Ransomware PME industrielle : scénario, coûts et recours 2026
19 jours d’arrêt de production, 280 000 € de coût total, un client grand compte perdu. Un ransomware dans une PME industrielle n’est pas qu’une crise informatique — c’est une crise de production, contractuelle et commerciale.
Scénario type : ransomware sur une PME industrielle
Ce scénario est une reconstitution basée sur des cas documentés en France entre 2022 et 2025. Les noms sont fictifs.
Mécanique Bourdin — 42 salariés, sous-traitant automobile, Franche-Comté. Lundi matin.
7h58 — Arnaud, comptable, ouvre un email de la « Direction des Achats » de leur principal donneur d’ordre lui demandant de valider un bon de commande joint en PDF. L’email semble crédible — il a reçu des centaines d’emails similaires. Il clique.
8h12 — Un malware s’installe silencieusement. Il identifie le réseau bureautique, trouve un accès au réseau OT via un poste de maintenance connecté aux deux réseaux.
8h47 — Le ransomware commence à chiffrer. Fichiers bureautiques, serveur ERP, puis les automates des 3 lignes de production. En 23 minutes, tout s’arrête.
9h04 — Message affiché sur tous les écrans et les IHM des automates : « Vos systèmes sont chiffrés. 85 000 € en bitcoin dans les 48h. »
9h15 — Le directeur de production appelle le donneur d’ordre pour expliquer que les livraisons de la semaine ne pourront pas être honorées. Les pénalités contractuelles s’accumulent : 3 500 € par jour de retard sur chacun des 4 contrats actifs.
Les 19 jours qui ont suivi
La reconstruction a pris 19 jours — bien plus que pour une PME de services — pour deux raisons spécifiques à l’industrie.
La remise en état des automates est complexe. Un automate chiffré ne se restaure pas comme un poste bureautique. Il faut identifier les configurations d’origine, les recharger, les recalibrer, et tester les lignes avant reprise de production. Le fabricant des automates a facturé 3 jours d’intervention.
La vérification de la qualité de production prend du temps. Avant de relancer la production en pleine cadence, il faut s’assurer qu’aucune configuration n’a été modifiée silencieusement avant le chiffrement — pour éviter de produire des pièces défectueuses qui passeraient les contrôles qualité initiaux.
Détail des coûts
Ce qu’un bon contrat aurait couvert
Prestataire spécialisé OT — un expert connaissant les automates industriels mandaté en quelques heures, pas en quelques jours.
Perte d’exploitation couverte — les 95 000 € de CA perdu indemnisés.
Pénalités contractuelles — couvertes si une extension spécifique avait été souscrite.
Frais de remise en état OT — les 18 000 € d’intervention fabricant inclus dans les frais de restauration.
La perte du contrat long terme avec le donneur d’ordre ne peut pas être indemnisée. L’impact réputationnel et la perte de confiance d’un client grand compte sont des conséquences réelles non assurables. C’est la vraie raison pour laquelle prévenir vaut mieux que guérir.
5 mesures qui auraient limité les dégâts
- Segmentation du réseau OT et du réseau bureautique — le malware n’aurait pas pu traverser vers les automates
- Sauvegarde des configurations automates hors réseau — restauration en quelques heures au lieu de 3 jours
- Formation du personnel comptable au phishing ciblé — le faux email du donneur d’ordre est le vecteur le plus classique
- Plan de continuité d’activité documenté — décisions prises à froid, pas dans l’urgence
- Contrat cyber avec couverture OT et pénalités contractuelles — 151 000 € couverts sur 280 000 €
Connaissez-vous tous les risques de votre PME ?
OT/IT, espionnage industriel, chaîne d’approvisionnement — état des lieux complet des cybermenaces industrielles.