La forte numérisation du secteur de la fabrication entraîne une croissance, une efficacité et une rentabilité accrues. Cependant, ce coup de pouce a également exposé le secteur à des acteurs malveillants cherchant à exploiter les vulnérabilités par le biais d’approches sophistiquées, rappelle un article du Forum économique mondial.

Pour la deuxième année consécutive, l’industrie manufacturière a été le secteur le plus ciblé par les cyberattaques. Rien qu’en 2022, les attaques de logiciels rançonneurs contre les infrastructures industrielles ont doublé, avec une incidence systémique potentielle sur les livraisons d’approvisionnement.  

Dans l’écosystème manufacturier, les installations de production sont réparties dans le monde entier et chaque producteur est également un consommateur et vice-versa. Par conséquent, une cyberattaque contre une entreprise peut avoir des répercussions sur l’écosystème, avec des conséquences coûteuses.
 
Les risques qui en résultent sont systémiques, contagieux et souvent au-delà du contrôle d’une seule entité. Un nouveau rapport a révélé que 98 % des organisations avaient une relation avec un tiers ayant été attaqué.    

Selon une recherche, les cinq principales menaces du secteur sont les attaques d’hameçonnage, les logiciels rançonneurs, le vol de propriété intellectuelle, les attaques de la chaîne d’approvisionnement et les attaques liées à l’Internet industriel des objets. Un rapport récent a également révélé qu’en 2022, les victimes dans le secteur de la fabrication représentaient 30 % des incidents ayant entraîné une extorsion.

Les entreprises manufacturières sont une cible lucrative et accessible en raison de leur faible tolérance au temps d’arrêt. En outre, elles sont souvent à la traîne en matière d’investissement dans la cyberrésilience en raison des cycles de production prolongés et des investissements importants nécessaires pour reconcevoir les lignes de fabrication.
 
L’une des principales difficultés du secteur manufacturier est d’avoir une approche fragmentée de la gestion des problèmes liés à la cybersécurité. Dans l’Union européenne, une nouvelle proposition législative, le Cyber Resilience Act, est en cours de discussion pour introduire les exigences obligatoires en matière de cybersécurité pour les produits matériels et logiciels tout au long de leur cycle de vie. De plus, les nouvelles directives NIS 2 et Critical Entities Resilience (CER) classent certaines industries manufacturières comme des entités « essentielles », les obligeant à gérer leurs risques de sécurité et à prévenir ou minimiser l’impact des incidents sur les destinataires de leurs services.

Aux États-Unis, diverses réglementations fédérales ont été imposées à des secteurs particuliers comme l’eau, les transports et les pipelines, et une stratégie nationale de cybersécurité a récemment été publiée. Toutefois, il n’existe pas à l’heure actuelle de « norme de référence globale en matière de cybersécurité » pour les fabricants des différents secteurs et pays qui prenne en compte les interdépendances du secteur et fixe les exigences de sécurité au-delà des cadres et des normes informatiques existants.