Un mardi matin, 6h43
L'opérateur de la ligne de conditionnement remarque en premier. Les écrans de supervision sont noirs. Il redémarre le poste et rien. Il appelle le collègue à côté... même chose. En quelques minutes, c'est toute la ligne qui est à l'arrêt. Puis le réseau interne. Puis les postes administratifs. Sur chaque écran qui s'allume encore, le même message : vos fichiers ont été chiffrés. Une adresse email. Un délai de 72 heures.
Le CEO reçoit l'appel à 7h15. Il est encore dans sa voiture
Ce qu'il ne sait pas encore, c'est que les prochaines 72 heures ne seront pas les plus difficiles. Ce seront les 30 jours suivants.
Ce qui s'est passé dans les heures suivantes
La première décision est instinctive : couper tout ce qui peut encore être coupé. Réseau, accès distants, serveurs. L'environnement de production — les automates, les capteurs, les systèmes de supervision — était relié au réseau bureautique sans segmentation véritable. Une fois à l'intérieur, les attaquants avaient accès aux deux.
Arrêt total. Zéro production.
Vers 10h00, le Responsable IT comprend qu'il faut notifier. Ce que beaucoup de PME manufacturières ignorent : depuis l'entrée en vigueur de NIS2, les entreprises opérant dans des secteurs jugés critiques, dont une partie de l'industrie manufacturière, ont l'obligation légale de signaler un incident significatif à l'autorité compétente dans un délai de 72 heures. Pas pour se conformer à une formalité. Parce que ne pas le faire expose à des sanctions supplémentaires, au pire moment qui soit.
L'appel au principal client vient ensuite. La livraison prévue le jeudi ne partira pas. Le client, qui représente 30 % du chiffre d'affaires, pose la question directe : "Combien de temps ?". Personne ne peut répondre avec certitude.
En milieu d'après-midi, la mauvaise nouvelle suivante : les dernières sauvegardes complètes et exploitables datent de onze jours. Onze jours de données de production, de commandes, de traçabilité qualité perdus ou compromis.
Un prestataire externe spécialisé est contacté en urgence.
Sa disponibilité a un prix : trois fois le tarif habituel.
Le bilan, 30 jours plus tard
Les chiffres se stabilisent. Ils ne sont pas catastrophiques au sens spectaculaire du terme car l'entreprise n'a pas coulé. Mais ils font mal, durablement.
Le coût direct de l'incident (prestataire externe, remise en route des systèmes, heures mobilisées en interne, équipements remplacés) s'établit aux alentours de 90 000 euros.
Une fourchette représentative : selon le rapport Hiscox Cyber Readiness 2024, le coût médian d'un incident cyber pour une PME se situe entre 40 000 et 150 000 euros, hors impact commercial. Pour les entreprises manufacturières, dont les environnements de production sont exposés, ce chiffre tend vers le haut de la fourchette.
Le client principal a mis le contrat "en observation". Deux mois plus tard, il a sourcé un second fournisseur. La relation n'est pas rompue, mais elle ne sera plus jamais exclusive.
Dans le secteur, ça se sait. Les acheteurs parlent entre eux, surtout dans les filières resserrées comme la métallurgie ou l'agroalimentaire. Un autre grand compte, client depuis six ans, a saisi l'occasion pour envoyer un questionnaire de qualification revu : politique de sécurité de l'information, plan de continuité d'activité testé, registre des risques à jour. Délai de réponse initial : trois semaines. Faute de documentation structurée, la réponse a finalement pris six semaines et nécessité un audit sur site.
Le Responsable IT, lui, repart avec une liste d'actions. Une liste qu'il avait, en grande partie, depuis dix-huit mois.
Ce qui manquait et que personne n'avait formalisé
Ce n'est pas une histoire de négligence. Ni de budget inexistant. Ni d'incompétence.
C'est une histoire de visibilité.
Les droits d'accès des anciens prestataires n'avaient pas été révoqués — pas par oubli délibéré, mais parce qu'il n'existait pas de processus automatique pour les identifier et les signaler. La politique de sauvegarde était "en place" dans le sens où quelqu'un l'avait mise en place deux ans auparavant, mais personne ne vérifiait régulièrement qu'elle fonctionnait réellement. Le registre des actifs informatiques existait dans un fichier Excel partagé que trois personnes différentes avaient modifié à des moments différents, sans qu'aucune version ne fasse foi.
Et le plan de réponse aux incidents ? Il était là, dans un document Word sur le serveur. Jamais testé. Jamais mis à jour après la dernière réorganisation. Et surtout, aucun responsable n'avait été formellement désigné pour le faire vivre.
Ce dernier point mérite qu'on s'y arrête : NIS2 place explicitement la responsabilité de la gouvernance cyber sur les épaules des dirigeants et plus uniquement sur le Responsable IT. Les organes de direction sont tenus de superviser, approuver et être formés aux mesures de gestion des risques. Nous développons ce point dans notre article dédié à la responsabilité des dirigeants face à NIS2 (Lire l'article lié).
Ces angles morts n'étaient pas secrets. Ils étaient simplement invisibles, faute d'un système pour les rendre actionnables, les prioriser et les suivre dans le temps. C'est exactement la fonction d'une démarche GRC (Gouvernance, Risques, Conformité) bien intégrée dans le fonctionnement de l'entreprise. Ce n'est pas un audit annuel mais un système vivant et évolutif.
La différence entre réagir et avoir anticipé
À quelques centaines de kilomètres de là, une PME du même secteur a subi une tentative similaire, la même année. L'attaque a été détectée en moins de deux heures. Contenue en six. Les systèmes de production n'ont pas été touchés car le réseau OT était segmenté. Le client a été notifié de façon proactive avec un message clair et un délai de reprise garanti. La notification réglementaire a été envoyée dans les délais.
La différence ne tenait pas à la taille de l'équipe ni au budget sécurité. Elle tenait à trois choses concrètes, que cette entreprise avait mises en place avant l'incident:
Une visibilité permanente sur la gouvernance
Un tableau de bord centralisé permettait au Responsable IT et à la direction de voir, à tout moment, l'état réel de leur posture de sécurité :
- quels actifs étaient exposés,
- quels contrôles étaient en place,
- quels écarts restaient ouverts.
Pas une fois par an lors d'un audit. En continu.
Une préparation réelle aux interruptions
Le plan de continuité d'activité était un processus testé deux fois par an, avec des rôles clairs, des procédures de bascule documentées et des sauvegardes vérifiées régulièrement. Quand la production s'est arrêtée, chacun savait exactement quoi faire dans l'heure qui suivait.Un tableau de bord centralisé permettait au Responsable IT et à la direction de voir, à tout moment, l'état réel de leur posture de sécurité : quels actifs étaient exposés, quels contrôles étaient en place, quels écarts restaient ouverts. Pas une fois par an lors d'un audit. En continu.
Une capacité de réponse structurée aux attaques
Les étapes d'escalade, les contacts d'urgence, les décisions à prendre dans les premières 24 heures. Tout avait été défini à froid, avant la crise. Ce qui, dans l'entreprise voisine, avait pris des heures de tâtonnement a été exécuté en moins de deux heures.
Ce qui a rendu tout cela possible, c'est une solution GRC intégrée à leur ERP Odoo, qui rendait ces trois dimensions visibles, actionnables et traçables sans mobiliser des ressources dédiées au quotidien.
Quand l'incident s'est produit, la réponse n'a pas eu à être inventée. Elle a été exécutée.
Ce que cela vous dit sur votre propre situation
Ce scénario n'est pas rare. Il est simplement peu raconté, parce que les entreprises qui le vivent n'en font pas la publicité.
Ce qui l'est davantage, c'est la conviction que "ça n'arrive qu'aux autres" ou que "nous sommes trop petits pour être ciblés". Les chiffres disent le contraire : les PME industrielles représentent une cible croissante précisément parce qu'elles sont perçues comme moins protégées que les grands groupes, mais suffisamment connectées à des chaînes de valeur critiques pour être intéressantes.
La question n'est pas de savoir si votre entreprise sera confrontée un jour à un incident. C'est de savoir, lorsque ce jour arrivera, si vous saurez exactement quoi faire et si vous pourrez le prouver.
Chez Prism Technology, nous avons développé une solution GRC native sur Odoo, pensée pour les PME manufacturières qui veulent rendre leurs risques visibles et leurs réponses opérationnelles sans créer une nouvelle couche de complexité par-dessus leur ERP.
Disponible en SaaS, elle s'intègre directement dans votre environnement Odoo existant et vous donne, dès les premières semaines, la visibilité qui manquait.
Vous voulez voir à quoi cela ressemble dans votre environnement ?
Réservez une démo gratuite sur prismtech.be.