Skip to main content
Marsh logo

Article

Cyberrisques dans le secteur manufacturier : gérer les menaces émergentes et renforcer la résilience

Cet article présente des renseignements tirés du deuxième webinaire d’une série trimestrielle consacrée aux risques émergents qui façonnent le secteur manufacturier et de l’automobile, avec des points de vue des dirigeants de Marsh.

04/23/2026 · Lecture de 7 minutes

Cet article présente des renseignements tirés du deuxième webinaire d’une série trimestrielle consacrée aux risques émergents qui façonnent le secteur manufacturier et de l’automobile, avec des points de vue des dirigeants de Marsh.

Série de webinaires sur les risques émergents dans les secteurs de la fabrication et de l'automobile

Inscrivez-vous dès aujourd'hui au prochain webinaire sur les risques émergents dans les secteurs de la fabrication et de l'automobile!

* Le webinaire est disponible uniquement en anglais.

S’inscrire ici

Le secteur manufacturier est depuis longtemps le pilier de l’économie mondiale, mais aujourd’hui, il fait face à un contexte de cybermenaces sans précédent et en constante évolution. Comme l’indique le rapport IBM X-Force 2026, le secteur manufacturier est un secteur hautement ciblé pour les cyberattaques, en raison de ses chaînes d’approvisionnement interconnectées, de sa propriété intellectuelle précieuse et de ses systèmes d’information et d’exploitation complexes.

Comme Falak Kothari, directeur du secteur manufacturier de Marsh Risk Canada, le mentionne : « Le secteur manufacturier est l’un des secteurs qui n’ont pas encore fait l’objet de règlementation en matière de cybersécurité, ce qui a entraîné un investissement plus lent dans le passé », contribuant ainsi à sa vulnérabilité.

Au fur et à mesure que les cyberrisques évoluent, ils ne se limitent plus aux systèmes isolés de technologies de l’information (TI). Au lieu de cela, ils brouillent de plus en plus les lignes entre les technologies de l’information et les technologies opérationnelles (TO), créant des vulnérabilités systémiques qui affectent les usines, les fournisseurs, les distributeurs et les clients, un effet observé avec les récents incidents impliquant de grands constructeurs automobiles.

Les enjeux sont élevés : les cyberincidents peuvent arrêter les chaînes de production pendant des semaines ou des mois, ce qui entraîne des pertes de millions ou même des milliards de dollars. Cette réalité exige une nouvelle approche axée sur les données pour la gestion des cyberrisques, qui intègre des contrôles robustes, une assurance complète et une préparation continue.

La complexité des cyberrisques dans le secteur manufacturier et l’essor de l’IA

Le profil de cyberrisques du secteur manufacturier est particulièrement complexe. Les silos traditionnels entre les TI et les TO se fragmentent, exposant les systèmes opérationnels à des menaces qui autrefois ne ciblaient que les réseaux d’entreprise. Les cyberattaques entraînent maintenant souvent des arrêts par « excès de prudence », où les organisations interrompent les opérations de façon proactive pour évaluer l’événement, même si les systèmes de TO ne sont pas directement compromis. Ces arrêts, bien que préventifs, peuvent eux-mêmes entraîner des pertes importantes.

Les vulnérabilités de la chaîne d’approvisionnement aggravent les risques. Les pirates exploitent les applications, y compris celles auxquelles les tiers ont accès, se déplaçant latéralement par l’intermédiaire de réseaux interconnectés pour obtenir l’accès.

Comme Matt Berninger, analyste principal en cyberrisques de Marsh, l’explique : « Les pirates savent qu’ils peuvent parcourir plusieurs réseaux pour accéder aux réseaux de victimes. » Il souligne en outre que « les rançongiciels reposent sur l’effet de levier; le secteur manufacturier est un secteur où l’effet de levier est important, où les temps d’arrêt sont longs et où les perturbations peuvent interrompre la production pendant de longues périodes, amplifiant ainsi les répercussions opérationnelles et financières et faisant de celle-ci une cible de premier plan pour les pirates. »

L’essor de l’IA amplifie davantage ces risques, les employés utilisant souvent des outils d’IA sans contrôles officiels, créant de nouvelles surfaces d’attaque. Matt émet également une mise en garde : « Les erreurs et les erreurs de configuration entraînent un nombre important de cyberévénements, en particulier à mesure que de plus en plus de systèmes se déplacent vers le nuage et intègrent l’IA. »

En outre, « les connexions de tiers entraînent plus d’événements de rançongiciel; les pirates atteignent un fournisseur central pour avoir accès à des milliers d’organisations simultanément », une tactique observée dans des campagnes de grande envergure comme Clop et MOVEit en 2023. Il ajoute, « la chaîne d’approvisionnement de l’identité est maintenant le principal moyen utilisé par les pirates pour s’introduire dans les systèmes, et non plus les logiciels malveillants », citant le rapport mondial de réponse aux incidents de 2026 de United 42 et soulignant l’évolution de la nature des vecteurs d’attaque.

Quantification des cyberrisques fondée sur les données : une base pour prendre des décisions éclairées

La gestion efficace des cyberrisques commence par la compréhension et la quantification des risques. Le Centre de renseignements sur les cyberrisques de Marsh tire parti d’un large éventail de sources de données, des rapports d’incidents publics aux réclamations d’assurance exclusives et à la surveillance du Web caché, pour créer un portrait complet des risques au moyen d’une solide gamme d’outils de quantification des cyberrisques.

Scott Stransky, directeur du Centre de renseignements sur les cyberrisques de Marsh, souligne un point de données saisissant : « Si votre organisation a été mentionnée sur le Web caché, vos risques de subir un sinistre lié aux cyberrisques sont plus que doublé, passant d’environ 1,9 % à près de 5 % au cours de la prochaine année. »

Les données publiques, bien qu’elles soient accessibles, sont souvent biaisées pour les grandes sociétés cotées en bourse et les régions anglophones. Toutefois, les données sur les réclamations d’assurance offrent un portrait plus objectif et détaillé des pertes réelles, ce qui permet une modélisation plus précise.

Par exemple, Falak souligne que « les rançongiciels et les pertes d’exploitation qui en résultent continuent d’être un des principaux facteurs de réclamation liée aux cyberrisques dans le secteur manufacturier ».  

L’outil d’autoévaluation des cyberrisques de Marsh est un point de départ pratique pour les constructeurs pour comparer leurs contrôles de cybersécurité, quantifier la réduction des risques et établir la priorité des investissements. En faisant correspondre les contrôles, comme l’authentification multifacteur et la formation sur la cybersécurité à la fréquence des incidents, les organisations peuvent répartir des budgets pour un rendement maximal sur l’investissement.

Les principaux contrôles de cybersécurité et leur incidence sur la réduction des risques

Les contrôles de cybersécurité ne sont pas tous égaux. Les données de Marsh révèlent que certains contrôles peuvent réduire considérablement la probabilité d’incidents. L’authentification multifactorielle, la détection et l’intervention aux points d’extrémité (EDR), le renforcement des réseaux et surtout la formation en cybersécurité se démarquent comme des mesures à incidence élevée.

Du côté des TO, l’importance d’un plan d’intervention en cas d’incident touchant les systèmes de contrôle industriel bien élaboré et rigoureusement testé ne peut être surestimée.

Selon Scott, « les cinq contrôles TO clés examinés dans une récente analyse de Marsh réduisent la probabilité d’incidents liés à la cybersécurité par des pourcentages à deux chiffres », démontrant les avantages concrets des contrôles ciblés.

Cela implique non seulement la rédaction d’un plan, mais aussi la réalisation d’exercices de simulation réguliers qui font appel à des équipes interfonctionnelles et à la haute direction pour simuler des scénarios réels et identifier les vulnérabilités avant qu’une cyberattaque ne se produise. Cependant, Liz Limjuco, directrice du secteur des cyberrisques de Marsh, souligne un écart important : « 29 % des organisations n’incluent pas la haute direction dans les exercices de simulation, ce qui cause un manque de planification et de préparation important » et « 19 % effectuent des exercices de simulation moins d’une fois par an », ce qui peut laisser les organisations mal préparées.

L’amélioration continue et la collaboration au sein des TI, des TO, de la gestion des risques et de la haute direction sont essentielles à l’établissement d’une posture résiliente en matière de défense contre les cyberrisques.

Le rôle croissant de la cyberassurance dans le secteur manufacturier

À mesure que les cybermenaces s’intensifient, de plus en plus de constructeurs se tournent vers la cyberassurance comme élément essentiel de leur stratégie de gestion des risques. Liz souligne une tendance claire : « Au cours des deux dernières années, nous avons constaté une augmentation de l’achat d’assurance dans le secteur manufacturier. » Cette augmentation est causée par l’augmentation des attaques par rançongiciel et les pertes d’exploitation coûteuses qu’elles causent.

Les polices de cyberassurance doivent être complètes, couvrant au minimum les TI, les TO et les technologies émergentes, ainsi que les pertes découlant d’un cyberincident. Plutôt que de considérer l’assurance comme un silo distinct, les constructeurs sont avisés de l’intégrer à leurs efforts plus étendus en matière de cybersécurité et d’atténuation des risques. L’assurance offre une protection financière qui complète les contrôles et la préparation, aidant les entreprises à gérer le coût total des cyberrisques. Selon Scott, certains clients ont même « embauché des actuaires pour créer leurs propres modèles de cyberrisques, en corrélant leur point de vue avec les données de Marsh », reflétant une approche sophistiquée de la quantification des risques.

Se préparer pour l’avenir : technologies émergentes et gestion continue des cyberrisques

En ce qui concerne l’avenir, les technologies émergentes, comme l’informatique quantique, présentent de nouveaux défis. Les ordinateurs quantiques menacent de compromettre les normes de chiffrement actuelles, ce qui met les données en transit à risque. Matt conseille aux constructeurs de « commencer par une meilleure visibilité et un meilleur inventaire des données que vous avez, de la façon dont vous les gérez et de la façon dont vous les transmettez ». La préparation aux normes cryptographiques postérieures à l’informatique quantique dès aujourd’hui facilitera la transition lorsque les menaces quantiques deviendront plus immédiates.

La gestion des cyberrisques n’est pas un projet ponctuel, mais un cheminement continu pour comprendre, mesurer et gérer efficacement les risques. Des exercices de simulation réguliers, impliquant la haute direction, sont essentiels au maintien de l’état de préparation. Toutefois, comme nous l’avons mentionné plus tôt, une grande partie des organisations exclut la haute direction de ces exercices, ce qui représente une occasion manquée de renforcer la résilience.

Un appel à l’action pour les dirigeants du secteur manufacturier

Compte tenu de la complexité du contexte des risques et de l’augmentation des cyberattaques ayant une incidence sur les constructeurs, Lisa souligne que « le moment est venu de jeter les bases ». 

Voici plusieurs façons dont les dirigeants du secteur manufacturier peuvent renforcer leurs défenses contre les cyberrisques :

Utilisez ces évaluations pour comparer vos contrôles, quantifier vos risques et établir la priorité de vos investissements en fonction de données.

Comprenez les dépendances de votre réseau élargi et intégrez-les à vos mesures de gestion des risques et vos exercices de simulation.

Faites participer les équipes interfonctionnelles et la haute direction à des exercices de simulation réguliers pour se préparer aux cyberincidents liés aux TO.

Vérifiez que votre police couvre les TI, les TO et les risques émergents, et mettez-la à jour au fur et à mesure que le contexte évolue.

Incluez les cadres dans les activités de préparation aux cyberrisques afin d’harmoniser la gestion des risques avec la stratégie d’affaires et la prise de décision.

Faites l’inventaire de vos données et restez informé des tendances émergentes afin d’atténuer les risques futurs.

En adoptant une approche holistique axée sur les données pour gérer les cyberrisques, vous pouvez mieux protéger vos activités et vos chaînes d’approvisionnement et assurer votre avenir dans un monde de plus en plus numérique.

Pour en savoir plus sur la protection de vos activités manufacturières contre les cybermenaces, communiquez avec un représentant de Marsh.

Communiquer avec nous

Webémission

Série de webinaires sur les risques émergents dans les secteurs de la fabrication et de l'automobile

Inscrivez-vous dès aujourd'hui au prochain webinaire sur les risques émergents dans les secteurs de la fabrication et de l'automobile!

*Le webinaire est disponible uniquement en anglais.

S’inscrire ici

Nos employés

Placeholder Image

Lisa Caldwell

Directrice commerciale du groupe d’expertise sur les secteurs manufacturiers et de l’automobile, États-Unis, Marsh Risques

Matthew Berninger

Matthew Berninger

Analyste principal en cyberrisques, Centre de renseignements sur les cyberrisques de Marsh McLennan, États-Unis

Scott Stransky

Scott Stransky

Administrateur délégué, chef du Centre de renseignements sur les cyberrisques de Marsh McLennan

Falak Kothari

Falak Kothari

Directeur du secteur manufacturier, Marsh Risques Canada

Communiquer avec nous

Remplissez le formulaire ci-dessous pour parler à un spécialiste de la protection de vos opérations de fabrication contre les cybermenaces.

Renseignements connexes

Production line of automobile plant, paint shop, conveyor. Finished product

Webcast

Cybermenaces dans le secteur manufacturier : perspectives, défis et solutions

03/13/2026
Corporate business team and manager in a meeting

Podcast

Balado Risque en contexte: Bâtir la résilience du secteur manufacturier dans un contexte d’accords commerciaux en évolution

02/10/2026
Cover of Marsh's report on Trade policy outlook for North American manufacturing — Preparing for the USMCA 2026 joint review

Report,Featured insight

Perspectives en matière de politique commerciale pour le secteur manufacturier de l’Amérique du Nord

09/12/2025
Production line for manufacturing of the car body in the car factory. Car factory. Car parts. Body factory. New body factory. Car body on line.

Article

Naviguer dans un paysage de risques en évolution : principales conclusions sur la gestion des risques dans les secteurs manufacturier et de la construction automobile

07/18/2025
En voir plus