Le scénario terrain

Un lundi matin, 6h30. L’équipe de production lance la première ligne d’emballage. Tout est prêt : matières premières, opérateurs, planning de commandes. Sauf qu’aucune étiquette ne sort. L’imprimante d’étiquettes, celle qui imprime les DLC, les numéros de lot, les informations de traçabilité obligatoires, est bloquée. Le PC qui la pilote affiche un écran figé. Et sans étiquettes conformes, aucun produit ne peut être expédié. La chaîne est à l’arrêt.

Ce scénario n’a rien d’exceptionnel. Dans l’agroalimentaire, l’étiquetage est un point de passage obligatoire. Les réglementations européennes imposent une traçabilité complète : DLC, numéro de lot, allergènes, origine. Sans étiquette conforme, le produit ne peut pas quitter l’usine. L’imprimante d’étiquettes n’est pas un périphérique anodin. C’est un équipement critique de la chaîne de production.

Le PC oublié de la cybersécurité

Et c’est là que le sujet cyber entre en jeu. Le PC qui pilote cette imprimante, on le connaît bien dans l’industrie. C’est souvent un poste sous Windows 7 ou Windows 10 jamais mis à jour, installé il y a cinq ou dix ans par l’intégrateur de la ligne. Il est sur le réseau de production, parfois même sur le réseau bureautique par facilité. Il n’a pas d’EDR, pas d’antivirus à jour, pas de politique de patching. Et personne ne s’en occupe côté IT parce que c’est du ressort de la production ou de la maintenance.

En 2025, les vulnérabilités affectant les imprimantes se sont multipliées. Plus de 750 modèles d’imprimantes Brother, Fujifilm et Toshiba ont été ciblés par des exploits actifs depuis juillet 2025. Canon a publié un correctif critique pour la CVE-2025-1268 permettant l’exécution de code arbitraire via ses pilotes. Les vulnérabilités du Print Spooler Windows continuent d’être exploitées année après année.

Le résultat, c’est un cocktail explosif : un PC non protégé connecté au réseau, avec un système obsolète, pilotant un équipement critique sans lequel la production s’arrête. C’est exactement le type de cible que les ransomwares adorent.

Pourquoi l’agroalimentaire est particulièrement exposé ?

L’industrie agroalimentaire combine plusieurs facteurs aggravants. La contrainte de temps est absolue : les produits frais n’attendent pas. Un arrêt de production de quelques heures peut signifier des tonnes de matières premières perdues, des commandes non honorées, des pénalités de la grande distribution.

L’agro est devenue une cible prioritaire des cyberattaquants. Le Food and Ag-ISAC a recensé 84 attaques ransomware significatives entre février et avril 2025. Les attaques sur Marks & Spencer et Co-op au Royaume-Uni ont montré que même les grands acteurs sont vulnérables, avec des rayons vides et des commandes en ligne gelées. La directive NIS2 place désormais une grande partie du secteur dans les entités essentielles ou importantes, avec des obligations de sécurité renforcées.

Et le maillon faible, c’est souvent ce PC d’atelier que tout le monde a oublié. L’attaquant ne vise pas forcément l’ERP ou le SCADA. Il vise le point d’entrée le plus facile. Et un PC sans EDR sur le réseau de production, c’est une porte ouverte.

Plan d’action : 5 mesures concrètes et proportionnées

Le sujet des PC industriels sans EDR ne se règle pas avec un projet de transformation à six mois. Il faut des mesures pragmatiques, applicables rapidement, sans perturber la production. Voici ce que nous avons mis en place.

1. Inventaire et cartographie des postes OT exposés

Première étape indispensable : savoir exactement combien de PC non gérés par l’IT existent dans les ateliers, ce qu’ils pilotent, sur quel réseau ils sont connectés, quelle version de Windows ils exécutent. Dans notre cas, nous avons découvert 14 postes « fantômes » répartis sur trois sites de production. Certains étaient encore sous Windows 7. L’inventaire a été réalisé conjointement avec les responsables de production et la maintenance, car ces postes ne figuraient dans aucun référentiel IT.

2. Segmentation réseau immédiate

Action prioritaire : isoler ces PC du réseau bureautique. Un PC d’atelier qui pilote une imprimante d’étiquettes n’a aucune raison d’avoir accès à Internet ou au réseau d’entreprise. Nous avons mis en place des VLAN dédiés par ligne de production avec des règles de firewall strictes. Le PC ne communique qu’avec l’imprimante et le serveur de données d’étiquetage. Rien d’autre.

3. Déploiement d’un EDR compatible OT

Contrairement à une idée reçue, il existe désormais des EDR capables de fonctionner sur des postes industriels, y compris sous Windows 7 ou XP. Des solutions comme FortiEDR ou TEHTRIS supportent les systèmes legacy avec une empreinte légère qui ne perturbe pas les processus de production. Le déploiement se fait poste par poste, en coordination avec la production, sur des créneaux de maintenance planifiés.

4. Mise en place d’un plan de continuité d’étiquetage

Un RSSI qui connaît le terrain sait qu’on ne peut pas promettre le risque zéro. Il faut donc un plan B. Nous avons mis en place un dispositif de secours : une imprimante d’étiquettes autonome préconfigurée, avec un PC de backup isolé et des modèles d’étiquettes prêt à l’emploi. En cas de compromission du poste principal, la production peut basculer en moins de 15 minutes.

5. Intégration de l’OT dans la gouvernance cyber

Dernière mesure, et la plus structurante sur le long terme : intégrer officiellement les équipements OT dans le périmètre de la cybersécurité. Les PC d’atelier doivent figurer dans le référentiel des actifs, avoir un responsable identifié, être inclus dans les campagnes de patching et les audits de sécurité. La directive NIS2 l’exige désormais explicitement pour les entités du secteur agroalimentaire.

Ce qu’il faut retenir

Une imprimante d’étiquettes n’est pas un gadget. Dans l’agroalimentaire, c’est un équipement critique dont dépend la capacité à expédier. Et le PC qui la pilote est souvent le maillon le plus faible de toute l’infrastructure. Sans EDR, sans patching, sans segmentation, c’est une invitation ouverte pour n’importe quel attaquant.

Le sujet n’est pas technique, il est organisationnel. C’est la zone grise entre l’IT et la production qui crée le risque. Tant que ces postes restent dans l’angle mort de la cybersécurité, ils resteront la cible la plus facile pour arrêter une usine.

Vous voyez un post LinkedIn sur le sujet , n’hésitez pas et partagez cet article en commentaire !

Partager