Cyberattaque et arrêt de production : comment les équipes TO se rétablissent en 2026

• Quand les cyberincidents perturbent la production

• Ce que la récente attaque contre Stryker révèle sur la résilience des systèmes TO

• Pourquoi la restauration des systèmes TO est-elle encore trop lente dans de nombreux environnements

• À quoi ressemble concrètement une restauration TO efficace

• Comment garantir une restauration prévisible pour les sites TO

• Les priorités actuelles des responsables TO

• Comment Acronis Cyber Protect Local soutient les équipes industrielles

 Lors d'une cyberattaque, la production peut s'arrêter, même si l'API (automate programmable industriel) n'a pas été altérée. Lorsque les systèmes opérationnels tombent en panne, la fabrication, l'expédition et la coordination peuvent être rapidement perturbées. Cet article examine la restauration des technologies opérationnelles (TO) en 2026 et les stratégies que les équipes industrielles peuvent mettre en œuvre pour accélérer la restauration des systèmes essentiels.

Lorsque la production ralentit ou s'arrête à la suite d'un cyberincident, la perturbation commence rarement par la compromission d'un API. Le plus souvent, la perturbation commence au niveau des systèmes qui entourent le processus : une voie d'accès à distance qui tombe en panne, une application métier qui cesse de coordonner le travail, ou un serveur sur lequel les opérateurs et les ingénieurs s'appuient pour disposer d'une visibilité et d'un contrôle. Les conséquences se font rapidement sentir dans l'usine quand ces systèmes deviennent indisponibles. Les commandes s'arrêtent, les expéditions sont retardées, les équipes d'ingénierie perdent le contexte et les opérateurs se retrouvent sans les postes de travail et les systèmes de supervision sur lesquels ils s'appuient pour assurer le bon déroulement de la production en toute sécurité.

Cette distinction est importante dans le domaine TO : les interruptions d'activité ne commencent pas uniquement lorsqu'un contrôleur est directement affecté. Elles commencent lorsque les systèmes assurant la visibilité, la configuration, la coordination et la restauration ne sont plus disponibles. C'est pourquoi le débat sur les TO est passé de la seule prévention à une question plus concrète : à quelle vitesse les systèmes qui soutiennent la production peuvent-ils être restaurés, et avec quel degré de prévisibilité les opérations peuvent-elles retrouver un état sûr et stable ?

En mars 2026, Stryker a annoncé avoir subi une faille de cybersécurité qui avait affecté ses systèmes Microsoft internes. Selon Stryker, l'acteur malveillant a utilisé un fichier malicieux pour exécuter des commandes, ce qui lui a permis de dissimuler son activité au sein de ses systèmes et de perturber le traitement des commandes. Cet événement montre que le simple fait d'interférer avec les systèmes de production peut entraîner des retards importants au niveau de la production, de l'exécution des commandes et de la restauration des activités.

Des données plus larges montrent la même tendance. Par exemple, l'enquête SANS 2025 sur l'état de la sécurité ICS/TO a révélé que plus de 20 % des entreprises avaient subi un incident de cybersécurité au cours de l'année précédente, 40 % de ces incidents ayant entraîné des perturbations opérationnelles et près de 20 % ayant nécessité plus d'un mois pour être résolus. En février 2026, Dragos a fait état d'une augmentation annuelle de 49 % du nombre de groupes de ransomware ayant touché des entreprises industrielles en 2025, affectant 3 300 organisations dans le monde.

Alors que les organisations industrielles sont confrontées à des cybermenaces de plus en plus importantes, elles continuent de faire face à de longs délais de restauration en cas d'incident. Dans ces environnements industriels, la résilience se définit par la rapidité avec laquelle les systèmes essentiels peuvent être remis en service sans ajouter de risques opérationnels supplémentaires.

La plupart des sites industriels s'appuient sur des IHM, des historiques, des serveurs de support SCADA, des postes de travail d'ingénierie et d'autres systèmes Windows ou Linux qui fonctionnent de manière stable depuis des années, souvent sur des plateformes anciennes qu'il n'est pas possible de mettre à jour ou de remplacer facilement. Ces systèmes peuvent être fiables dans le cadre d'un fonctionnement normal, mais il est plus difficile de les sécuriser, de les restaurer ou de les reconfigurer que des ressources informatiques modernes sous pression. Les sites à distance, les segments isolés (« air-gapped »), les fenêtres de maintenance réduites et l'assistance informatique limitée sur site ralentissent encore davantage le processus. La restauration est par conséquent souvent retardée par les contraintes physiques et opérationnelles de l'environnement lui-même.

C'est également pour cette raison que de nombreuses hypothèses informatiques bien connues ne s'appliquent pas en usine. Dans le domaine de l'informatique, la reconstruction d'un terminal défaillant ou la réinstallation d'un serveur peut être gênante, mais reste gérable. Dans le domaine des TO, le même événement peut arrêter la production, perturber la visibilité des opérateurs et avoir des conséquences en aval sur la qualité, la livraison, la conformité et la sécurité. Les équipes industrielles ont donc besoin de processus de restauration qui fonctionnent dans les conditions réelles du site, et pas seulement dans le cadre de flux de travail informatiques centralisés. En pratique, cela signifie que les capacités de restauration doivent être conçues en fonction des réalités des environnements TO, notamment des systèmes existants, du support local limité et de la nécessité de rapidement restaurer les opérations sans introduire de risque opérationnel supplémentaire.

Pour les équipes TO, une préparation efficace ne se limite pas à disposer de sauvegardes quelque part. Cela signifie :

• Être en mesure de restaurer les systèmes Windows et Linux qui prennent en charge les couches de supervision et d'exploitation sans entraîner d'interruption d'activité supplémentaire dans le traitement.

• Disposer d'un plan de restauration lorsque du matériel de remplacement identique n'est plus disponible.

• Réduire la dépendance envers des experts en nombre limité, en particulier dans les sites à distance ou isolés (« air-gapped »), où le fait d'attendre l'intervention du service informatique central peut prolonger une panne bien au-delà de l'incident initial.

L'implémentation de solutions de restauration efficaces permet au personnel local d'intervenir rapidement, qu'il ait ou non accès à des spécialistes informatiques ou à des composants de remplacement. La possibilité de restaurer les systèmes sur le matériel disponible permet de réduire les interruptions d'activité opérationnelles et d'assurer la continuité des activités. Cette adaptabilité est particulièrement cruciale dans les installations dotées d'une infrastructure plus ancienne, où les méthodes de restauration conventionnelles peuvent s'avérer insuffisantes et où une intervention rapide est essentielle pour maintenir une production ininterrompue.

Les conditions du site déterminent la bonne procédure de restauration. Dans les environnements à distances, isolés (« air-gapped ») ou en sous-effectif, attendre l'intervention du service informatique central peut ajouter des heures, voire des jours, à la durée de la restauration. C'est pourquoi les équipes TO ont, dès le début d'une perturbation, besoin de bien plus qu'une procédure de restauration générique. Elles ont besoin de procédures de restauration prédéfinies, adaptées aux modes de défaillance les plus courants et validées au préalable dans des conditions réelles sur site :

Lorsque le problème se limite à un petit nombre de fichiers supprimés ou corrompus, l'option la moins perturbatrice consiste, en règle générale, à ne restaurer que les éléments concernés plutôt que de reconstruire l'ensemble du poste de travail ou du serveur. Dans le domaine des TO, il peut s'agir de fichiers de projet, de fichiers de configuration, de rapports ou d'autres artefacts nécessaires pour rétablir le fonctionnement normal d'un système, sans apporter de modifications inutiles à un environnement stable.

La restauration vers un point de restauration validé constitue souvent l'option la moins risquée si le système démarre toujours, mais qu'un correctif, une mise à jour du fournisseur ou une modification de la configuration a déstabilisé la pile d'applications. L'objectif n'est pas simplement d'annuler une modification, mais de rétablir le poste de travail ou le serveur dans un état de fonctionnement connu et fiable, auquel les opérateurs et les ingénieurs peuvent se fier.

La restauration au niveau des fichiers ne suffit plus lorsqu'une machine ne démarre pas du fait d'une défaillance du disque, d'une corruption du système d'exploitation ou de l'action d'un ransomware. Dans ces cas-là, les équipes TO ont besoin d'une restauration à partir d'une image, à l'aide d'un support de secours, afin que l'ensemble du système, y compris le système d'exploitation, les applications, les pilotes et les données, puisse être restauré dans un état de fonctionnement connu, sans reconstruction manuelle.

Dans les environnements industriels, il est fréquent qu'aucun matériel de remplacement identique ne soit disponible au moment où une machine existante tombe en panne. La restauration sur du matériel différent permet aux équipes de restaurer un système protégé sur du matériel de remplacement et de remettre en service les applications existantes sans avoir à attendre qu'un matériel identique soit disponible.

Dans les usines isolées, les sous-stations, les installations en mer et d'autres environnements où les équipes informatiques ne peuvent pas se rendre rapidement sur site, la restauration locale guidée peut considérablement réduire les temps d'interruption d'activité.

Le processus de restauration ne doit pas, après un incident malveillant, commencer par une restauration en aveugle. Avant la restauration, les équipes TO doivent valider et analyser les sauvegardes afin de réduire le risque de remettre en service une image compromise, en particulier lorsque le système concerné prend en charge la visibilité, la configuration ou la coordination de l'installation.

Lorsque la virtualisation est déjà autorisée et acceptée sur le plan opérationnel, une machine virtuelle de secours peut permettre de rétablir le service plus rapidement, pendant que le système principal est restauré et validé conformément aux procédures du site. Elle peut s'avérer utile lorsque la continuité du service est la priorité immédiate.

La simple existence de sauvegardes ne suffit pas à prouver la capacité de restauration. Les équipes TO ont également besoin de contrôles d'intégrité, d'une vérification de la capacité de démarrage et d'une validation de restauration documentée afin de savoir que le système peut être restauré conformément aux exigences opérationnelles en cas de panne.

Dans les environnements industriels, la préparation à la restauration doit être considérée comme un cadre de décision opérationnelle plutôt que comme une simple capacité technique. Les équipes doivent au préalable déterminer le chemin de restauration applicable en cas de perte de fichiers, d'échec de mise à jour, de systèmes non démarrables, de matériel obsolète, de pannes sur des sites à distance et d'incidents liés à des malwares, puis les valider dans des conditions réelles sur site. La restauration après sinistre passe ainsi d'une simple stratégie de sauvegarde à une capacité démontrée à restaurer les systèmes qui soutiennent la production, de manière sûre, prévisible et conforme aux exigences opérationnelles.

Il est essentiel de s'assurer que les procédures de restauration pour les postes de travail d'ingénierie, les IHM, les historiques, les serveurs de support SCADA et les postes opérateur sont efficaces dans les conditions réelles de l'usine. Les mesures de protection doivent être mises en œuvre sans interrompre la production, testées au moyen de scénarios de restauration réalistes et validées dans le contexte d'un matériel informatique ancien, de réseaux segmentés et de ressources informatiques locales limitées. Les équipes doivent non seulement confirmer l'existence de sauvegardes, mais aussi s'assurer que les processus de restauration peuvent être lancés rapidement, localement et de manière fiable en cas de panne.

Dans les environnements industriels, la cyberrésilience est fondamentalement liée à la restauration des opérations. Les entreprises qui considèrent la préparation à la restauration comme une nécessité opérationnelle parviendront à effectuer la restauration le plus rapidement possible et à réduire au minimum les perturbations.

Acronis aide les entreprises industrielles à disposer d'un moyen pratique et validé de restaurer les systèmes qui permettent de maintenir la visibilité, la gestion et le fonctionnement des opérations.

Acronis Cyber Protect Local est conçu pour répondre aux contraintes auxquelles sont confrontées les équipes industrielles. Acronis prend en charge les plateformes Windows et Linux héritées qui restent courantes dans le domaine TO, y compris les systèmes datant de l'ère XP, et la solution est conçue pour fonctionner dans des environnements isolés (« air-gapped ») et à ressources limitées, où les processus de restauration informatique classiques sont souvent trop lents ou trop intrusifs. Acronis Cyber Protect Local effectue par ailleurs des opérations de sauvegarde sans nécessiter d'interruptions programmées, ce qui est essentiel dans les usines où la mise hors service des systèmes peut elle-même entraîner un risque opérationnel.

Acronis Cyber Protect pour TO prend en charge les différentes méthodes de restauration dont les équipes industrielles ont besoin dans la pratique. Acronis Cyber Protect pour TO peut restaurer des fichiers individuels lorsque seules des données limitées sont affectées, restaurer des systèmes à un point validé après une mise à jour ayant échoué ou une mauvaise configuration, effectuer une restauration complète basée sur une image ou une restauration sur système nu lorsqu'une machine ne démarre pas, et restaurer des systèmes sur du matériel de remplacement grâce à la fonctionnalité Universal Restore lorsque l'ancien matériel identique n'est plus disponible. Sur les sites à distance ou en sous-effectif, la restauration en un clic permet au personnel local formé de commencer à restaurer les systèmes en panne sans attendre l'intervention du service informatique central.

Acronis associe la sauvegarde et la restauration à des fonctionnalités de protection contre les malwares et à d'autres fonctionnalités de sécurité connexes, ce qui permet d'analyser et de valider les sauvegardes avant la restauration afin que les équipes puissent réduire le risque de réintroduire des images compromises à la suite d'un incident lié à un malware. Au-delà de la restauration, la solution peut offrir une visibilité centralisée, des fonctionnalités liées à l'inventaire et aux vulnérabilités, ainsi que des preuves judiciaires issues des sauvegardes afin de faciliter l'analyse après un incident et de répondre aux exigences de conformité.

Acronis Cyber Protect Local est une plateforme de résilience concentrée sur la restauration, conçue pour aider les équipes industrielles à restaurer les systèmes qui soutiennent la production de manière sûre, prévisible et avec moins de perturbations opérationnelles.