Étude VDMA cybersécurité : Protéger votre industrie en ligne

Q: Pourquoi les entreprises misent-elles davantage sur leurs propres ressources plutôt que sur des prestataires externes ?

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column width="1/2"][vc_column_text]La majorité des industriels prennent désormais en main leur sécurité informatique (IT) et opérationnelle (OT). Ainsi, 88 % des entreprises interrogées comptent sur leur personnel interne, contre seulement 12 % qui font appel à des prestataires externes. Contexte DACH : Dans les pays germanophones (Allemagne, Autriche, Suisse), les entreprises industrielles privilégient souvent l'internalisation des compétences en cybersécurité pour mieux contrôler leurs infrastructures critiques, conformément aux exigences réglementaires locales comme la loi allemande sur la sécurité des systèmes d'information (BSI-Gesetz).

30.04.2025

La cybersécurité des entreprises industrielles allemandes s’est améliorée, mais une étude du VDMA montre qu’il est encore trop tôt pour crier victoire. En effet, les menaces, notamment via l’ingénierie sociale et le phishing, continuent de croître.

Bildmotiv zu 61 % der Industrieunternehmen haben ein eigenes Risikomanagement etabliert – 2019 waren es erst 41 %. — 61 % der Industrieunternehmen haben ein eigenes Risikomanagement etabliert – 2019 waren es erst 41 %. Bildquelle: Adobe Stock/ AIExplosion

Le nombre d’attaques contre les entreprises allemandes du secteur de la construction mécanique et d’installations industrielles a considérablement augmenté depuis la dernière étude du VDMA en 2019. Pourtant, seulement 55 % des entreprises de ce secteur industriel déclarent subir des impacts négatifs, soit une baisse massive de près de 70 %. En effet, nombre des 75 entreprises industrielles interrogées, comptant plus de 250 salariés, semblent avoir fait leurs devoirs en développant des concepts de cybersécurité adaptés.

C’est l’un des résultats de l’étude « Industrial Security – 2025 », réalisée par la division Logiciels et Numérisation de l’Association allemande de la construction mécanique et industrielle (VDMA, Verband Deutscher Maschinen- und Anlagenbau) en collaboration avec le Fraunhofer AISEC. Parmi les entreprises interrogées, 45 % emploient plus de 1 000 salariés, tandis que 27 % comptent entre 251 et 1 000 employés. Presque toutes (96 %) disposent d’une production discrète propre.

Les PME affichent encore un retard important à combler

La récente étude révèle une tendance nette vers une meilleure cybersécurité dans le secteur de la construction mécanique et industrielle. Elle souligne cependant que les petites structures, en particulier, doivent encore progresser. « Certes, ces résultats marquent une avancée, mais ils ne justifient en aucun cas un relâchement. Les petites et moyennes entreprises (PME) ont besoin d’un accompagnement ciblé », insiste Maximilian Moser, expert en sécurité au sein de la division Logiciels et Numérisation du VDMA (Verband Deutscher Maschinen- und Anlagenbau – Fédération allemande de la construction mécanique et industrielle).

Comme le rapporte IT-Business, la majorité des industriels, quelle que soit leur taille, évaluent actuellement le niveau de menace comme « moyen ». Les risques les plus élevés se situent dans le domaine de l’ingénierie sociale et du phishing (3,4 sur une échelle de 0 à 5), suivis par les « erreurs humaines et actes de sabotage » (3,2) et les « vulnérabilités logicielles et matérielles dans la chaîne d’approvisionnement » (3,1).

Autrement dit, le facteur humain s’impose comme la principale faille de sécurité. Le VDMA recommande donc des formations adaptées, spécifiquement conçues pour les environnements de production, afin de renforcer la sensibilisation et les politiques de sécurité. L’objectif ? « Informer les collaborateurs sur les menaces et les former aux bons réflexes. »

Deux tiers des entreprises sont déjà concernées par des réglementations plus strictes, comme le Cyber Resilience Act (CRA) et la directive NIS2, qui visent à renforcer la cybersécurité au sein de l’Union européenne. Pourtant, ces exigences restent encore trop méconnues – et donc peu anticipées – par les petites et moyennes entreprises. Ainsi, 30 % des PME ignorent même si elles sont soumises à ces réglementations. En Allemagne, les référentiels de sécurité informatique les plus connus restent le BSI Grundschutz (cadre de protection de l’Office fédéral de la sécurité des technologies de l’information) et les normes ISO.

Plus d’autonomie, moins d’externes

La majorité des entreprises industrielles prennent désormais en main leur cybersécurité IT et OT. 88 % des entreprises interrogées misent sur leur propre personnel, contre seulement 12 % qui font appel à des prestataires externes. Dans le secteur de la production, le VDMA (Verband Deutscher Maschinen- und Anlagenbau – Fédération allemande de la construction mécanique et industrielle, ndlr) constate des progrès significatifs : 61 % des entreprises sondées disposent aujourd’hui d’une gestion des risques internalisée, contre 41 % en 2019. 9 entreprises sur 10 (89 %) estiment que le nombre d’incidents de cybersécurité restera stable ou augmentera dans les années à venir.

Laptop mit Schlüssel Icon — Der größte Risikofaktor bleibt der Mensch: Social Engineering und Phishing werden mit 3,4 von 5 als größte Bedrohung eingestuft. Bildquelle: Adobe Stock/ ภัทรชัย รัตนชัยวงค์

Seulement 45 % des participants à l’enquête évoquent désormais des répercussions négatives pour leur entreprise, contre 72 % en 2019. Toutefois, ces chiffres n’incluent pas la zone grise des incidents non déclarés par crainte d’atteinte à l’image.

Sécurité industrielle : mesures organisationnelles et techniques au cœur des priorités

Parmi les cinq principales mesures organisationnelles de sécurité, on retrouve les règles régissant les accès à distance pour les collaborateurs internes et les prestataires externes, citées respectivement par 88 % et 84 % des entreprises. S’y ajoutent les politiques encadrant l’utilisation des supports de stockage mobiles (69 %) et les droits d’accès aux machines et installations industrielles (27 %). Ces dernières incluent également les directives relatives à l’usage d’équipements tiers – ordinateurs ou smartphones – par les techniciens externes. Côté solutions techniques, 68 % des entreprises ont mis en place une séparation entre les réseaux bureautiques et les réseaux de production, ainsi qu’une surveillance des points de passage entre ces deux environnements. La surveillance des interconnexions entre sites distants et centre de contrôle arrive en deuxième position, avec 67 % d’adoption. L’isolation physique (air gap) des machines et installations reste moins répandue (48 %), bien qu’envisagée par 20 % des entreprises supplémentaires. La transparence des communications a été déployée par 36 % des acteurs industriels, tandis que 27 % prévoient de le faire. Enfin, la modernisation des applications héritées (protocoles, interfaces et technologies) accuse un retard plus marqué : 34 % des entreprises l’ont déjà intégrée à leur feuille de route, contre 36 % qui l’envisagent. Ces chiffres révèlent une réalité claire : l’industrie allemande a accompli des progrès significatifs en matière de cybersécurité, mais elle ne peut se permettre de relâcher ses efforts face à une menace en constante évolution. L’enjeu actuel consiste à consolider ce niveau de protection, tout en intégrant davantage les secteurs moins numérisés et les PME. Seules des investissements continus dans les infrastructures, les processus et, surtout, la formation des collaborateurs permettront de renforcer durablement la résilience face à des cyberattaques toujours plus sophistiquées.

Source de l’image d’en-tête : Adobe Stock / ProstoSvet

Pour aller plus loin

Sur le même sujet : D’autres articles sur SecurityToday

Questions fréquemment posées

Quels sont les enjeux majeurs pour les PME, où des lacunes persistent ?

L’étude révèle une nette tendance vers une meilleure cybersécurité dans le secteur de la construction mécanique et d’installations industrielles. Toutefois, elle souligne que les petites entreprises, en particulier, doivent encore progresser. « Certes, ces résultats marquent une avancée, mais ils ne justifient en aucun cas un relâchement. Les petites structures et celles qui… »

Pourquoi les entreprises misent-elles davantage sur leurs propres ressources plutôt que sur des prestataires externes ?

[/vc_column_text][/vc_column][/vc_row]

La majorité des industriels prennent désormais en main leur sécurité informatique (IT) et opérationnelle (OT). Ainsi, 88 % des entreprises interrogées comptent sur leur personnel interne, contre seulement 12 % qui font appel à des prestataires externes.

Contexte DACH : Dans les pays germanophones (Allemagne, Autriche, Suisse), les entreprises industrielles privilégient souvent l’internalisation des compétences en cybersécurité pour mieux contrôler leurs infrastructures critiques, conformément aux exigences réglementaires locales comme la loi allemande sur la sécurité des systèmes d’information (BSI-Gesetz).

Quelles mesures, organisationnelles et techniques, sont prioritaires pour les entreprises ?

Parmi les cinq principales mesures organisationnelles, on retrouve les règles d’accès à la maintenance à distance pour les employés et les prestataires externes (88 % et 84 %). S’y ajoutent les politiques d’utilisation des supports de stockage mobiles et les droits d’accès aux machines et installations (69 % et 27 %). Ces dernières…