Le 19 mars 2019, le géant norvégien de l'aluminium Norsk Hydro annonce sur sa page Facebook que ses usines basculent en mode manuel : un ransomware, plus tard identifié comme LockerGoga, vient de paralyser 22 000 ordinateurs sur 170 sites.

Six ans plus tard, l'industrie manufacturière reste, selon le rapport Sophos State of Ransomware 2024, l'un des trois secteurs les plus ciblés au monde — avec une rançon moyenne payée estimée à 1,67 M$ et un coût total de récupération autour de 2,73 M$.

Pourquoi les usines ? Comment se déroule concrètement une attaque sur un environnement IT/OT convergent ? Que recommandent l'ANSSI, la CISA et l'ENISA côté prévention ? Et que faire dans les 24 premières heures si la production s'arrête ?

Décryptage des cas publiquement documentés, des vecteurs d'entrée typiques et des bonnes pratiques alignées sur la norme IEC 62443 et la directive NIS2.

1. Pourquoi les usines sont devenues des cibles prioritaires

Pendant longtemps, les systèmes industriels — SCADA, automates programmables (PLC), DCS, supervision — étaient considérés comme protégés par leur isolement physique du réseau bureautique. La convergence IT/OT des dix dernières années a fait voler ce modèle en éclats : MES connectés à l'ERP, télémaintenance des machines, supervision déportée, jumeaux numériques.

Pour un attaquant, une usine présente un profil économique très favorable. Chaque heure d'arrêt de production se chiffre en dizaines, parfois en centaines de milliers d'euros. La supply chain en flux tendu transforme l'incident local en menace contractuelle pour des dizaines de clients. La pression à payer rapidement est donc structurellement plus forte que dans une banque ou une administration.

Le tournant historique reste NotPetya (juin 2017), wiper déguisé en ransomware diffusé via une mise à jour d'un logiciel comptable ukrainien (M.E.Doc). Les dégâts collatéraux frappent Maersk, Mondelez, Merck, le verrier français Saint-Gobain et FedEx (TNT) : la Maison Blanche a estimé le coût mondial à environ 10 milliards de dollars. Depuis, l'industrie est entrée durablement dans la cartographie des menaces des grands rapports (Dragos, Claroty, ENISA, IBM X-Force).

Année Cas publiquement documenté Famille / acteur Impact public déclaré Source officielle
2017 Saint-Gobain (NotPetya, dommages collatéraux) NotPetya (wiper) ~250 M€ de manque à gagner et 80 M€ de coûts directs, selon le rapport financier S1 2017 du groupe Communiqué Saint-Gobain, rapport semestriel 2017
2017 Honda — usine de Sayama (Japon) WannaCry Arrêt d'environ 24 h d'une chaîne d'assemblage Communiqué Honda, juin 2017
2019 Norsk Hydro LockerGoga Bascule en mode manuel sur 170 sites ; coût estimé ~71 M$ par le groupe Communiqués Norsk Hydro, rapport CERT-NO, NCSC-NO
2021 Colonial Pipeline (oléoduc, États-Unis) DarkSide (RaaS) Arrêt de 5 jours du plus grand oléoduc raffiné des États-Unis ; rançon de 4,4 M$ payée puis partiellement récupérée par le FBI CISA Alert AA21-131A, communiqués DOJ
2021 JBS Foods (agroalimentaire) REvil / Sodinokibi Arrêt temporaire d'abattoirs aux États-Unis, Canada et Australie ; 11 M$ de rançon confirmée par l'entreprise Communiqué JBS, FBI Flash CU-000146-MW
2023 Clorox Non publiquement attribué Impact significatif sur les opérations et la production (~356 M$ d'impact sur les ventes selon le 10-Q de l'entreprise) SEC Form 8-K et 10-Q Clorox, 2023
2023 MKS Instruments (semi-conducteurs) Non publiquement attribué Impact estimé ~200 M$ de chiffre d'affaires différé, selon le 10-Q SEC Form 8-K et 10-Q MKS Instruments, 2023

Liste non exhaustive de cas publiquement documentés par les entreprises elles-mêmes ou par les autorités de cybersécurité (CISA, ANSSI, NCSC). Les chiffres sont ceux communiqués par les sources officielles.

Plusieurs facteurs aggravants sont systématiquement cités dans les rapports sectoriels :

  • Patchs OT rares : un automate Siemens, Schneider ou Rockwell n'est patché que pendant une fenêtre de maintenance planifiée, parfois annuelle.
  • Authentification faible côté OT : pas de MFA sur les HMI, comptes partagés, mots de passe constructeur encore en place.
  • Active Directory unifié IT/OT : un compte admin compromis dans la bureautique donne souvent accès au domaine industriel.
  • Ressources cyber concentrées sur l'IT bureautique : les RSSI/CISO ont historiquement peu de visibilité sur les sites de production.
  • Dépendance à un seul site : pour de nombreux groupes, l'arrêt d'une seule usine peut paralyser la facturation mondiale.

Sources : CISA Alert AA21-131A (Colonial Pipeline) ; communiqués officiels Norsk Hydro, Saint-Gobain, Honda, JBS, Clorox, MKS Instruments ; Dragos Year in Review 2023 ; ENISA Threat Landscape 2023/2024 ; IBM X-Force Threat Intelligence Index 2024.

2. Comment se déroule typiquement une attaque ICS/OT

Les rapports de réponse à incident (Mandiant M-Trends, IBM X-Force, Dragos) décrivent un déroulé désormais très stéréotypé. La majorité des attaques visant les usines suivent une chaîne quasi identique, avec une compromission qui démarre côté IT et ne migre que tardivement — voire jamais — vers l'OT.

1 Accès initial

Phishing avec pièce jointe macro, exploitation d'une faille sur passerelle VPN/SSL (Fortinet, Citrix, Ivanti/Pulse, SonicWall…), RDP exposé sur Internet ou credentials achetés à un initial access broker.

2 Reconnaissance & latéralisation

Énumération Active Directory (BloodHound, ADRecon), élévation de privilèges (Kerberoasting, abus GPO), prise de contrôle d'un Domain Controller. Durée moyenne avant chiffrement : quelques jours à quelques semaines.

3 Exfiltration (double extorsion)

Vol de données sensibles (plans, recettes industrielles, contrats, RH) via Rclone, MEGA, ou outils légitimes. La menace de publication est aujourd'hui aussi importante que le chiffrement lui-même.

4 Chiffrement & propagation IT/OT

Déploiement du ransomware via GPO ou PsExec sur les serveurs IT. Propagation possible vers la DMZ industrielle si Active Directory est partagé ou si la supervision (historian, MES) est accessible depuis le domaine compromis.

5 Arrêt précautionnaire de l'OT

Dans la majorité des cas documentés (Colonial Pipeline, JBS), ce sont les exploitants eux-mêmes qui arrêtent l'OT par précaution — par peur d'une contamination ou pour préserver l'intégrité des process. Le ransomware n'a pas toujours touché les automates.

6 Demande de rançon & négociation

Note laissée sur les postes chiffrés, contact via portail .onion. Demande en bitcoin ou monero. Négociation parfois longue (semaines), avec « décompte » et menace de publication progressive sur le leak site du groupe.

Côté acteurs, le paysage est dominé par des collectifs en Ransomware-as-a-Service (RaaS) : l'opérateur développe le code et l'infrastructure, les affiliés mènent les intrusions et se partagent la rançon (typiquement 70/30 ou 80/20). Parmi les groupes les plus documentés par la CISA et l'ANSSI ces dernières années : LockBit (partiellement démantelé par l'Operation Cronos en février 2024), BlackCat/ALPHV, Cl0p, Royal/BlackSuit, Akira, Play, RansomHub.

Sources : Mandiant M-Trends 2024 ; IBM X-Force Threat Intelligence Index 2024 ; CISA #StopRansomware Advisories ; ANSSI CERT-FR — Panorama de la cybermenace 2023 ; Europol Press Release — Operation Cronos (LockBit), février 2024.

3. Vecteurs d'entrée typiques en milieu industriel

Les rapports d'incident convergent : la majorité des intrusions menant à un ransomware en environnement industriel commencent par quatre familles de vecteurs. Aucun n'est spécifique à l'OT — mais leur exploitation a des conséquences disproportionnées en usine.

Répartition indicative des vecteurs d'accès initial observés dans les incidents ransomware suivis par Mandiant (M-Trends 2024). Les pourcentages varient légèrement d'un rapport à l'autre (IBM X-Force, Sophos) mais la hiérarchie reste cohérente.

3.1 Exploitation de vulnérabilités exposées sur Internet

Les passerelles d'accès distant constituent la cible n°1. La CISA a émis des alertes nominales sur de nombreuses CVE critiques utilisées à grande échelle ces dernières années : CVE-2023-27350 (PaperCut), CVE-2023-34362 (MOVEit, exploitée par Cl0p), CVE-2023-3519 (Citrix NetScaler), CVE-2024-3400 (Palo Alto GlobalProtect), CVE-2024-21887/46805 (Ivanti Connect Secure), plusieurs CVE Fortinet FortiOS/FortiGate.

En usine, ces équipements servent fréquemment à connecter les sites distants, les sous-traitants de maintenance ou les ingénieurs en astreinte. Une compromission donne donc un point d'appui directement à l'intérieur du réseau bureautique du site industriel.

3.2 Phishing & vol de credentials

Mail avec pièce jointe Office macroée, lien vers un faux portail Microsoft 365, kit AiTM (adversary-in-the-middle) capable de récupérer le cookie de session malgré un MFA. Les credentials récupérés sont ensuite utilisés sur les VPN, l'extranet ou les outils SaaS — souvent revendus sur des marchés clandestins comme initial access.

3.3 Accès distants tiers (télémaintenance fournisseurs)

Beaucoup de machines-outils, robots ou lignes complètes sont sous contrat de télémaintenance constructeur. Les accès distants associés (TeamViewer, AnyDesk, VPN site-to-site, Bomgar/BeyondTrust, RDP wrappé) sont rarement protégés par MFA et n'apparaissent pas toujours dans l'inventaire SSI du donneur d'ordre.

3.4 Médias amovibles & clés USB de maintenance

Vecteur historique toujours actif : clé USB d'un prestataire branchée tour à tour sur un poste bureautique infecté puis sur un PG (programming gateway) raccordé à un automate. Le risque n'est plus tant l'auto-exécution (largement bloquée) que le transport de binaires malveillants par un opérateur de confiance.

Sources : Mandiant M-Trends 2024, sections « Initial Compromise » ; CISA Known Exploited Vulnerabilities Catalog ; IBM X-Force Threat Intelligence Index 2024 ; Sophos The State of Ransomware in Manufacturing and Production 2024.

4. Conséquences réelles, coûts et cadre réglementaire

Le coût d'une attaque ransomware sur une usine se décompose en plusieurs strates rarement mises bout à bout dans les communiqués officiels. La perte de production reste, de loin, le premier poste.

Poste de coût Nature Ordre de grandeur observé
Arrêt de production Manque à gagner, pénalités contractuelles, perte de matière en cours De plusieurs centaines de k€ à plusieurs centaines de M€ selon la durée et la criticité du site (cf. Saint-Gobain, Clorox, MKS Instruments)
Réponse à incident Forensique, reconstruction des systèmes, infogérance d'urgence Sophos State of Ransomware 2024 : coût médian de récupération ~1,67 M$ dans le secteur manufacturing (rançon incluse)
Rançon (si payée) Paiement en cryptomonnaie, négociation Demande moyenne en hausse continue ; les data leak sites indexent désormais des centaines de victimes manufacturing par an
Sanctions réglementaires RGPD (CNIL), NIS2, LPM pour OIV/SAIV Amende RGPD jusqu'à 4 % du CA mondial ; NIS2 prévoit jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles
Atteinte à la marque & clients Perte de marchés, dégradation de notation, demandes de garanties accrues Difficile à isoler, mais documenté dans plusieurs 10-K (filing SEC) post-incident

Côté cadre réglementaire français et européen, plusieurs régimes se cumulent depuis l'entrée en application de la directive NIS2 (transposée en France en 2024-2025) :

  • NIS2 : étend largement le périmètre aux entités essentielles et importantes — notamment dans la manufacture critique, la chimie, l'agroalimentaire, la pharmacie. Obligations de gouvernance, gestion des risques, notification d'incident à 24 h / 72 h, sanctions financières.
  • Loi de Programmation Militaire (LPM) : régime français des Opérateurs d'Importance Vitale (OIV) et Systèmes d'Information d'Importance Vitale (SIIV), sous contrôle de l'ANSSI.
  • RGPD : si des données personnelles (salariés, sous-traitants, clients) sont exfiltrées — quasi systématique en double extorsion — notification à la CNIL sous 72 h et information des personnes concernées le cas échéant.
  • Article 323-1 et suivants du Code pénal : qualifie pénalement les atteintes aux systèmes de traitement automatisé de données ; le dépôt de plainte est un préalable utile, notamment pour l'assurance.

Sources : directive (UE) 2022/2555 — NIS2 ; ANSSI — Recommandations pour la sécurité des systèmes d'information industriels ; Code pénal Art. 323-1 à 323-7 ; règlement (UE) 2016/679 (RGPD) ; Sophos State of Ransomware in Manufacturing and Production 2024 ; OFAC Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments ; filings SEC 10-K et 10-Q Clorox, MKS Instruments.

5. Bonnes pratiques de prévention (IEC 62443, ANSSI, NIS2)

La référence internationale est la série de normes IEC 62443 (anciennement ISA-99), complétée en France par les guides de l'ANSSI (« La cybersécurité des systèmes industriels », classification SI industriels) et, côté détection, par le référentiel MITRE ATT&CK for ICS. La directive NIS2 reprend très largement cette logique.

Le cadre conceptuel le plus utilisé pour structurer l'architecture est le modèle Purdue, qui hiérarchise les systèmes en niveaux 0 à 5 et place une DMZ industrielle au niveau 3.5, à la frontière entre IT et OT.

Niveaux 0-1 — Procédé & contrôle

Capteurs, actionneurs, PLC, drives. Durcissement (mots de passe par défaut changés, ports désactivés), inventaire exhaustif, surveillance passive via sondes ICS (Claroty, Dragos, Nozomi, Tenable.OT).

Niveau 2 — Supervision (SCADA, HMI)

Postes de supervision dédiés (pas d'usage bureautique), comptes nominatifs, journalisation centralisée. Pas d'Active Directory partagé avec l'IT.

Niveau 3 — MES / opérations site

Patch management cadencé sur fenêtres de maintenance avec mesures compensatoires (segmentation, virtual patching IPS) quand le patch n'est pas immédiatement possible.

Niveau 3.5 — DMZ industrielle

Pare-feu industriel (Stormshield, Fortinet, Palo Alto, Cisco), jump server bastion pour l'accès depuis l'IT, échanges via brokers (Kafka, OPC UA) plutôt que partages SMB. Pour les sites les plus critiques, diodes data unidirectionnelles (type Owl / Waterfall).

Niveau 4-5 — IT & cloud

EDR/XDR généralisé, MFA partout (admin, VPN, accès distants prestataires), durcissement Active Directory (tier model, comptes d'admin dédiés, LAPS), surveillance 24/7 par un SOC.

Transverse — Sauvegardes & PRA

Règle 3-2-1-1-0 : 3 copies, 2 supports, 1 offline, 1 immuable, 0 erreur de restauration testée. Exercices Stop&Go réalistes, scénarios worst case testés au moins annuellement.

5.1 Le socle des 7 « must-have » selon l'ANSSI et la CISA

  • Cartographie complète de l'IT et de l'OT (asset inventory exhaustif, y compris automates et équipements réseau OT).
  • Segmentation réseau effective entre IT et OT (DMZ industrielle, micro-segmentation), avec règles de flux explicitement documentées.
  • MFA généralisé pour tous les accès distants, comptes à privilèges et accès des sous-traitants.
  • Sauvegardes hors-ligne testées, avec exercices de restauration réguliers et chronométrés.
  • Patch management structuré IT (mensuel) et OT (sur fenêtre maintenance + compensating controls).
  • Détection : EDR/XDR sur l'IT, sondes passives ICS sur l'OT, agrégation SIEM, SOC industriel disponible 24/7.
  • Gouvernance unifiée : CISO/RSSI ayant autorité IT + OT, comité de crise interdisciplinaire pré-formé, PCA/PRA approuvés par la direction générale.

Sources : série de normes IEC 62443 ; ANSSI — La cybersécurité des systèmes industriels (méthode de classification et mesures principales) ; CISA — Cross-Sector Cybersecurity Performance Goals (CPGs) ; MITRE ATT&CK for ICS ; Dragos Year in Review 2023 ; Claroty Biannual ICS Risk & Vulnerability Report.

6. Que faire en cas d'attaque : les 72 premières heures

Les recommandations convergentes de l'ANSSI, de la CISA et de l'ENISA insistent sur un point contre-intuitif : ne pas tout éteindre dans la panique. Couper brutalement les machines peut détruire des preuves forensiques et empêcher la reconstruction propre des systèmes.

6.1 Réflexes immédiats (H+0 à H+6)

  • Isoler : déconnecter le réseau (couper les liaisons IT/OT, fermer les VPN, désactiver les comptes à privilèges suspects) plutôt qu'arrêter physiquement les machines en cours de cycle.
  • Activer la cellule de crise : direction, DSI, RSSI, communication, juridique, RH. Préparer une war room en clair (téléphones mobiles, messagerie out-of-band type Signal, pas d'usage des outils internes potentiellement compromis).
  • Préserver les preuves : ne pas réinstaller les serveurs, ne pas redémarrer sans imagerie disque. Faire appel à un prestataire qualifié PRIS (Prestataire de Réponse aux Incidents de Sécurité) selon le référentiel ANSSI.
  • Sécuriser les sauvegardes : vérifier qu'elles ne sont pas elles-mêmes chiffrées ou supprimées (le ciblage des backups est devenu une étape standard des attaques).

6.2 Déclarations et obligations légales (H+24 à H+72)

  • ANSSI / CERT-FR : déclaration obligatoire pour les OIV/SAIV (LPM) et, depuis NIS2, pour les entités essentielles et importantes ; notification initiale sous 24 h, rapport intermédiaire sous 72 h.
  • CNIL : notification sous 72 h en cas de violation de données personnelles ; information des personnes concernées si le risque est élevé.
  • Dépôt de plainte : auprès de la police judiciaire (sections cybercrime de la SDLC, BL2C, OFAC selon le ressort) ou via la plateforme cybermalveillance.gouv.fr pour les structures les plus petites.
  • Assurance cyber : déclaration immédiate au courtier/assureur ; respecter les conditions du contrat (souvent : faire intervenir un PRIS référencé par l'assureur).

6.3 La question du paiement

L'ANSSI, le FBI et Europol convergent : ne pas payer. Au-delà de l'argument éthique (financement du crime), trois risques juridiques se cumulent :

  • Aucune garantie contractuelle de déchiffrement ou de suppression des données exfiltrées.
  • Risque de violation des sanctions OFAC si le groupe est sanctionné aux États-Unis (impact sur les filiales US d'un groupe européen).
  • En France, certains contrats d'assurance excluent désormais le remboursement de rançon, et l'article L. 12-10-1 du Code des assurances (loi LOPMI 2023) conditionne tout remboursement éventuel au dépôt de plainte préalable.

6.4 Les métiers de la réponse

Une crise ransomware mobilise plusieurs profils spécialisés, dont la demande explose depuis 2020. Sur la base des grilles publiques (APEC, baromètres CESIN, études Hays / Robert Half), les fourchettes de rémunération brute annuelle en France pour 2024-2025 s'établissent typiquement ainsi :

  • Analyste SOC OT : ~38-55 k€
  • Ingénieur cybersécurité industrielle : ~55-90 k€
  • Pentester ICS / red teamer OT : ~60-95 k€
  • Responsable continuité d'activité (RCA / RPCA) : ~60-100 k€
  • CISO / RSSI industrie : ~90-150 k€ et au-delà selon la taille du groupe

Sources : ANSSI — Guide de gestion d'une crise cyber et liste des PRIS qualifiés ; CISA Ransomware Response Checklist ; règlement (UE) 2016/679 (RGPD) art. 33-34 ; loi n° 2023-22 du 24 janvier 2023 (LOPMI), art. L. 12-10-1 Code des assurances ; baromètres APEC / CESIN / Hays 2024.

Conclusion : la cyber-résilience industrielle est devenue un sujet de gouvernance

Les attaques ransomware sur les usines ne sont plus un risque émergent — elles sont un risque structurel, intégré aux scénarios d'aléa majeurs au même titre que l'incendie, la rupture d'approvisionnement ou la panne machine. Les cas publiquement documentés depuis NotPetya 2017 jusqu'à MKS Instruments ou Clorox en 2023 dessinent un schéma stable : compromission côté IT, latéralisation, exfiltration, chiffrement, et arrêt précautionnaire de l'OT par les exploitants eux-mêmes.

La trajectoire de défense la plus convergente — chez l'ANSSI, la CISA et l'ENISA, et formalisée dans la norme IEC 62443 — repose sur quelques principes simples mais exigeants : cartographier, segmenter, sauvegarder hors-ligne, détecter, tester. Avec l'entrée en application de NIS2, ce socle n'est plus seulement une bonne pratique : c'est devenu, pour des milliers d'industriels européens, une obligation juridique soumise à sanctions.

Sources & références principales

  • ANSSI — Recommandations pour la sécurité des systèmes d'information industriels et Panorama de la cybermenace (CERT-FR)
  • CISA — #StopRansomware Advisories, Known Exploited Vulnerabilities Catalog, Cross-Sector Cybersecurity Performance Goals (CPGs)
  • ENISA — Threat Landscape 2023 / 2024
  • MITRE — ATT&CK for ICS
  • Dragos — Year in Review 2023
  • Claroty — Biannual ICS Risk & Vulnerability Report
  • Sophos — The State of Ransomware in Manufacturing and Production 2024
  • IBM — X-Force Threat Intelligence Index 2024
  • Mandiant — M-Trends 2024
  • Norme IEC 62443 (toutes parties)
  • Directive (UE) 2022/2555 — NIS2 ; règlement (UE) 2016/679 — RGPD
  • Code pénal Art. 323-1 à 323-7 ; LOPMI 2023 ; Code des assurances Art. L. 12-10-1
  • Communiqués officiels et filings SEC : Norsk Hydro, Saint-Gobain, Honda, JBS, Colonial Pipeline, Clorox, MKS Instruments
  • Europol — Operation Cronos (LockBit), février 2024 ; US OFAC — Ransomware Payments Advisory