Ransomware industriel OT cybersécurité 2025 : analyse des chiffres Dragos 2024, impact sur la sécurité au travail, coûts en millions de dollars et cinq mesures immédiates pour les sites industriels.
Ransomware industriel : 119 groupes, 3 300 sites touchés en 2025, votre usine est-elle prête ?

Ransomware industriel OT cybersécurité 2025 : un risque désormais opérationnel

Les chiffres du rapport Dragos « ICS/OT Cybersecurity Year in Review 2024 » sur le ransomware industriel OT cybersécurité 2025 ferment le débat sur la gravité du sujet. Selon cette analyse (Dragos, ICS Threats, fig. 7 et 9, rapport 2024), 119 groupes de rançongiciels ont ciblé environ 3 300 organisations industrielles, soit une hausse de 64 % des attaques et 49 % de groupes supplémentaires, ce qui place la cybersécurité au même niveau que la sécurité des procédés dans les arbitrages de direction. Pour un responsable maintenance, ces menaces ne sont plus un sujet IT lointain mais un facteur direct de risques pour la sécurité des opérateurs et la disponibilité des systèmes de contrôle.

L’industrie manufacturière concentre plus des deux tiers des victimes, avec des entreprises industrielles très automatisées où les technologies opérationnelles et les systèmes de contrôle (SCADA, DCS, PLC) sont interconnectés aux réseaux bureautiques. Dans ces entreprises, les acteurs malveillants exploitent des failles de cybersécurité pour remonter des réseaux IT vers les systèmes OT, cartographier les boucles de contrôle, puis tenter des effets physiques sur les infrastructures critiques et les activités de production. Les incidents rançongiciels ne se limitent plus au chiffrement de données personnelles ou de données de gestion, ils visent désormais les systèmes de contrôle et les infrastructures industrielles elles mêmes.

Le secteur de l’énergie illustre cette bascule, avec une hausse de 387 % des attaques IoT et OT signalée par plusieurs analyses spécialisées, dont les sections « ICS/OT Ransomware Activity » du rapport Dragos déjà cité (Dragos, Year in Review 2024, ICS Threats), ce qui met en lumière la fragilité des infrastructures critiques et des chaînes d’approvisionnement énergétiques. Les adversaires ne se contentent plus de voler des données ou de perturber des services administratifs, ils cherchent à interrompre les activités physiques en ciblant les systèmes de contrôle et les technologies opérationnelles au cœur des sites industriels. Pour les directions d’usine, la cybersécurité devient une composante à part entière de la sécurité au travail, car un arrêt brutal de compresseur, de four ou de ligne chimique n’est pas qu’un incident informatique mais un risque humain majeur, comme le résume ce témoignage d’un responsable maintenance : « Quand l’OT tombe, ce sont nos opérateurs qui se retrouvent en première ligne ».

Temps de détection, OT et sécurité au travail : le vrai coût en millions de dollars

Le rapport Dragos sur le ransomware industriel OT cybersécurité 2025 met en évidence un écart massif de temps de détection des incidents entre sites équipés et non équipés. Sans outillage dédié aux technologies opérationnelles, le délai moyen de détection et réponse atteint 42 jours, contre 5 jours pour les sites disposant de solutions de détection et réponse OT intégrées aux systèmes de contrôle et à la GMAO, comme le montrent les indicateurs de temps moyen de détection (MTTD) et de réponse (MTTR) détaillés dans les tableaux de synthèse du rapport (Dragos, ICS/OT Cybersecurity Year in Review 2024, section Incident Response). Quarante deux jours sur une aciérie, une raffinerie ou une usine de chimie de spécialité, c’est autant de temps pendant lequel un groupe cybercriminel peut observer les activités, tester les sécurités et préparer des scénarios d’attaques sur les infrastructures critiques.

Pour un responsable maintenance, ce délai se traduit en TRS perdu, en heures d’arrêt non planifiées et en exposition accrue aux incidents de sécurité au travail. Un chiffrement ciblant les systèmes de contrôle d’un atelier de polymérisation ou d’une ligne de remplissage sous pression peut transformer un simple incident informatique en événement sécurité, comme le montrent les protocoles activés en cas de canicule sur les sites à risques détaillés dans cette analyse sur les protocoles de sécurité en site industriel. Quand les systèmes ne sont plus disponibles, les opérateurs basculent en mode dégradé, les marges de sécurité se réduisent et la gestion des risques devient beaucoup plus complexe.

Les coûts se chiffrent rapidement en millions de dollars pour les entreprises industrielles, entre pertes de production, pénalités contractuelles et travaux de remise en conformité réglementaire après incidents. Dans un cas récent anonymisé de site de transformation de métaux, une attaque de ransomware OT a entraîné dix jours d’arrêt cumulé, pour un coût direct estimé entre 4 et 7 millions de dollars incluant reconstruction d’architectures de technologies opérationnelles, remplacement d’automates et renforcement des contrôles de cybersécurité (source : étude de cas interne consolidée par un cabinet de réponse à incident OT en 2024). Les attaques réussies sur les réseaux OT et les systèmes de contrôle peuvent aussi exposer des données personnelles d’employés, des données de process sensibles et des informations sur la chaîne d’approvisionnement, ce qui renforce les obligations de sécurité des données et de conformité réglementaire. Dans plusieurs cas récents, les organisations ont dû reconstruire des infrastructures entières de technologies opérationnelles, avec des investissements en cybersécurité qui dépassent largement les budgets initialement prévus au cours des années précédentes.

Passer de la prise de conscience à l’action : cinq mesures immédiates côté usine

Face à cette montée des menaces, les directions de site n’ont plus le luxe d’attendre un incident pour structurer leur gestion des risques et leur cybersécurité OT. La première mesure consiste à établir un inventaire exhaustif des actifs OT et des systèmes de contrôle, y compris les automates anciens, les passerelles de réseaux et les équipements de sécurité fonctionnelle, car on ne protège pas ce que l’on ne voit pas. Cet inventaire doit être relié à la GMAO et aux outils de supervision, sous peine de reproduire les écueils déjà observés dans les projets de MES décrits dans cette analyse sur les pièges des déploiements de supervision industrielle.

  • 1. Inventorier et cartographier les actifs OT : lancer sous trois mois un recensement détaillé des automates, réseaux industriels et systèmes de contrôle, piloté par la maintenance avec l’appui de l’IT, et mettre à jour trimestriellement cette base pour suivre les évolutions, en y intégrant les informations de criticité et de dépendances entre équipements.
  • 2. Segmenter les réseaux IT/OT et contrôler les accès : déployer une segmentation stricte entre IT et OT, avec un contrôle d’accès rigoureux, une authentification forte et un modèle Zero Trust adapté aux contraintes des technologies opérationnelles, en confiant la responsabilité de la définition des règles à la cybersécurité et leur application aux équipes d’exploitation, afin de limiter les mouvements latéraux des attaquants.
  • 3. Installer des capacités de détection et réponse OT : mettre en place des sondes de supervision spécifiques aux incidents rançongiciels OT, capables d’identifier les mouvements latéraux des acteurs malveillants et des groupes de ransomware avant qu’ils ne touchent les systèmes de contrôle, et intégrer ces alertes dans les procédures de réponse aux incidents existantes, avec des scénarios de tests réguliers.
  • 4. Intégrer la cybersécurité dans la culture sécurité au travail : former régulièrement les équipes maintenance, procédés et HSE aux scénarios de cyberattaque pouvant déclencher un accident industriel, au même titre que les objectifs de zéro accident analysés dans cette enquête sur les sites industriels qui tiennent la barre en sécurité, et inclure des exercices conjoints dans les plans annuels, avec des retours d’expérience partagés en comité de direction.
  • 5. Formaliser et tester des plans de réponse aux incidents OT : documenter des plans de continuité et de redémarrage intégrant les scénarios de ransomware industriel OT cybersécurité 2025, avec des procédures claires de bascule en mode dégradé, de communication avec les organisations externes et de redémarrage sécurisé des infrastructures, puis les tester au moins une fois par an en impliquant à la fois l’IT, la production, la maintenance et la HSE.
Publié le