Fabrication et NIS2 : convergence IT/OT sous haute surveillance

L'industrie manufacturière européenne entre en 2026 dans une nouvelle ère réglementaire. L'industrie manufacturière figure parmi les trois secteurs les plus ciblés par les cyberattaques, et NIS2 vient désormais poser un cadre contraignant pour les industriels français qui produisent des dispositifs médicaux, de l'électronique, des équipements électriques, des machines, des véhicules ou des matériels de transport. Ce secteur, classé en Annexe II (entités importantes), regroupe une grande diversité d'activités : constructeurs automobiles, équipementiers, aéronautique, défense, fabricants de matériel médical et ETI industrielles.

Périmètre : quelles entités du secteur fabrication sont concernées

Selon l'étude d'impact du gouvernement, environ 15 000 entités seront régulées en France par la directive NIS2 — un bond spectaculaire par rapport aux 500 opérateurs d'importance vitale sous NIS1. Le secteur fabrication concentre plusieurs milliers de ces nouvelles entités assujetties.

Sont principalement visés :

• Constructeurs automobiles : Stellantis, Renault, ainsi que les filiales et sites de production de plus de 50 salariés ou 10 millions d'euros de chiffre d'affaires
• Équipementiers : Forvia, Valeo, Faurecia, Plastic Omnium, producteurs de systèmes électroniques embarqués
• Industries aéronautiques et de défense : Airbus, Safran, Dassault Aviation, Thales, ainsi que leurs sous-traitants de rang 1 et 2 répondant aux critères de taille
• Fabricants de dispositifs médicaux : producteurs de matériel d'imagerie, prothèses, implants, dispositifs connectés
• Producteurs d'équipements électriques et électroniques : transformateurs, onduleurs, équipements d'automatisation, capteurs industriels, systèmes embarqués
• ETI manufacturières : dépassant les seuils de 50 salariés ou 10 M€ de CA annuel, opérant dans l'une des sous-catégories listées

Le critère de taille demeure déterminant : une entreprise est entité importante (Annexe II) si elle atteint ou dépasse ≥ 50 salariés OU ≥ 10 M€ de CA annuel OU ≥ 10 M€ de bilan. Certaines grandes entreprises peuvent basculer en entité essentielle si elles dépassent les seuils majorés (≥ 250 salariés OU CA ≥ 50 M€ OU bilan ≥ 43 M€), ce qui alourdit les obligations et multiplie les amendes par deux.

Cadre réglementaire : NIS2 et standards sectoriels

La directive européenne NIS2 (texte officiel) impose aux États membres de transposer ses dispositions en droit national. Le député Philippe Latombe a écrit au Premier ministre pour souligner l'urgence, la date évoquée étant celle de juillet 2026. La transposition française (Loi Résilience) est attendue au premier semestre 2026.

Pour le secteur fabrication, NIS2 s'ajoute — sans les remplacer — à plusieurs corpus normatifs existants :

• AS9100 (aéronautique) : exigences qualité et traçabilité des processus ; la cybersécurité y apparaît de manière croissante
• TISAX (automotive) : référentiel de sécurité de l'information de l'industrie automobile allemande, largement adopté en Europe
• IEC 62443 : norme internationale de cybersécurité pour les systèmes industriels et l'OT. Aujourd'hui reconnue comme standard horizontal par l'IEC depuis 2021, la norme IEC 62443 s'applique à plus de vingt secteurs industriels différents
• ISO 27001 : système de management de la sécurité de l'information, souvent exigé par les donneurs d'ordre

En pratique, un équipementier automobile devra concilier TISAX (exigé par ses clients), IEC 62443 (pour ses systèmes OT), ISO 27001 (pour son SI global) et désormais NIS2 (cadre réglementaire opposable avec sanctions publiques). Les industriels qui ont déjà structuré leur démarche sur IEC 62443 ou ISO 27001 disposeront d'une base solide pour NIS2, mais devront compléter par les exigences spécifiques de l'article 21 et la notification d'incidents sous 24/72h.

L'ANSSI a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS 2. Le ReCyF, diffusé à ce stade en tant que document de travail, correspond au référentiel de cybersécurité mentionné à l'article 14 du projet de loi Résilience. Ce référentiel facilitera l'alignement opérationnel et permettra aux entités qui l'appliquent de s'en prévaloir en cas de contrôle de l'ANSSI.

Spécificités cybersécurité : quand IT et OT convergent

Le secteur fabrication subit une convergence IT/OT qui démultiplie la surface d'attaque. L'année 2024 a vu une nette intensification des cyberattaques sur les environnements industriels, avec un intérêt grandissant pour les systèmes OT. L'interconnexion croissante entre IT et OT augmente la surface d'attaque, et l'obsolescence technologique de nombreux systèmes industriels, peu préparés aux menaces modernes, aggrave les risques.

Les risques propres à l'industrie manufacturière incluent :

• Arrêt de production : chaque jour d'interruption coûte entre plusieurs centaines de milliers et plusieurs millions d'euros. Les assureurs estiment le préjudice moyen à 1,4 million d'euros par incident pour une PME industrielle
• Exfiltration de propriété intellectuelle : plans 3D, process de fabrication, formules chimiques, recettes métallurgiques — le vol de savoir-faire industriel est un vecteur d'espionnage géopolitique et concurrentiel
• Compromission de la supply chain : un fournisseur de rang 2 piraté peut bloquer une chaîne entière pendant des semaines, comme l'illustre l'attaque Toyota en 2022
• Manipulation des processus : modifications subtiles dans les chaînes d'assemblage ou les traitements thermiques peuvent créer des défauts qualité indétectables à court terme mais catastrophiques en service (aéronautique, médical)

La directive NIS2 impose justement la maîtrise de la sécurité de la chaîne d'approvisionnement parmi les 10 mesures de l'article 21, un point sensible pour une industrie où la fragmentation des fournisseurs et la pression sur les coûts limitent traditionnellement la visibilité cybersécurité. Les donneurs d'ordre devront désormais cartographier, évaluer et documenter les risques cyber de leurs fournisseurs critiques, et s'assurer que ces derniers mettent en œuvre des mesures équivalentes.

Incidents marquants : quatre cas documentés (2022–2025)

Toyota / Kojima Industries — février-mars 2022

Toyota a dû arrêter l'ensemble de ses 28 lignes de production dans 14 usines au Japon. L'activité a redémarré le 2 mars, après qu'une attaque par ransomware ait visé Kojima Industries, fournisseur de pièces plastiques. Le groupe japonais a perdu environ 13 000 véhicules de production. Cet incident a mis en évidence la vulnérabilité des systèmes de commande just-in-time qui alimentent les chaînes d'assemblage automobile.

Jaguar Land Rover — août-septembre 2025

L'attaque a forcé un arrêt complet de production sur toutes les usines JLR dans le monde, durant plus d'un mois et coûtant environ 50 millions de livres par semaine. Le groupe Scattered Lapsus$ Hunters a revendiqué l'attaque, utilisant des techniques de social engineering sophistiquées incluant des campagnes de vishing pour tromper des employés. L'impact a cascadé à travers la supply chain de 104 000 travailleurs britanniques, les petits fournisseurs ayant dû licencier du personnel au fil de l'assèchement des paiements.

Volkswagen Group France — octobre 2025

Le ransomware Qilin a exfiltré 150 Go de données de Volkswagen Group France, incluant des informations sensibles de propriétaires de véhicules. L'incident a affecté la gestion des données clients et soulevé des préoccupations RGPD significatives dans un secteur déjà sous pression pour la protection de la vie privée des conducteurs.

Collins Aerospace — septembre 2025

Une attaque ransomware sur Collins Aerospace a perturbé les opérations dans plusieurs aéroports européens, exposant les vulnérabilités critiques de la supply chain. Équipementier majeur pour Airbus et Boeing, Collins illustre comment un maillon OT peut impacter l'ensemble d'une filière aéronautique.

Ces incidents confirment une tendance : La fabrication a absorbé une hausse de 56 % des attaques par ransomware à l'échelle mondiale en 2025, alimentée par le modèle RaaS (Ransomware-as-a-Service), les systèmes OT legacy et les chaînes d'approvisionnement fragmentées.

Mesures techniques prioritaires : focus sur quatre axes OT/IT

L'article 21 de la directive NIS2 impose dix catégories de mesures minimales. Quatre sont particulièrement structurantes pour la fabrication :

1. Analyse des risques et sécurité du SI (détail complet)

Les environnements industriels requièrent une classification des systèmes OT en classes de cybersécurité (méthode ANSSI). Définies par l'ANSSI, les quatre classes vont de l'impact faible (Classe 1) à l'impact fort (Classe 3), où les mesures de sécurité détaillées sont renforcées et il est recommandé de faire vérifier la conformité par un organisme qualifié. La norme IEC 62443 propose une approche similaire avec ses Security Levels (SL-1 à SL-4). L'inventaire précis des actifs OT (automates, SCADA, HMI, capteurs) et la cartographie des flux IT/OT sont les prérequis pour prioriser les mesures.

2. Sécurité de la chaîne d'approvisionnement (détail complet)

La directive oblige les entités essentielles et importantes à évaluer et documenter les risques cyber de leurs fournisseurs critiques. En pratique : cartographie des fournisseurs ayant accès au SI ou aux données sensibles, questionnaires de sécurité, clauses contractuelles imposant des standards minimaux (ISO 27001, SOC 2, IEC 62443 selon les cas), audits sur site pour les fournisseurs de rang 1 stratégiques. Les industriels devront également s'assurer de la résilience de leurs fournisseurs (plans de continuité, sites de secours, redondance géographique).

3. Gestion des incidents de sécurité (détail complet)

NIS2 impose une notification échelonnée : alerte précoce sous 24h, notification complète sous 72h, rapport final sous 1 mois. Les industriels doivent mettre en place une capacité de détection (EDR/XDR sur l'IT, NDR ou solutions ICS-spécifiques sur l'OT), un CSIRT interne ou externalisé, et des procédures d'escalade vers l'ANSSI via MonEspaceNIS2. Un incident impactant la production nécessite aussi la coordination avec les équipes sûreté et les autorités sectorielles (DGAC pour l'aéro, ANSM pour les dispositifs médicaux).

4. Continuité des activités et gestion de crise (détail complet)

Les arrêts de production coûtant cher, la directive impose : sauvegardes régulières (3-2-1 : trois copies, deux supports différents, une hors site), tests de restauration trimestriels ou semestriels, plan de reprise d'activité (PRA) avec objectifs RTO/RPO documentés, mode dégradé permettant de maintenir la production sur site de secours ou en capacité réduite. Pour l'OT, cela signifie sauvegardes des configurations d'automates (code PLC, paramétrage SCADA), réplication des bases de données historiques, et procédures de basculement vers un mode manuel si nécessaire.

Les six autres mesures (cyber-hygiène et formation, cryptographie, RH et contrôle d'accès, MFA et communications sécurisées, sécurité du développement, évaluation de l'efficacité) s'appliquent également pleinement, mais nécessitent une adaptation au contexte OT : le MFA doit fonctionner sur des terminaux industriels souvent sans connexion internet, le patching OT suit des fenêtres de maintenance longues (semestrielles), la formation inclut automaticiens et techniciens maintenance en plus des équipes IT.

Prestataires qualifiés ANSSI : quelles qualifications mobiliser

Les industriels concernés par NIS2 peuvent s'appuyer sur l'écosystème de prestataires qualifiés par l'ANSSI. Cinq qualifications sont particulièrement utiles dans le secteur fabrication :

• PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) : pour auditer la conformité aux 10 mesures NIS2, réaliser des tests d'intrusion sur les SI industriels (avec précautions OT), et vérifier la segmentation IT/OT
• PRIS (Prestataire de Réponse aux Incidents de Sécurité) : pour intervenir sur incident ransomware, analyser les compromissions, et orchestrer la reprise d'activité. Certains PRIS disposent de compétences OT/ICS spécifiques
• PDIS (Prestataire de Détection des Incidents de Sécurité) : pour opérer un SOC (Security Operations Center) avec supervision 24/7 des environnements IT et OT, détection comportementale sur protocoles industriels (Modbus, PROFINET, EtherNet/IP)
• PACS (Prestataire d'Accompagnement et de Conseil en Sécurité) : pour structurer la démarche NIS2 (gap analysis, roadmap, PSSI industrielle), animer des ateliers d'analyse de risques sur OT, et accompagner la mise en conformité IEC 62443
• SecNumCloud (cloud de confiance) : pour héberger les données industrielles sensibles (plans, formules, données qualité) dans un environnement qualifié ANSSI, avec réversibilité et souveraineté

L'annuaire officiel des prestataires qualifiés est disponible sur MesServicesCyber et régulièrement mis à jour. Le choix d'un prestataire qualifié — bien que non obligatoire — est fortement recommandé : il facilite la démonstration de conformité auprès de l'ANSSI et constitue une défense en cas d'incident (recours à l'état de l'art reconnu).

Pour aller plus loin sur les qualifications et leurs périmètres respectifs, consultez notre guide complet des prestataires NIS2.

Calendrier et prochaines étapes

La transposition française (Loi Résilience) est attendue au premier semestre 2026. Le député Philippe Latombe évoque la date de juillet 2026 pour l'inscription définitive du texte à l'ordre du jour. Les décrets d'application et le référentiel technique ANSSI sont prévus au second semestre 2026.

Chronologie prévisionnelle pour les industriels :

• Q2 2026 : promulgation de la Loi Résilience, publication du ReCyF définitif
• Q3–Q4 2026 : décrets d'application fixant les critères précis d'identification (seuils, sous-secteurs) et les modalités de notification
• 2027 : premières vagues de contrôles ANSSI, montée en puissance de la supervision
• 2027–2029 : période de transition progressive (jusqu'à 3 ans pour certaines catégories d'entités selon leur maturité)

L'ANSSI a ouvert le pré-enregistrement des entités concernées sur MonEspaceNIS2 depuis le 24 novembre 2025, afin que les dirigeants anticipent leurs obligations futures. Il est recommandé aux entités fabrication de :

1. S'identifier dès maintenant sur MonEspaceNIS2 pour recevoir les communications officielles et accéder aux guides sectoriels à venir
2. Réaliser un gap analysis NIS2 par rapport à l'existant (ISO 27001, TISAX, IEC 62443), idéalement avec l'appui d'un PACS qualifié
3. Cartographier les actifs OT : automates, SCADA, supervision, capteurs, réseaux industriels — en distinguant les niveaux Purdue (0 à 4)
4. Identifier les fournisseurs critiques : ceux qui, en cas de défaillance ou de compromission, bloqueraient la production ou exposeraient des données sensibles
5. Prévoir le budget : la mise en conformité NIS2 nécessite entre 12 et 24 mois selon la taille et la maturité. Les investissements portent sur la détection (EDR/XDR, NDR OT), la segmentation (pare-feu industriels, diodes), les sauvegardes, la formation, et l'accompagnement externe

Les sanctions prévues pour les entités importantes (Annexe II) atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial — un montant qui dépasse largement les investissements nécessaires pour se conformer. Au-delà de l'aspect réglementaire, la conformité NIS2 devient un argument commercial : les donneurs d'ordre exigent de plus en plus de leurs fournisseurs la preuve d'une démarche cybersécurité structurée.

Pour suivre l'actualité réglementaire, consultez régulièrement le portail ANSSI NIS2 et notre rubrique Qui est concerné par NIS2. Les secteurs connexes (Énergie, Transports, Infrastructure numérique) font face à des enjeux proches mais avec des régulateurs sectoriels différents ; la logique IT/OT demeure cependant commune.