Rançongiciels dans l’industrie manufacturière 2025 : crise de la sécurité des données et de la conformité

L’industrie manufacturière détient une distinction dont aucune industrie ne veut : elle est la cible numéro un des attaques par ransomware pour la quatrième année consécutive. Le Rapport Sophos 2025 sur l’état du ransomware dans l’industrie manufacturière et la production révèle que la moitié des industriels ont été victimes de ransomware et ont payé en moyenne 1 million de dollars de rançon.

Résumé des points clés

1. La moitié des industriels ont payé une rançon — avec des millions de données à risque. 51 % des organisations manufacturières ont payé des demandes de ransomware en 2025, avec des paiements moyens atteignant 1 million de dollars et des coûts de récupération s’élevant à 1,3 million de dollars supplémentaires. Au-delà de l’impact financier, 39 % des victimes ont subi un vol de données en plus du chiffrement, transformant une crise opérationnelle en violation de données avec des conséquences réglementaires.
2. L’exfiltration de données transforme le ransomware en urgence de conformité. L’industrie manufacturière affiche le deuxième taux le plus élevé de vol de données parmi tous les secteurs, les attaquants dérobant des informations sensibles telles que la propriété intellectuelle, les dossiers clients et les identifiants d’authentification avant de chiffrer les systèmes. Chaque exfiltration peut déclencher des notifications RGPD, des exigences des lois sur la confidentialité des données et des obligations contractuelles qui persistent bien après la reprise des opérations.
3. Les lacunes d’expertise et les angles morts exposent les données sensibles. Un manque d’expertise en cybersécurité a contribué à 42,5 % des attaques réussies, tandis que des failles inconnues ont permis 41,6 % des violations — autrement dit, les organisations ignoraient que leurs défenses présentaient des faiblesses jusqu’à ce que les attaquants les exploitent. Ces défaillances organisationnelles créent les conditions que les régulateurs examineront lors des enquêtes sur la compromission de données sensibles.
4. Les défaillances de visibilité dans la supply chain multiplient les risques de protection des données. 67 % des industriels citent le manque de visibilité de bout en bout comme principal risque lié aux tiers, un chiffre bien supérieur à la moyenne intersectorielle. Lorsque des partenaires subissent des violations impliquant des données partagées, 44 % des industriels déclarent ne pas recevoir de notification en temps réel — les empêchant ainsi de respecter leurs propres obligations de conformité ou de protéger les personnes concernées.
5. Les industriels ripostent — et remportent davantage de victoires. Le taux de chiffrement des données est tombé à 40 % des attaques en 2025, le plus bas en cinq ans, tandis que la part des attaques stoppées avant chiffrement a doublé pour atteindre 50 %. Une détection plus rapide, des capacités de réponse renforcées et de meilleures pratiques de sauvegarde produisent des résultats concrets qui limitent à la fois la perturbation opérationnelle et l’exposition des données.

Mais l’impact financier ne raconte qu’une partie de l’histoire. Chaque attaque par ransomware réussie représente une potentielle violation de données, une infraction à la conformité et un cauchemar réglementaire. Avec 39 % des victimes de ransomware dans l’industrie manufacturière ayant subi un vol de données en plus du chiffrement, le secteur fait face à une double crise : perturbation opérationnelle et exposition de données sensibles, sous la surveillance accrue des régulateurs, clients et partenaires.

Comprendre les enjeux de confidentialité et de conformité liés au ransomware — et les solutions qui fonctionnent — est essentiel pour chaque site de production, fournisseur et responsable opérationnel souhaitant protéger à la fois ses activités et ses obligations en matière de données.

Les données que les industriels doivent protéger

Les organisations manufacturières gèrent bien plus de données sensibles qu’on ne le pense. Selon des études sectorielles sur la sécurité des données dans l’industrie, 61 % des industriels collectent des identifiants d’authentification via leurs systèmes et formulaires. 58 % traitent des dossiers financiers. 36 % traitent des données de cartes de paiement soumises aux exigences PCI DSS. 29 % collectent des numéros d’identification gouvernementaux.

Au-delà de ces catégories, les industriels manipulent régulièrement des données de collaborateurs, des informations de comptes clients, ainsi que des données de fournisseurs et partenaires. Plus important encore, les environnements industriels exposent une propriété intellectuelle de grande valeur : plans, spécifications, secrets de fabrication et détails produits recherchés activement par les concurrents et les États-nations.

Ces données sont soumises à une forte pression réglementaire. Les industriels évoluent dans une matrice complexe d’exigences : RGPD pour les personnes concernées en Europe, PCI DSS pour le traitement des paiements, et des réglementations sectorielles spécifiques dans l’automobile, l’électronique, l’aérospatiale et l’équipement industriel. Les contrôles à l’export et les initiatives de gestion des risques dans la supply chain ajoutent d’autres couches d’obligation.

Lorsqu’un ransomware frappe un environnement industriel, il ne se contente pas de perturber la production. Il peut accéder, exfiltrer et exposer des données déclenchant des obligations de notification, des enquêtes réglementaires et des sanctions importantes.

Pourquoi les attaquants ciblent les données industrielles

Les opérations industrielles constituent une cible de choix pour les cybercriminels, qui recherchent à la fois des rançons et des données de valeur. Une ligne de production à l’arrêt cesse immédiatement de générer du chiffre d’affaires, ce qui pousse à payer rapidement. Mais les données détenues par ces organisations offrent un levier supplémentaire.

Vol de propriété intellectuelle

pour financer des opérations ou la revendre à des concurrents. Les données clients et fournisseurs permettent des attaques en cascade dans la supply chain. Le vol d’identifiants donne accès à des systèmes connectés et à des réseaux de partenaires. Les données financières facilitent la fraude. Les informations personnelles des collaborateurs et des clients déclenchent des obligations de notification en cas de violation, accentuant la pression sur les victimes.

L’équation est simple : les industriels ressentent immédiatement l’impact opérationnel sur leur chiffre d’affaires, et l’exposition des données entraîne des conséquences réglementaires, juridiques et réputationnelles à long terme. Les attaquants savent qu’en menaçant à la fois la continuité opérationnelle et la confidentialité des données, ils maximisent leur pouvoir de négociation.

Sophos a interrogé 332 responsables IT et cybersécurité d’organisations industrielles dans 17 pays ayant subi des attaques par ransomware au cours de l’année écoulée. Les résultats révèlent des failles préoccupantes dans la sécurité des données, mais aussi des progrès notables dans la réponse aux menaces.

La réalité des violations de données dans l’industrie

L’étude Sophos a montré que 39 % des industriels ayant eu des données chiffrées ont également subi une exfiltration de données — le deuxième taux le plus élevé parmi tous les secteurs sondés. Autrement dit, les attaquants ne se sont pas contentés de bloquer les données : ils en ont volé des copies, susceptibles d’être divulguées, revendues ou utilisées pour un chantage supplémentaire.

D’autres études sectorielles dressent un tableau encore plus large des défis de sécurité. 85 % des industriels déclarent au moins un incident de sécurité lié à un formulaire au cours des deux dernières années. 42 % font état d’une violation confirmée via des soumissions de formulaires — des systèmes qui collectent les informations sensibles de clients, collaborateurs et fournisseurs que les industriels sont tenus de protéger.

La part des industriels victimes de ransomware sans chiffrement (attaques d’extorsion pure) a bondi à 10 % des attaques, contre seulement 3 % en 2024. Ces attaques visent exclusivement le vol de données, sans perturber les opérations. Les attaquants volent des informations sensibles et menacent de les divulguer publiquement si aucune rançon n’est versée — transformant les défaillances de protection en demandes financières directes.

Pour les responsables conformité et protection des données, ces chiffres représentent une exposition réglementaire. Chaque exfiltration peut déclencher des notifications de violation RGPD, des exigences des lois sur la confidentialité, des obligations contractuelles envers clients et partenaires, ainsi qu’un examen des pratiques de sécurité par les régulateurs.

Pressions réglementaires et enjeux de souveraineté des données

Les industriels subissent une pression réglementaire et contractuelle croissante sur la gestion des données. Selon les études sectorielles, 80 % des répondants considèrent la souveraineté des données comme cruciale ou très importante — reflet des exigences réglementaires et des attentes clients concernant la localisation et la circulation des données à l’international.

L’adoption d’ISO 27001 est forte dans l’industrie, offrant un cadre de gestion de la sécurité de l’information. L’adoption de SOC2 Type II est plus variable, générant des incohérences dans la démonstration des contrôles de sécurité auprès des clients et partenaires. La conformité PCI DSS reste obligatoire pour le traitement des paiements, ajoutant une dimension supplémentaire aux programmes de sécurité.

L’adoption du modèle Zero trust reste plus faible dans l’industrie que dans d’autres secteurs, malgré son efficacité pour limiter les mouvements latéraux lors des violations. L’écart entre les meilleures pratiques et leur mise en œuvre réelle crée à la fois un risque de sécurité et une vulnérabilité de conformité.

Notamment, l’industrie est de plus en plus exposée aux contrôles à l’export et aux initiatives de gestion des risques dans la supply chain. Les sous-traitants de la défense, les fournisseurs de l’aérospatiale et les organisations manipulant des données techniques contrôlées font face à des exigences supplémentaires que les attaques par ransomware peuvent compromettre.

Comment les données sont exposées

L’exploitation de vulnérabilités est devenue la principale cause technique des attaques par ransomware dans l’industrie en 2025, responsable de 32 % des incidents. C’est un changement par rapport aux années précédentes où les e-mails malveillants et les identifiants compromis dominaient.

Pour la sécurité des données, l’exploitation de vulnérabilités revêt une importance particulière. Les environnements industriels incluent souvent des systèmes de contrôle industriel, des technologies opérationnelles et des équipements anciens fonctionnant avec des logiciels obsolètes. Ces systèmes sont fréquemment connectés à des réseaux contenant des données sensibles. Une faille dans un système opérationnel peut ouvrir l’accès à des bases de données clients, à la propriété intellectuelle et à des dossiers financiers.

Les e-mails malveillants représentent encore 23 % des attaques, contre 29 % en 2024. Ces attaques ciblent souvent les collaborateurs ayant accès à des données sensibles ou à des identifiants ouvrant l’accès à des référentiels de données. Les identifiants compromis ont contribué à 20 % des incidents — chacun représentant un accès non autorisé à des systèmes et données protégés par ces identifiants.

Les faiblesses organisationnelles à l’origine des violations de données

Les vecteurs d’attaque techniques n’expliquent qu’en partie pourquoi les industriels subissent des violations de données. L’étude Sophos a exploré pour la première fois les facteurs organisationnels, révélant que les victimes font généralement face à plusieurs défis interconnectés affectant à la fois la sécurité opérationnelle et la protection des données.

Le manque d’expertise arrive en tête, cité par 42,5 % des victimes. Les industriels peinent à attirer et retenir des talents en cybersécurité maîtrisant la protection des données. L’expertise spécifique requise pour sécuriser à la fois les environnements industriels et les données sensibles rend le recrutement encore plus difficile.

Des failles inconnues ont contribué à 41,6 % des attaques. Les organisations ignoraient que leurs défenses présentaient des faiblesses jusqu’à ce que les attaquants les découvrent. Ce point aveugle traduit un manque de cartographie des flux de données, des évaluations de risques insuffisantes et des lacunes dans la surveillance continue des accès et mouvements de données.

L’absence de protection a joué un rôle dans 41 % des incidents. Ces organisations reconnaissent ne pas disposer des outils et services de cybersécurité nécessaires — DLP, chiffrement, contrôles d’accès et outils de surveillance permettant à la fois de prévenir les violations et de prouver la conformité aux exigences de protection des données.

Risques liés à la supply chain

Les supply chains interconnectées de l’industrie créent une forte exposition à la sécurité des données. Les études sectorielles révèlent que 67 % des industriels citent le manque de visibilité de bout en bout comme principale préoccupation de gestion des risques tiers — un chiffre bien supérieur à la moyenne de 46 % tous secteurs confondus.

Ce déficit de visibilité a des conséquences directes sur la protection des données. Lorsqu’ils partagent des données avec des fournisseurs, partenaires ou logisticiens, les industriels perdent souvent la maîtrise de la façon dont ces données sont traitées, stockées et protégées. Selon le RGPD et de nombreux autres cadres, le responsable de traitement initial conserve la responsabilité de la protection des données, même lorsqu’elles sont transférées à des sous-traitants.

44 % des industriels s’inquiètent du manque de notification en temps réel des violations de la part de leurs partenaires — l’un des taux les plus élevés tous secteurs confondus. Lorsqu’un fournisseur subit une violation impliquant des données partagées, les industriels l’apprennent souvent trop tard pour respecter leurs propres obligations de notification ou protéger les personnes concernées.

33 % s’inquiètent des risques liés à l’IA chez leurs partenaires et des outils de machine learning susceptibles d’exposer les données échangées. À mesure que l’automatisation et l’intelligence artificielle se généralisent dans la supply chain, les pratiques de gestion des données chez les partenaires deviennent un enjeu direct de conformité. Les données partagées à des fins légitimes peuvent être intégrées dans des systèmes d’IA dont les pratiques de conservation et de protection restent floues.

26 % citent les lacunes de conformité de leurs partenaires comme une préoccupation prioritaire. Lorsque des partenaires ne respectent pas les exigences réglementaires, les industriels ayant partagé des données avec eux s’exposent à leur tour à des risques de conformité.

Préoccupations liées à la récupération et à l’intégrité des données

Seuls 91 % des industriels ayant eu des données chiffrées ont réussi à les récupérer — le taux le plus bas de tous les secteurs étudiés. Pour la protection des données, ce chiffre a des implications préoccupantes au-delà de l’impact opérationnel.

Les données non récupérées peuvent inclure des dossiers que les organisations sont légalement tenues de conserver. Les informations clients, dossiers financiers, données RH et historiques de transactions peuvent être soumis à des obligations de conservation réglementaires. Une perte définitive de données peut donc constituer une violation de conformité.

Même lorsque les données sont récupérées, des questions d’intégrité se posent. Les données ont-elles été modifiées avant chiffrement ? Les systèmes de sauvegarde ont-ils été compromis ? Les données restaurées sont-elles fiables pour le reporting réglementaire et la conformité ? Ces questions compliquent la gestion post-incident.

L’utilisation des sauvegardes est restée stable à 58 % des incidents où les organisations ont restauré les données chiffrées. Cependant, les pratiques de sauvegarde doivent répondre aux exigences de protection des données — chiffrement des supports, contrôles d’accès et politiques de conservation conformes aux obligations réglementaires.

La dimension conformité du paiement des rançons

La décision de payer une rançon implique des calculs complexes intégrant de plus en plus des considérations de conformité. 51 % des industriels ont payé une rançon en 2025, contre 62 % l’année précédente.

Les demandes de rançon moyennes ont diminué de 20 % sur un an, passant de 1,5 à 1,2 million de dollars. Les paiements effectifs moyens ont reculé de 1,2 à 1 million de dollars. Mais ces paiements comportent leurs propres risques de conformité.

Selon l’attaquant, le paiement d’une rançon peut enfreindre des réglementations sur les sanctions. L’Office of Foreign Assets Control (OFAC) du Trésor américain a publié des recommandations avertissant que le paiement de rançons à des entités ou juridictions sanctionnées peut entraîner des sanctions civiles. Les organisations doivent effectuer une due diligence avant tout paiement — une tâche difficile face à des criminels anonymes.

De plus, le paiement d’une rançon n’annule pas les obligations de notification en cas de violation. Les données exfiltrées avant chiffrement restent exposées, même si les clés de déchiffrement sont obtenues. Le paiement permet de restaurer l’accès opérationnel, mais il n’efface pas le vol de données ni les obligations de conformité qui en découlent.

Coûts de récupération au-delà de la rançon

Le coût moyen de récupération après une attaque par ransomware s’élève à 1,3 million de dollars pour les industriels, hors paiement de rançon. Ce chiffre inclut les arrêts d’activité, le temps du personnel, le remplacement d’équipements, la remise en état du réseau et la perte d’opportunités commerciales.

Ce montant ne couvre pas toujours l’ensemble des coûts liés à la conformité après un incident majeur : honoraires juridiques pour la gestion de crise, enquêtes forensiques pour déterminer l’étendue de l’exposition, coûts de notification des personnes concernées, services de surveillance de crédit, démarches auprès des régulateurs et éventuelles sanctions, ainsi qu’une surveillance accrue lors des audits.

La rapidité de récupération s’est nettement améliorée — 58 % des industriels ont récupéré en moins d’une semaine en 2025, contre 44 % en 2024. Une reprise plus rapide limite l’impact opérationnel, mais n’accélère pas les délais de conformité. Les notifications de violation, les dépôts réglementaires et la communication client suivent leur propre calendrier, indépendamment de la reprise opérationnelle.

Défaillances dans la gestion des risques tiers

Les défis de la sécurité des données dans l’industrie vont au-delà des attaques directes. La surface d’attaque étendue et distribuée de l’industrie englobe fournisseurs, opérations et systèmes anciens, créant des vulnérabilités à chaque point de connexion.

Les études sectorielles soulignent que les industriels sont fortement exposés aux attaques sur les infrastructures de formulaires — portails fournisseurs, systèmes d’enregistrement de garantie, formulaires RMA et formulaires intégrés sur des portails anciens. Chacun de ces systèmes collecte des données soumises à des exigences de protection.

L’infrastructure ancienne et la gestion décentralisée des systèmes de collecte de données constituent des risques majeurs. Les industriels manquent souvent de visibilité centralisée sur les données collectées, leurs flux internes et externes, et les protections appliquées à chaque étape.

Cette fragmentation complique à la fois la sécurité et la conformité. Impossible de protéger des données dont on ignore l’existence, et impossible de prouver la conformité pour des flux non cartographiés.

Construire des défenses centrées sur les données

L’étude Sophos met en avant quatre axes prioritaires pour aligner les investissements en sécurité sur les exigences de protection des données.

La prévention reste la défense la plus efficace. Les organisations qui stoppent les attaques évitent à la fois la perturbation opérationnelle et l’exposition des données. Cela implique de traiter la gestion des vulnérabilités, la sécurité des e-mails, la protection des identifiants et de combler les failles identifiées par l’étude. Du point de vue de la protection des données, empêcher l’accès non autorisé est toujours préférable à la détection et à la réponse après exposition.

La protection par une sécurité de base solide doit inclure des contrôles centrés sur les données. Le chiffrement des données sensibles au repos et en transit limite l’exposition même en cas de défaillance du périmètre. Des contrôles d’accès fondés sur le principe du moindre privilège réduisent la quantité de données accessibles en cas de compromission d’identifiants. Les outils de prévention des pertes de données permettent de détecter et de bloquer les tentatives d’exfiltration.

Les capacités de détection et de réponse déterminent la rapidité avec laquelle une organisation peut interrompre une attaque et limiter l’exposition des données. Une surveillance continue doit inclure le suivi des accès aux données — détection de requêtes inhabituelles, téléchargements massifs ou accès depuis des emplacements inattendus pouvant signaler un vol de données en cours.

La planification et la préparation doivent intégrer la gestion des violations de données en parallèle de la reprise opérationnelle. Les plans de réponse aux incidents doivent inclure l’évaluation de l’étendue de l’exposition, le déclenchement des procédures de notification, la préservation des preuves forensiques et la mobilisation de conseils juridiques. Les organisations doivent connaître leurs obligations de notification avant un incident — et non improviser en pleine crise.

Questions à se poser pour les responsables conformité et sécurité

Connaissons-nous les données sensibles que nous détenons et leur localisation ? Les lacunes de visibilité identifiées par l’étude rendent impossible à la fois la sécurité et la conformité. La classification et la cartographie des données doivent être des activités fondamentales.

Pouvons-nous détecter l’exfiltration de données, et pas seulement le chiffrement ? De nombreux outils se concentrent sur la détection de l’exécution du ransomware. Détecter le vol de données en cours — avant que les attaquants n’obtiennent ce qu’ils veulent — nécessite une surveillance des flux et des accès anormaux.

Quelles sont nos obligations de notification ? Différents types de données, différentes juridictions et différents contrats créent des obligations de notification variées. Les organisations doivent disposer de scénarios clairs pour les cas courants, avant qu’un incident ne survienne.

Comment gérons-nous la sécurité des données dans la supply chain ? La gestion des risques tiers impose des contrôles contractuels, des évaluations de sécurité et une surveillance continue des pratiques partenaires. Le niveau de préoccupation autour de la visibilité supply chain suggère que les approches actuelles sont insuffisantes.

Nos processus de sauvegarde et de récupération sont-ils conformes ? Les sauvegardes doivent être chiffrées, contrôlées en accès et conservées selon les exigences applicables. Les tests de restauration doivent valider à la fois la fonctionnalité opérationnelle et l’intégrité des données.

La surveillance réglementaire va s’intensifier

La position de l’industrie comme cible principale du ransomware attire l’attention des régulateurs. Lorsqu’un secteur connaît des défaillances de sécurité persistantes et généralisées, les autorités réagissent avec des priorités d’application et des exigences renforcées.

Les règles de divulgation de cybersécurité de la SEC concernent les industriels cotés en bourse. Les lois sur la confidentialité des données se multiplient, chacune avec ses propres exigences. Les régulateurs sectoriels dans l’automobile, l’aérospatiale et la défense durcissent leurs attentes en matière de sécurité. Les autorités internationales de protection des données enquêtent activement sur l’exposition des données à l’international.

Les organisations qui investissent de façon proactive dans la sécurité et la protection des données s’en sortiront mieux que celles qui voient la conformité comme une simple formalité. Les causes organisationnelles identifiées par l’étude — manque d’expertise, failles inconnues, protections insuffisantes — décrivent précisément les points que les régulateurs examineront lors d’incidents.

Et après ?

L’industrie restera une cible privilégiée du ransomware dans un avenir prévisible. La combinaison de la sensibilité opérationnelle et de la valeur des données attire toujours autant les attaquants. La complexité de la supply chain va s’accroître. Les exigences de protection des données vont se renforcer.

Les signaux encourageants de 2025 montrent que les investissements en sécurité portent leurs fruits. La baisse du taux de chiffrement, la rapidité de récupération et la diminution des paiements de rançon témoignent d’une meilleure résilience opérationnelle.

Mais la sécurité des données et la conformité nécessitent une attention accrue. Les taux élevés d’exfiltration, les lacunes de visibilité dans la supply chain et les faiblesses organisationnelles persistantes maintiennent une exposition que la reprise opérationnelle ne règle pas.

Pour les dirigeants industriels, l’étude est à la fois un avertissement et une feuille de route. Les attaques par ransomware ne sont pas de simples perturbations opérationnelles — ce sont des violations de données qui déclenchent des obligations légales, une surveillance réglementaire et des conséquences réputationnelles durables. Les organisations qui investissent dans la sécurité centrée sur les données, une réponse aux incidents intégrant la conformité et la gestion des risques supply chain seront mieux armées pour remplir leurs obligations opérationnelles et de protection des données.

Le coût de ces investissements, comparé à la dépense moyenne de 2,3 millions de dollars pour une attaque (paiement de rançon et récupération) — sans compter les sanctions réglementaires, la perte de clients et l’atteinte à la réputation — justifie pleinement la démarche. La sécurité des données et la conformité ne sont plus des préoccupations secondaires pour l’industrie : elles sont au cœur de la résilience opérationnelle et de la pérennité des entreprises.