Cybersecurity softwarePremium

La législation européenne devrait réduire les risques de cybercriminalité

Mais la cybersécurité commence par les employés

Au fond de soi, tout le monde est convaincu que l'on est constamment en danger dans le monde numérique. Mais entre en être conscient et mettre en œuvre des mesures et surtout des comportements, il y a un monde de différence. Avec la législation, l'Union européenne tente de resserrer les rênes.

Hacked
Dans les logiciels de commande des machines, la question de la cybersécurité est à l'étude depuis de nombreuses années. La numérisation rend cette question plus nécessaire que jamais

"Une cyberattaque, ça ne m'arrivera pas", pensent beaucoup de gens. Pourtant, une étude réalisée l'année dernière par ABN Amro a révélé que les trois quarts des entreprises néerlandaises auront subi une cyberattaque d'ici à 2023. Et 71 % des PME y ont été confrontées. L'Agence flamande pour l'innovation et l'entrepreneuriat conclut que près de la moitié des entreprises flamandes auront été victimes d'une cyberattaque d'ici 2024. Un an plus tôt, ce chiffre n'était que de 10 %. De plus, en 2024, une attaque sur dix aura été couronnée de succès. Aux Pays-Bas, ce pourcentage est deux fois plus élevé: une attaque sur cinq est réussie, dans le sens où l'entreprise subit effectivement des dommages. Une autre étude néerlandaise montre que l'industrie manufacturière est une cible de plus en plus populaire pour les pirates informatiques et les cybercriminels. L'industrie manufacturière est la principale cible, selon une étude d'IBM: plus d'un quart de toutes les cyberattaques ont lieu dans l'industrie manufacturière, et le nombre d'attaques a plus que triplé depuis 2019.

Un impact majeur

Pendant longtemps, les entreprises de fabrication industrielle ont concentré leur attention en matière de cybersécurité principalement sur le côté informatique de l'entreprise. Après tout, c'est là que sont utilisés les ordinateurs directement reliés à l'internet et que les virus et les logiciels de ransomware peuvent s'introduire par courrier électronique. Ceux qui pensent encore ainsi en 2025 s'imaginent être en sécurité dans un monde imaginaire. En effet, dans une entreprise manufacturière typique, les machines sont aujourd'hui reliées à la partie informatique de l'entreprise, ne serait-ce que pour envoyer des programmes aux machines ou - si l'entreprise est largement numérisée - pour que la production communique directement avec le système ERP afin de récupérer et d'écrire les données de production.

Les machines disposent souvent d'une connexion directe à l'internet. La numérisation augmente les risques. Mais ceux qui maintiennent leurs machines hors ligne - dans la mesure du possible - courent également des risques. Chaque clé USB branchée sur le port USB d'une machine constitue un risque potentiel.

L'impact des cyberattaques sur les entreprises manufacturières peut avoir des conséquences très importantes. Tout d'abord, l'industrie manufacturière fonctionne de plus en plus dans une chaîne numériquement connectée, depuis la livraison des matières premières jusqu'à l'échange de fichiers CAO, de programmes de machines et de données de commande. L'impact du piratage informatique peut donc être énorme. La deuxième raison est que les données d'une entreprise manufacturière sont souvent précieuses, en particulier si la propriété intellectuelle est en jeu. La troisième raison est que le secteur est très sensible aux perturbations de la chaîne: en théorie, une attaque contre une entreprise pourrait entraîner l'arrêt de toute une chaîne.

La législation européenne doit contenir les risques

Face à l'augmentation des risques, l'Union européenne tente d'encadrer la cybersécurité par des lois et des règlements. Fin 2024, la directive NIS 2 (directive (UE) 2022/2555) entrera en vigueur (directive sur les réseaux et les systèmes d'information). L'industrie manufacturière est l'un des 18 secteurs couverts par cette directive. L'industrie manufacturière est considérée comme un secteur clé. En outre, la directive NIS2 couvre les fournisseurs de services en nuage, entre autres, et les fabricants de machines-outils doivent naturellement s'en préoccuper.

La mesure de la NIS2 qui a peut-être le plus d'impact est l'obligation pour les entreprises de surveiller la cybersécurité de leur chaîne d'approvisionnement. Les entreprises employant plus de 50 personnes ou réalisant un chiffre d'affaires supérieur à 10 millions d'euros doivent interroger leurs clients, fournisseurs et partenaires sur les mesures qu'ils prennent en matière de cybersécurité. Elles doivent s'assurer que les parties externes respectent les exigences de la directive.

Cela signifie qu'à terme, les petites entreprises manufacturières devront elles aussi se conformer à la directive, même si ce n'est pas directement, mais indirectement par l'intermédiaire de leurs partenaires de la chaîne d'approvisionnement. En outre, elles pourraient être tenues de renforcer les mesures de sécurité, de procéder à une évaluation périodique des risques, de mettre en place un système de notification des incidents et de renforcer la culture de la cybersécurité au sein de l'organisation.

À propos: malgré un délai strict, au début de 2025, seuls neuf pays de l'UE avaient entièrement transposé la directive NIS2 dans leur propre législation, dont la Belgique.

Pixabay

Les entreprises font partie de chaînes connectées, opérant souvent à l'échelle mondiale. Cela fait de l'industrie une proie attrayante pour les pirates informatiques, car ils peuvent faire des ravages dans des chaînes entières

Les dirigeants d'entreprise deviennent personnellement responsables

L'une des conséquences les plus importantes de la NIS2 est peut-être le fait que les dirigeants d'entreprise peuvent être tenus personnellement responsables si de graves failles de sécurité sont découvertes. La même responsabilité conjointe et solidaire s'appliquera bientôt lorsque la loi sur la cyber-résilience (RCA) entrera en vigueur dans l'UE. Cette loi - qui s'applique de la même manière dans toute l'UE, contrairement à une directive - entrera pleinement en vigueur le 11 décembre 2027. À partir de cette date, les fabricants, les importateurs et les distributeurs seront responsables de la cybersécurité des machines, des robots et des logiciels qu'ils mettent sur le marché européen si ces machines sont capables de transférer des données.

Outre une déclaration de conformité, les machines devront recevoir des mises à jour de sécurité pendant leur durée de vie. Un délai de cinq ans est prévu à cet effet. Les vulnérabilités découvertes et les incidents doivent être signalés dans les 24 heures ; dans les 72 heures, le rapport doit être documenté de manière exhaustive. Les personnes qui ne respectent pas cette obligation peuvent être tenues conjointement et solidairement responsables en cas de problème. L'ACR prévoit ensuite des amendes pouvant aller jusqu'à 15 millions d'euros par pays dans lequel vous fournissez les machines, les robots ou les logiciels.

Cette législation européenne oblige les constructeurs de machines à rendre leurs machines et leurs logiciels moins vulnérables aux cyberattaques. Ils peuvent le faire de plusieurs manières, par exemple en ne permettant pas aux machines d'être constamment connectées à l'internet. On le voit déjà plus souvent avec les machines: l'utilisateur doit les ouvrir pour échanger des données avec l'extérieur. Cela réduit considérablement le risque de cyberattaque, mais ne suffira pas en fin de compte.

Que devez-vous faire vous-même dans votre entreprise?

Les entreprises elles-mêmes ont le devoir de mettre de l'ordre dans leur cyber-résilience. Cela commence par un inventaire des risques. Pour déterminer le degré de vulnérabilité d'une entreprise, il faut examiner les cyberrisques en termes de personnel, d'organisation, de sécurité physique et technique.

Le plus grand défi pour les entreprises réside dans les risques liés à la technologie opérationnelle (OT). Dans le secteur de la métallurgie, les machines ont souvent une longue durée de vie technique, souvent plus de 10 ou 20 ans. Est-il encore possible d'équiper une machine aussi ancienne avec les nouveaux systèmes de sécurité? De nombreuses entreprises utilisent des logiciels en fin de vie (comme Windows 7 ou XP), c'est-à-dire des logiciels qui ne sont plus maintenus par le développeur. Cela augmente les risques. On pourrait isoler autant que possible ces vieilles machines ou systèmes fonctionnant encore avec des logiciels obsolètes, en les déconnectant du reste de l'entreprise. Toutefois, la question est de savoir si cela fonctionnera de manière adéquate.

Le 5e rapport d'approche sur le cyberespace, qui reflète les résultats des tests de pénétration, indique que les faiblesses de l'infrastructure des organisations ouvrent la porte à la compromission numérique. Une authentification faible et une segmentation inadéquate du réseau facilitent l'accès. Les logiciels obsolètes et la mauvaise gestion des correctifs restent l'une des principales raisons pour lesquelles les pirates accèdent aux systèmes numériques. Il s'agit là de problèmes sur lesquels l'entreprise peut exercer un contrôle. La faiblesse de l'authentification, en particulier, est un problème que les entreprises elles-mêmes peuvent résoudre avec leurs fournisseurs et leurs employés.

La sécurisation de l'environnement de production se heurte souvent à la nécessité d'arrêter les machines pour effectuer les mises à jour. Les entreprises devraient délibérément programmer la maintenance des logiciels en plus de la maintenance mécanique annuelle. La normalisation facilite la maintenance des logiciels.

On peut également envisager de passer à des services en nuage proposés par des acteurs réputés. Les logiciels de CFAO installés sur des serveurs propriétaires rendent une entreprise vulnérable si elle n'a pas mis en place des systèmes de sécurité adéquats. Bien que les risques d'une solution en nuage ne soient certainement pas nuls, on peut supposer qu'ils sont généralement plus sûrs. À condition que les employés les manipulent correctement.

Pixabay

L'être humain reste le maillon faible. L'utilisation d'ordinateurs portables et de smartphones à la maison et au travail sans mesures de protection supplémentaires et sans vigilance augmente les risques

Le maillon faible

L'attention portée aux employés est peut-être l'aspect le plus difficile de la cyber-résilience, mais en même temps le point où l'on peut réussir. Personne n'aime les mots de passe, personne n'est désireux de créer un nouveau mot de passe sur une base régulière obligatoire. Et à quel point est-il facile de donner son mot de passe à un collègue par téléphone pour qu'il puisse accéder à un document important lorsque vous n'êtes pas là?

Ce sont pourtant les maillons faibles du système. La vérification en deux étapes est déjà un bon pas vers une plus grande cybersécurité. Après s'être connecté, l'utilisateur reçoit un code par le biais d'une application ou d'un SMS. Les entreprises qui permettent à leurs employés d'utiliser leurs propres smartphones et ordinateurs portables dans l'entreprise ou via le réseau de l'entreprise courent un risque supplémentaire si les employés ne sont pas suffisamment conscients des risques de l'internet à la maison. Ils transfèrent alors les vulnérabilités de leur domicile directement à l'entreprise. Cela s'applique encore plus à l'utilisation de supports de données portables, comme les clés USB. Dès que l'on peut utiliser ces supports à la maison ou sur des appareils non sécurisés, on augmente le risque. De nombreuses cyberattaques commencent par des personnes. Souvent, un trop grand nombre d'employés ont un large accès aux données.

Que faire en cas de piratage?

Les entreprises doivent également élaborer une stratégie au cas où elles seraient victimes d'une cyberattaque. Il s'agit du plan d'intervention en cas d'incident (IRP). Grâce à des mesures ciblées, dans quel délai l'entreprise peut-elle redevenir opérationnelle et éviter d'être immobilisée pendant des jours ou des semaines? Un tel plan décrit étape par étape qui prend en charge quelle tâche en cas d'incident. Une équipe est constituée avec des tâches et des responsabilités claires. S'entraîner à une telle situation permet d'éviter le chaos en cas d'incident réel.

En outre, il convient d'examiner attentivement s'il existe des sauvegardes appropriées, conservées en dehors du réseau piraté. Ai-je pris des dispositions pour protéger complètement les machines de l'aspect informatique de l'entreprise et puis-je ensuite accéder à mes programmes en toute sécurité?

Monitoring blijft belangrijk.

La surveillance reste importante

Sensibiliser les employés aux risques

Le plus important est de sensibiliser les employés aux risques auxquels l'entreprise est confrontée et au fait que l'homme est souvent le maillon faible. Les formations de sensibilisation sont utiles à cet égard, mais il est plus important de responsabiliser les employés pour leur comportement. C'est ce qui se passe dans de nombreuses entreprises lorsqu'il s'agit de conditions de travail sûres, mais pas encore lorsqu'il s'agit de cybersécurité. Juger les fournisseurs sur la sécurité numérique commencera à prendre de l'importance, tout comme les gens les jugent déjà sur le service.

En fin de compte, les gens commenceront à considérer l'investissement dans la cyber-résilience non pas comme un coût, mais comme un investissement dans la disponibilité de la capacité de production.

Accès GRATUIT à l'article
ou
Faites un essai gratuit!Devenez un partenaire premium gratuit pendant un mois
et découvrez tous les avantages uniques que nous avons à vous offrir.
  • checknewsletter hebdomadaire avec des nouvelles de votre secteur
  • checkl'accès numérique à 35 revues spécialisées et à des aperçus du secteur financier
  • checkVos messages sur une sélection de sites web spécialisés
  • checkune visibilité maximale pour votre entreprise
Vous êtes déjà abonné? 
Écrit par Peter Weber14 août 2025

En savoir plus sur

cybersecurity software

Articles connexes

Le papier fait forte impression dans un paysage médiatique fragmenté

Parmi tous les canaux par lesquels les consommateurs sont bombardés de messages marketing, la boîte aux lettres reste extrêmement efficace.

Labelexpo élargit sa portée à Barcelone

Selon les experts, l'ajout du carton pliant au programme d'exposition de Labelexpo 2025 (du 16 au 19 septembre) n'est pas tant une nécessité qu'une réponse appropriée aux développements et tendances plus larges du marché.

La production européenne de papier a augmenté de 5% en 2024

Cepi, l'association professionnelle internationale de l'industrie papetière européenne, publie les chiffres de la croissance pour l'année 2024. Après deux années de contraction, la consommation de papier et de carton a augmenté de 7,5% l'année dernière, tandis que la production a progressé de 5 %.

Canon lance une mise à jour pour l'imprimante de production imagePress V1000

Le fabricant japonais d'imprimantes Canon continue d'investir dans la technologie des toners. L'imprimante de production imagePress V1000, dont plus de 700 exemplaires ont été installés dans la région EMEA, est désormais dotée de nouvelles mises à jour matérielles et logicielles.

Magazine imprimé

Édition Récente

Lire la suite

Découvrez la dernière édition de notre magazine, qui regorge d'articles inspirants, d'analyses approfondies et de visuels époustouflants. Laissez-vous entraîner dans un voyage à travers les sujets les plus brûlants et les histoires que vous ne voudrez pas manquer.

Dans ce magazine
Cookies

Nouvelles Graphiques utilise des cookies pour optimiser et personnaliser votre expérience d'utilisateur. En utilisant ce site web, vous acceptez la politique en matière de confidentialité et de cookies.