exclusion classique si le sinistre résulte d'une négligence grave caractérisée.
- Plafond global : montant maximal indemnisé toutes garanties confondues. Pour un site industriel, l'arrêt de production peut excéder rapidement les plafonds standards.
- Franchise importante : souvent élevée pour les contrats industriels (50 000 €, 100 000 € voire plus).
- Période de carence : délai en début de contrat avant prise d'effet, ou délai après l'incident avant indemnisation.
Les obligations de l'assuré
La quasi-totalité des contrats cyber imposent à l'assuré le respect d'obligations préalables, dont le manquement peut conduire à un refus de garantie :
- Mesures techniques minimales : MFA, segmentation réseau, sauvegardes testées, antivirus à jour, supervision SIEM.
- Audits de sécurité périodiques, parfois imposés par l'assureur lui-même.
- Plan de reprise d'activité documenté et testé.
- Formation des personnels à la cybersécurité, attestée.
- Déclaration sincère à la souscription et aux renouvellements (questionnaire cyber).
Pour les directions financières, l'analyse régulière du contrat cyber et la vérification de l'adéquation entre les plafonds et l'exposition réelle de l'entreprise sont devenues des exercices stratégiques. Les sinistres récents documentés ont montré que des plafonds insuffisants laissent des trous de plusieurs millions d'euros à la charge directe de l'exploitant.
5. Les recours contre les tiers (intégrateur, fabricant, mainteneur)
Lorsque l'assurance ne couvre pas l'intégralité des pertes — ce qui est presque toujours le cas dans les sinistres industriels d'envergure — l'exploitant doit chercher à répercuter tout ou partie de sa charge sur les acteurs dont la défaillance a contribué à l'incident. C'est l'objet des recours contre les tiers.
Trois cibles sont particulièrement examinées : l'intégrateur OT qui a livré le système, le fabricant du PLC, et le prestataire de maintenance dont l'accès distant aurait pu être le vecteur.
Le recours contre l'intégrateur OT
L'intégrateur qui a livré et configuré le système d'automatisme est souvent la première cible de recours. Les fondements possibles :
- Devoir de conseil : un intégrateur professionnel a une obligation de conseiller son client sur les risques cyber et sur les mesures de sécurisation à intégrer. Un intégrateur qui livre un système avec des mots de passe par défaut, sans cloisonnement réseau, sans documentation de sécurité, manque à ce devoir.
- Conformité à l'état de l'art : les bonnes pratiques cyber industrielles sont aujourd'hui largement documentées (ISA/IEC 62443, guides ANSSI). Un intégrateur ne peut pas plaider l'ignorance.
- Obligations contractuelles : si le contrat précisait des exigences cyber non respectées, le manquement est caractérisé.
- Garantie de bon fonctionnement : pendant la période de garantie contractuelle, certains défauts peuvent ouvrir droit à reprise ou indemnisation.
Le recours contre le fabricant du PLC
Le fabricant du PLC peut être recherché sur deux fondements distincts :
Vice caché ou défaut de sécurité
Article 1641 du Code civil pour le vice caché, articles 1245 et suivants pour le défaut de sécurité du produit. Si le PLC contenait une vulnérabilité connue du constructeur et non corrigée, ou non documentée à l'utilisateur, le manquement est caractérisable.
Cyber Resilience Act renforce considérablement ce fondement.
Devoir d'information et de mise à jour
Le fabricant a une obligation continue d'informer ses clients des vulnérabilités découvertes (CVE publiés) et de fournir les correctifs nécessaires.
Le défaut d'information ouvre une responsabilité indépendante du défaut produit lui-même.
Le recours contre le mainteneur
Le prestataire de maintenance dont l'accès distant aurait été utilisé comme vecteur d'attaque peut être tenu responsable au titre de :
- Sécurisation de ses propres accès : MFA, comptes nominatifs, traçabilité, révocation rapide des accès des collaborateurs partis.
- Devoir de vigilance sur les outils utilisés (postes de connexion, clés USB introduites sur le site).
- Respect des clauses contractuelles cyber imposées par l'exploitant.
- Notification d'incident selon les délais contractuels et NIS 2 (cascade de signalement).
Les obstacles fréquents aux recours
Plusieurs obstacles juridiques limitent en pratique l'efficacité des recours :
- Clauses limitatives de responsabilité : les contrats avec intégrateurs et mainteneurs comportent typiquement des plafonds (souvent au montant du contrat) qui rendent le recours marginal au regard des pertes réelles.
- Difficulté de preuve du lien de causalité : démontrer que l'attaque a réussi à cause de tel manquement précis suppose une expertise technique poussée. Les attaques multi-vecteurs compliquent l'attribution.
- Délais de prescription : 5 ans en matière contractuelle, plus court en cas de prescription contractuelle stipulée.
- Solvabilité du défendeur : un intégrateur ETI face à une perte de plusieurs millions peut ne pas pouvoir indemniser, même condamné.
Pour les directions juridiques, la stratégie de recours doit être pensée dès la souscription des contrats initiaux. Insérer des clauses cyber adaptées, négocier les plafonds de responsabilité, exiger une assurance RC professionnelle suffisante des intégrateurs : autant d'arbitrages qui se paient — ou se gagnent — au moment du sinistre.
6. 5 leviers pour limiter les pertes et préserver les recours
Au-delà de la conformité réglementaire et de la gestion technique du sinistre, cinq leviers transverses distinguent les exploitants qui préservent durablement leur position juridique de ceux qui découvrent leurs faiblesses au moment de l'incident.
Ces leviers se mobilisent avant et après l'incident — leur cumul construit la robustesse globale de la position juridique et financière de l'entreprise.
Simulateur : votre dispositif est-il robuste ?
Sélectionnez un cas :
Choisissez un cas pour voir l'analyse.
Fondement
Les 5 leviers décisifs
Cloisonnement IT/OT structuré
Segmentation réseau, DMZ industrielle, pare-feu dédiés. Élimine les vecteurs majeurs et démontre la diligence en cas de sinistre.
Clauses cyber dans les contrats fournisseurs
Engagements cyber des intégrateurs et mainteneurs, droit d'audit, plafonds de responsabilité négociés, assurance RC professionnelle exigée. Préserve les recours.
Contrat cyber adapté à l'exposition
Plafonds réalistes au regard du CA et des arrêts de production possibles, exclusions négociées, conditions de souscription respectées en continu.
Cellule de crise opérationnelle
Procédures testées, contacts forensique pré-identifiés, plan de continuité, tableau d'astreinte 24/7. Permet à la fois de respecter NIS 2 (24h) et de préserver les preuves.
Préservation des preuves dès l'incident
Avant toute restauration : copie forensique des systèmes, journaux conservés, dépôt de plainte. La précipitation détruit les preuves nécessaires à tous les recours.
L'esprit général
La question « qui paie ? » se gagne avant l'incident — par les contrats, l'assurance, la sécurisation technique. Après, c'est trop tard pour reconstruire ce qui n'a pas été pensé.
Conclusion : la préparation juridique au cœur de la résilience cyber
Le piratage d'un automate programmable industriel est devenu, en l'espace de quelques années, un des risques cyber les plus structurants pour l'industrie française. La question « qui paie ? » se résout rarement de manière satisfaisante après l'incident : elle se construit en amont, par la qualité des contrats fournisseurs, le calibrage de l'assurance cyber, la conformité NIS 2 et la préparation opérationnelle de la cellule de crise.
Pour les directions générales, services juridiques et financiers, l'enseignement principal converge : la résilience cyber industrielle ne se mesure pas seulement à la robustesse technique du dispositif. Elle se mesure à la capacité de l'entreprise à répartir équitablement les pertes en cas d'incident — entre l'assurance, les fournisseurs défaillants, les recours pénaux et la trésorerie propre. C'est cette répartition juridique, préparée méthodiquement, qui évite qu'un piratage technique ne se transforme en catastrophe financière. Et c'est elle, in fine, qui distingue les industriels qui survivent à une attaque majeure de ceux qui n'en réchappent pas.