Les cyberattaques contre les fabricants augmentent à l'échelle mondiale, mais moins de la moitié d'entre eux sont prêts en matière de sécurité

On estime que les temps d'arrêt peuvent coûter jusqu'à 2 millions de dollars aux entreprises,
l'isolation physique traditionnelle (air gapping) ne suffit plus.

SINGAPOUR, 24 mars 2025 /PRNewswire/ -- Une étude mondiale menée par Omdia révèle que 80 % des entreprises manufacturières ont connu une augmentation significative des incidents de sécurité ou des violations l'année dernière, mais seulement 45 % sont réellement prêts à faire face aux cybermenaces.

Omdia a sondé plus de 500 responsables technologiques à travers le monde sur l'intégration des technologies de l'information (TI) et des technologies opérationnelles (TO) – ou systèmes physiques – dans leurs activités principales, ainsi que sur leur approche des défis en cybersécurité. Le rapport de l'étude a été réalisé en partenariat avec Telstra International, la branche mondiale de la société de télécommunications et de technologie de premier plan Telstra.

Alors que les fabricants adoptent le cloud, l'IA et l'IoT pour accélérer leur transformation numérique – connue sous le nom d'Industrie 4.0 – le risque de cyberattaques ne cesse de croître. Si la convergence des technologies de l'information avec les technologies opérationnelles traditionnelles permet d'accroître l'échelle, la résilience et l'efficacité des opérations, elle augmente également la surface d'attaque des cybermenaces. Les industries critiques sont des cibles de choix pour les cybercriminels, y compris les rançongiciels.

Les fabricants touchés par une cyberattaque ont fait état d'un problème de résilience ou de disponibilité qui a coûté à chaque entreprise entre 200 000 et 2 millions de dollars, le plus gros coup étant porté lorsque les incidents ont touché les systèmes de l'entreprise ou le contrôle de la production.

Ganesh Narayanan, responsable mondial de la cybersécurité chez Telstra International, déclare : «Une connectivité renforcée entre les systèmes informatiques et les infrastructures industrielles est essentielle pour tirer parti des technologies de pointe et stimuler l'innovation, mais elle augmente aussi les risques de cyberattaques. Cependant, très peu d'entreprises sont matures en matière de protection et de défense contre ces cyber risques. »

«Notre étude révèle une approche fragmentée de la responsabilité en matière de sécurité, laissant parfois les entreprises manufacturières sans orientation précise. Pour relever les défis liés aux systèmes critiques, il est essentiel qu'un groupe ou une personne dispose d'une autorité clairement définie. Avoir les bonnes personnes et une culture axée sur la sécurité est essentiel. Sans cela, la préparation en matière de cybersécurité sera compromise, rendant les défis techniques encore plus complexes.»

Ganesh Narayanan, souligne que l'industrie manufacturière s'est historiquement appuyée sur l'air gapping pour se protéger. Cette approche consiste à isoler les systèmes industriels des infrastructures informatiques de l'entreprise afin de limiter les menaces extérieures.

Toutefois, cette approche n'est plus viable compte tenu de la convergence croissante entre les technologies de l'information et les technologies opérationnelles, qui élargit considérablement la surface des menaces.

Il déclare : « L'intégration des technologies de l'information et des technologies opérationnelles crée une valeur énorme pour les entreprises dans tous les secteurs, mais les entreprises doivent s'attaquer aux risques pour libérer leur potentiel. Les entreprises doivent donner la priorité à la sécurité des TI/TO et de l'IoT dans six domaines essentiels : collaboration et planification, définition d'une stratégie, renforcement de l'expertise technique, attribution des responsabilités et obligation de rendre compte, utilisation des bons outils et accélération de la préparation aux normes. »

Adam Etherington, analyste en chef senior chez Omdia, précise : « Notre étude met en lumière les vecteurs d'attaque critiques et les enseignements tirés, et fournit des conseils opportuns à tous les dirigeants responsables des technologies de l'information et des technologies opérationnelles. »

« Une connectivité plus omniprésente entre les technologies de l'information et les technologies opérationnelles est essentielle pour la conception et l'amélioration des systèmes de fabrication, qu'il s'agisse d'installations nouvelles ou existantes. Pour améliorer l'innovation, la disponibilité, la sûreté et la sécurité, les entreprises doivent tirer parti du cloud, de l'IoT, de l'IA et des réseaux privés, avec la convergence TI/TO comme moteur de cette transformation.»

« Pourtant, la plupart des entreprises subissent des pannes et des incidents de sécurité coûteux, tandis que les contrôles, politiques et cultures de sécurité traditionnels peinent à suivre le rythme. Compte tenu de l'ampleur des coûts liés aux interruptions de service résultant d'une violation ou d'un incident de réseau ayant eu un impact sur les opérations, il est important de mieux comprendre les causes afin d'y remédier de manière proactive. »

Pour télécharger le rapport d'Omdia: https://www.telstrainternational.com/en/news-research/research/secure-manufacturing-the-challenges-of-IT-OT-convergence

Pour plus de détails sur l'étude, voir les « Notes aux rédacteurs » ci-dessous.

À propos de Telstra International

Telstra est une entreprise de télécommunications et de technologie de premier plan, fière de son héritage australien, qui exerce depuis longtemps des activités internationales en pleine croissance. Telstra International permet aux entreprises, aux administrations, aux opérateurs et aux clients OTT de bénéficier de solutions technologiques innovantes. Ces services s'appuient sur notre réseau de câbles sous-marins en propriété exclusive, qui est le plus important de l'Asie-Pacifique et comprend plus de 30 systèmes de câbles couvrant plus de 400 000 km, avec un accès à de multiples stations d'atterrissage de câbles et plus de 2 000 points de présence dans le monde entier. Pour plus d'informations, veuillez consulter le site telstrainternational.com

Notes aux rédacteurs

Principales conclusions

1. L'Industrie 4.0 est le plus grand facteur de convergence TI-TO
   86 % des personnes interrogées déclarent que la connexion entre les TI et les TO est importante ou très importante pour atteindre les résultats commerciaux, reconnaissant ainsi les rôles vitaux et complémentaires qu'elles jouent. L'Industrie 4.0 a été le principal facteur de convergence TI-TO au cours des deux dernières années, 47 % des personnes interrogées l'ayant cité aux côtés de la cybersécurité et de l'augmentation de la résilience et de la disponibilité.
   
   
2. Hausse des incidents de sécurité TO, entraînant des pertes financières majeures
   Quatre répondants sur cinq (80 %) rapportent une 'augmentation significative' des incidents ou atteintes à la sécurité au cours des 12 derniers mois, touchant des entreprises manufacturières de toutes tailles. Il n'a pas été demandé aux répondants de quantifier le niveau de cette augmentation. 62 % des entreprises manufacturières ont connu un problème de résilience ou de disponibilité, dont le coût se situe généralement entre 200 000 et 2 millions de dollars. Cette incidence sur les coûts était commune à toutes les régions.
   
   
3. La plupart des attaques ont démarré dans les TI, et non pas les TO
   L'étude révèle que 75 % des incidents concernent des attaques cyber-physiques, c'est-à-dire des intrusions informatiques ayant un impact sur les TO ou l'exploitation. La plupart des attaques ont eu lieu au niveau supérieur de la pile TI/TO, à savoir les couches les plus avancées des systèmes technologiques utilisés pour traiter ou analyser les données. Les menaces persistantes avancées (APT), les logiciels malveillants et les dénis de service distribués (DDoS) sont cités comme les attaques les plus fréquentes contre les systèmes TO.
   
   
4. Seul un faible pourcentage d'entreprises manufacturières est à un stade avancé dans la sécurisation des TI/TO
   Omdia a utilisé les cadres NIST et ISA95 pour évaluer la maturité actuelle des entreprises en matière de sécurisation de la convergence TI/TO. Seuls 45 % des fabricants sont très bien préparés à la sécurité convergente TI/TO dans des domaines importants tels que la sécurisation des réseaux, la sensibilisation à la sécurité, les risques liés à la chaîne d'approvisionnement et les questions culturelles. 42 % étaient « assez » préparés et 13 % n'étaient pas du tout préparés, aucun processus formel n'ayant été mis en place.
   
   
5. La responsabilité de la sécurité des TO est de plus en plus souvent confiée à l'informatique
   Alors qu'historiquement, les responsables de la production étaient directement chargés de la production et des opérations dans l'industrie manufacturière, ce modèle est en train de changer à mesure que la convergence TI/TO prend de l'ampleur. L'étude montre que la responsabilité de la sécurité des TO incombe de plus en plus aux responsables de la sécurité des systèmes d'information (RSSI) et à d'autres cadres ayant une formation en sécurité informatique. Une personne interrogée sur cinq a déclaré que son RSSI était responsable de la compréhension et de la mise en œuvre de la sécurité convergente TI/TO au sein de son entreprise.
   
   
6. De plus en plus d'entreprises manufacturières externalisent leur sécurité TI/TO
   Les personnes interrogées soulignent la difficulté de trouver du personnel qualifié et expérimenté qui comprenne à la fois les TI et les TO du point de vue de la sécurité, en particulier dans le contexte de leur secteur d'activité. Par conséquent, la plupart des entreprises feront appel à un tiers dans le cadre d'un accord de sous-traitance ou à des équipes internes pour renforcer les services de sécurité spécifiques aux TI/TO. Les entreprises nord-américaines (51 %) sont les plus susceptibles d'externaliser leur sécurité des TI/TO au cours des 18 prochains mois, suivies par les entreprises de l'Asie-Pacifique (43 %), d'Europe (37 %) et d'Amérique latine (37 %).

À propos de l'enquête

L'étude Telstra International Global Manufacturing Security Services Market Study 2024 a été réalisée par Omdia en septembre 2024.

Répondants

• 513 cadres technologiques responsables de la sécurité des TI ou des TO ont été interrogés
• 51 % étaient des responsables de la technologie ou de la sécurité, par exemple des directeurs informatiques
• 49 % étaient des directeurs de secteur d'activité

Secteurs

• Équipements et autres produits manufacturés discrets
• Fabrication d'automobiles et de véhicules
• Fabrication de procédés industriels
• Construction
• Extraction de minéraux et de métaux
• Agriculture
• Produits alimentaires et autres produits de consommation
• Fabrication de produits

Taille d'entreprise

• 45 % avec 500 à 999 employés
• 55 % avec plus de 1000 employés

Régions

• Amérique du Nord
• Amérique latine
• Europe
• Asie-Pacifique