48 % des victimes de rançongiciels sont des PME. Et votre entreprise ?

Un ciblage qui n’est plus le fruit du hasard

Pendant longtemps, la cybersécurité a semblé être l’affaire exclusive des grands groupes et des administrations. Les PME industrielles se croyaient hors des radars, estimant ne pas disposer de données suffisamment attractives ou ne pas représenter des cibles rentables. Ce raisonnement est aujourd’hui démenti par les chiffres.

Les cybercriminels ont précisément adapté leur stratégie à cette réalité. Les PME représentent des cibles attractives pour deux raisons complémentaires : elles sont structurellement moins bien protégées que les grands comptes, et elles constituent souvent des portes d’entrée vers des donneurs d’ordres ou des partenaires stratégiques. Dans les chaînes de sous-traitance industrielle, une PME insuffisamment sécurisée peut devenir le maillon faible d’un ensemble bien plus large.

Le coût d’une cyberattaque réussie pour une PME française est estimé entre 59 000 et 466 000 euros selon la taille de l’entreprise, la nature de l’incident et la durée de l’interruption d’activité, soit entre 5 et 10 % du chiffre d’affaires annuel. Une cyberattaque réussie ne se résume pas à une interruption informatique temporaire : elle peut paralyser la production, exposer des savoir-faire industriels, compromettre les relations fournisseurs et clients, et engager la responsabilité juridique de l’entreprise et de ses dirigeants.

Les vecteurs d’attaque les plus fréquents en milieu industriel

Le facteur humain reste la principale porte d’entrée des cyberattaques. D’après le Data Breach Investigations Report 2025 de Verizon, établi sur l’analyse de plus de 22 000 incidents de sécurité dans le monde, 60 % des violations de données impliquent une interaction humaine à un moment donné : clic sur un lien frauduleux, identifiant compromis, erreur de manipulation ou ingénierie sociale.

En France, sur les incidents déclarés par les TPE-PME, le phishing représente 43 % des attaques subies, loin devant les failles non corrigées (18 %) et la consultation de sites infectés (11 %). Un message d’apparence légitime, un lien cliqué sans méfiance, et c’est l’ensemble du réseau qui peut se retrouver exposé.

Les rançongiciels constituent la menace la plus dévastatrice pour les structures industrielles. En 2025, 128 compromissions par rançongiciel ont été portées à la connaissance de l’ANSSI. Une évolution notable du mode opératoire est en cours : les attaquants privilégient de plus en plus l’exfiltration de données sans déploiement de rançongiciel, pour exercer un chantage à la divulgation. En 2025, 196 incidents de ce type ont été recensés, contre 130 l’année précédente, une hausse de plus de 50 %.

Les accès distants insuffisamment sécurisés constituent un troisième vecteur de fragilité majeur. La généralisation du travail hybride a multiplié les surfaces d’attaque : selon le DBIR 2025 de Verizon, l’exploitation de vulnérabilités sur les équipements de périmètre réseau (VPN, pare-feu) a progressé de 34 % en un an, et les attaques ciblant les VPN ont été multipliées par huit par rapport à 2024.

NIS2 : un cadre réglementaire qui concerne désormais les PME industrielles

La directive européenne NIS2 (Network and Information Security 2), adoptée en décembre 2022, marque un tournant majeur. Là où NIS1 ne ciblait que 500 organisations en France, NIS2 étend le périmètre à 15 000 entités environ, en couvrant 18 secteurs d’activité dont la fabrication industrielle, la chimie, l’agroalimentaire et les services numériques.

Concrètement, les entreprises de plus de 50 salariés ou dépassant 10 millions d’euros de chiffre d’affaires dans un secteur couvert sont susceptibles d’être concernées comme entités importantes. Celles de plus de 250 salariés ou dépassant 50 millions d’euros de chiffre d’affaires relèvent de la catégorie des entités essentielles, soumises à des obligations plus strictes.

En France, la transposition de NIS2 passe par le projet de loi relatif à la résilience des infrastructures critiques, adopté au Sénat en mars 2025 et en commission spéciale à l’Assemblée nationale en septembre 2025. Le vote en hémicycle est attendu à l’été 2026. En anticipation, l’ANSSI a publié en mars 2026 le Référentiel Cyber France (ReCyF), qui liste 152 mesures de cybersécurité sur 20 objectifs. Non obligatoire à ce stade, il peut être appliqué dès maintenant et invoqué en cas de contrôle. Le pré-enregistrement sur MonEspaceNIS2, la plateforme officielle de l’ANSSI, est ouvert depuis novembre 2025.

Un point souvent négligé par les dirigeants : NIS2 impose aux entités essentielles et importantes de sécuriser leur chaîne d’approvisionnement. Cela signifie qu’une PME sous-traitante d’un donneur d’ordre soumis à NIS2 peut se voir imposer des exigences contractuelles de cybersécurité, même sans être directement dans le périmètre réglementaire. Les donneurs d’ordres n’attendent pas la promulgation de la loi pour intégrer ces exigences dans leurs appels d’offres.

Quelles mesures prioritaires pour une PME industrielle ?

La mise en place d’une cybersécurité efficace ne nécessite pas de révolutionner l’ensemble du système d’information du jour au lendemain. Une approche par priorités, ancrée dans les réalités opérationnelles de l’entreprise, donne de meilleurs résultats qu’un déploiement précipité de solutions inadaptées.

• Cartographier les actifs critiques : Avant toute action technique, il faut savoir ce que l’on protège. L’ERP, les données de production, les fichiers clients, les accès fournisseurs : chaque système doit être recensé et hiérarchisé selon son impact potentiel en cas de compromission. C’est la première étape du référentiel ReCyF de l’ANSSI.

• Déployer l’authentification multifactorielle (MFA) : C’est l’une des mesures les plus efficaces pour limiter les accès non autorisés. Elle est recommandée comme priorité absolue par l’ANSSI et figure dans les 10 mesures obligatoires de l’article 21 de la directive NIS2. Son déploiement est aujourd’hui accessible à toutes les structures.

• Mettre en place une politique de sauvegarde testée : Une sauvegarde non testée est une sauvegarde dont on ne peut pas garantir la fiabilité au moment où l’on en a besoin. Les sauvegardes doivent être régulières, stockées hors ligne ou hors site, et faire l’objet de tests de restauration périodiques.

• Former les équipes : Le facteur humain est impliqué dans 60 % des violations de données. Selon le DBIR 2025, les employés formés à la cybersécurité dans les 30 jours précédents signalent les tentatives de phishing à un taux quatre fois supérieur à ceux sans formation récente.

• Formaliser un plan de réponse aux incidents : NIS2 impose aux entités concernées de notifier tout incident significatif à l’ANSSI dans les 24 heures. Savoir qui contacter, quelles décisions prendre et dans quel ordre agir est à la fois une exigence réglementaire et une nécessité opérationnelle.

Un écart structurel persiste dans les PME françaises entre la conscience du risque et le passage à l’action : 80 % des dirigeants de TPE-PME admettent ne pas être suffisamment préparés à une cyberattaque, et 6 entreprises sur 10 déclarent ne pas savoir évaluer les conséquences d’un incident. C’est précisément cette dissonance qui constitue le principal vecteur de vulnérabilité.

Le rôle de l’ERP dans la stratégie de cybersécurité industrielle

L’ERP occupe une position centrale dans le système d’information d’une PME industrielle. Il concentre des données de gestion (commandes, stocks, facturation, ressources humaines) et des informations opérationnelles (ordres de fabrication, traçabilité, planification) qui représentent un actif stratégique. Il constitue donc l’une des cibles les plus sensibles en cas de cyberattaque.

La sécurisation de l’ERP passe par plusieurs dimensions complémentaires : la gestion fine des droits d’accès utilisateurs, la traçabilité des actions réalisées dans le système, la sécurisation des échanges avec les partenaires extérieurs, la mise à jour régulière des composants logiciels, et la supervision en temps réel pour détecter des comportements anormaux.

Pour les entreprises opérant sur IBMi, la robustesse native de la plateforme constitue un avantage reconnu en matière de sécurité. Mais cette robustesse n’est pas synonyme d’immunité : les configurations par défaut non révisées, les interfaces avec des systèmes tiers et les accès non auditables restent des points de contrôle essentiels à maintenir dans le temps.

NIS2 renforce cette exigence directement : les 10 mesures obligatoires de l’article 21 de la directive incluent la sécurisation des accès, la gestion des incidents, la sécurité de la chaîne d’approvisionnement et la continuité d’activité. Ces mesures s’appliquent directement aux outils de gestion, et l’ERP en est le cœur.

La cybersécurité, un investissement de continuité

La cybersécurité n’est pas une dépense à optimiser mais un investissement de continuité d’activité. Une PME industrielle qui n’a pas encore subi de cyberattaque ne peut pas conclure qu’elle n’en subira jamais. La question n’est plus de savoir si une tentative se produira, mais de se donner les moyens d’y résister ou d’en limiter les effets.

L’entrée en application de NIS2 en France crée une échéance réglementaire, mais elle doit aussi être saisie comme une opportunité de structurer une démarche souvent laissée en suspens. Les PME qui anticipent renforcent leur crédibilité vis-à-vis de leurs donneurs d’ordres, améliorent leur position sur les marchés exigeants, et se dotent d’une capacité de résilience que les entreprises moins préparées ne pourront pas improviser au moment d’un incident.

Contactez notre équipe