En 2024, j’ai rencontré Mark Yampolskiy, professeur agrégé d’informatique et de génie logiciel à l’université d’Auburn, et expert reconnu des questions de cybersécurité dans le domaine de la fabrication additive (FA). Notre discussion s’inscrivait dans le cadre d’un effort plus large visant à comprendre les risques croissants en matière de cybersécurité auxquels sont confrontés les flux de travail de FA, à un moment où il contribuait également au groupe de travail d’ASTM International sur les lignes directrices pour la sécurité de la fabrication additive.
À l’époque, cette conversation avait principalement pour but de sensibiliser le public. Nous avons exploré différents scénarios dans lesquels des risques liés à la cybersécurité spécifiques à la FA pouvaient apparaître, sans vraiment savoir quelles solutions concrètes les fabricants pouvaient mettre en œuvre.
Aujourd’hui, la pression des gouvernements, l’évolution des cadres politiques et les pratiques d’approvisionnement de la défense ont fondamentalement changé la donne. La cybersécurité est passée d’une préoccupation secondaire à un critère de sélection pour les fournisseurs impliqués dans les programmes aérospatiaux et de défense, en particulier lorsque la fabrication numérique et additive est en jeu.
Ce changement recentre le débat. La question n’est plus de savoir si la cybersécurité est importante, mais où exactement elle est importante dans la chaîne de valeur de la FA, et quelles solutions peuvent être mises en œuvre de manière réaliste dans les environnements de fabrication aérospatiale et de défense.
Parmi les entreprises qui se positionnent dans ce domaine figure Materialise. Bart Van der Schueren et Kyle Adriany ont pris 50 minutes de leur temps de travail mercredi pour nous aider à comprendre pourquoi la cybersécurité est devenue incontournable pour l’industrie aérospatiale et de la défense, et comment leur plateforme de sécurité et d’assurance qualité de la chaîne d’approvisionnement numérique est au cœur de cette transformation.
Comment la réglementation a discrètement changé les règles du jeu
Il convient de souligner que la cybersécurité, en tant que critère d’éligibilité, n’est plus facultative. Aux États-Unis comme en Europe, elle est désormais inscrite dans la loi.
L’exemple le plus récent est la loi américaine sur l’autorisation de la défense nationale (NDAA), promulguée en décembre 2025 et précédemment couverte par 3D ADEPT Media. Cette législation introduit explicitement des exigences en matière de sécurité, de contrôle des logiciels, de souveraineté des données et de qualification pour l’utilisation de la fabrication additive par le ministère américain de la Défense. Elle traite également de la manière dont les systèmes de FA, y compris leurs composants numériques et logiciels, sont approvisionnés et approuvés.
En Europe, un changement similaire est en cours. La loi européenne sur la cyber-résilience (CRA) établit des exigences en matière de cybersécurité pour les produits comportant des éléments numériques, y compris le matériel et les logiciels, et impose des pratiques de sécurité documentées ainsi que la notification des incidents.
Même si ces règles ne sont pas explicitement formulées comme des « exigences des programmes aérospatiaux et de défense », elles relèvent effectivement le niveau de base de cybersécurité que les fournisseurs européens doivent respecter pour rester conformes.
Pour les grands acteurs de l’aérospatiale et les organismes d’approvisionnement de la défense opérant dans l’UE ou travaillant avec des partenaires européens, la conformité à ces réglementations devient donc une condition préalable pratique à la prise en compte des fournisseurs.
Au-delà d’une simple liste de contrôle de conformité, ces cadres législatifs poussent les entreprises du secteur de l’aérospatiale et de la défense, ainsi que leurs fournisseurs, à réfléchir plus profondément à ce que signifie réellement la cybersécurité dans leur activité : comment elle interfère avec leurs opérations de fabrication, leurs flux de travail numériques et les exigences auxquelles ils doivent satisfaire.
Définir la cybersécurité dans la FA, sans jargon
Lorsqu’on considère que la fabrication additive est encore une technologie relativement jeune et complexe, qui réinvente constamment ses propres règles, on se rend vite compte que pour comprendre la cybersécurité dans la FA, il n’est pas nécessaire de consulter le dictionnaire Oxford. Il suffit d’observer comment la FA est réellement utilisée, partagée et mise à l’échelle dans le monde réel.
Comme le dit Bart Van der Schueren, « Tout dépend de la façon dont nous définissons la cybersécurité dans le contexte de la fabrication additive. Je vois deux risques principaux, qui sont spécifiques à la FA et non à la fabrication en général. »
Ces risques peuvent être résumés comme suit : accès non autorisé et utilisation non autorisée. Il explique :
– Le premier risque (accès non autorisé) est le plus évident. Si une entreprise est piratée et que des données critiques sont volées, des pièces sensibles destinées à l’aérospatiale ou à la défense pourraient se retrouver entre de mauvaises mains. « C’est quelque chose que nous voulons absolument éviter », souligne-t-il.
– Le deuxième risque (utilisation non autorisée) est étroitement lié au premier, même s’il n’est pas toujours qualifié de cyber-sécurité. La fabrication additive repose sur des matériaux et des données numériques extrêmement sensibles, en particulier dans les applications de défense et spatiales.
Du point de vue du propriétaire de la propriété intellectuelle, le problème n’est pas seulement le vol, mais aussi l’utilisation abusive. Un composant peut être autorisé à être imprimé une seule fois, mais rien ne l’empêche techniquement d’être imprimé cent fois et vendu par un canal parallèle.
Van der Schueren souligne également une autre dimension souvent négligée de ce risque : la fabrication incorrecte. Il fait référence à un cas rapporté dans la presse dans lequel un petit avion au Royaume-Uni s’est écrasé au décollage.
Hypothétiquement, si la prise d’air utilisée dans cet avion avait été conçue pour être fabriquée dans un matériau résistant à la chaleur en raison de sa proximité avec le moteur, l’impression de ce même modèle en PLA aurait fondamentalement compromis ses performances.
C’est essentiellement ce qui s’est produit : la pièce s’est ramollie sous l’effet de la chaleur, s’est effondrée, le flux d’air a été interrompu et le moteur est tombé en panne.
« Pour un propriétaire de propriété intellectuelle, explique-t-il, l’objectif est de s’assurer que lorsque des actifs numériques sont partagés, la pièce est produite exactement comme elle a été conçue : avec le bon matériau, la bonne machine et la bonne orientation. La protection de la propriété intellectuelle ne consiste pas seulement à prévenir le vol. Il s’agit également de s’assurer que la pièce fonctionne exactement comme prévu. »
Cela dit, la cybersécurité dans la fabrication additive va bien au-delà de la protection de la propriété intellectuelle.
Comme l’explique Kyle Adriany, « la création de propriété intellectuelle nécessite d’énormes efforts, de la conception des pièces à la création des fichiers de construction et des paramètres des machines. Il est donc naturel de vouloir protéger cette propriété intellectuelle.
Vous ne voulez pas qu’elle soit divulguée, et vous ne voulez certainement pas qu’elle soit modifiée. Mais au-delà de la propriété, ce qui importe vraiment, c’est que votre intention initiale soit respectée tout au long du cycle de vie de la pièce : qu’elle soit imprimée correctement, en utilisant le bon matériau, et même entretenue de la bonne manière. »
Il y a également une autre dimension à prendre en compte. Les cyberattaques ne visent pas toujours à voler des données.
« Dans certains cas récents, comme l’attaque contre Jaguar Land Rover, l’objectif semblait être de perturber la production », ajoute Adriany. « Mettre les machines hors ligne, corrompre les fichiers ou rendre les systèmes inutilisables. À mesure que la fabrication additive passe d’environnements contrôlés à des chaînes d’approvisionnement distribuées, cela élargit considérablement la surface d’attaque. »
Le cyber-risque au cœur de la chaîne d’approvisionnement A&D
Ce n’est un secret pour personne que la chaîne d’approvisionnement de l’aérospatiale et de la défense (A&D) connaît actuellement une profonde mutation. Longtemps dominée par des modèles de production centralisés et étroitement contrôlés, elle est de plus en plus décentralisée et régionalisée, sous l’effet des tensions géopolitiques, des goulets d’étranglement logistiques et de la nécessité de fabriquer des pièces à proximité des lieux où les actifs sont déployés.
Si cette évolution améliore la résilience et la réactivité, elle introduit également de nouvelles vulnérabilités. À mesure que la production s’oriente vers des modèles de fabrication additive plus distribués, les fichiers de conception numérique, les paramètres de processus et les données de qualification doivent circuler à travers un réseau croissant de fournisseurs. Chaque nœud supplémentaire de ce réseau devient un point de défaillance potentiel.
Pour Kyle Adriany, la nature de la cyberattaque importe moins que son résultat. « Quel que soit le type d’attaque, explique-t-il, le résultat est le même : la bonne pièce n’arrive pas là où elle est nécessaire. » À ce stade, la cybersécurité cesse d’être une question technique et devient un problème de chaîne d’approvisionnement. Et dans le secteur aérospatial, les perturbations restent rarement isolées : une seule pièce en retard ou défectueuse peut immobiliser tout un avion.
C’est pourquoi, selon Adriany, l’objectif est de veiller à ce que l’intention du propriétaire de la propriété intellectuelle « s’étende à la chaîne d’approvisionnement pendant tout le cycle de vie de la pièce ».
Dans un environnement de fabrication distribué, la cybersécurité ne consiste pas seulement à protéger les données, mais aussi à garantir la continuité et la confiance à chaque étape de la chaîne d’approvisionnement.
Quelle solution Materialise propose-t-elle ?
Il y a deux ans, en réfléchissant aux idées de Mark Yampolskiy, j’ai supposé que les défis en matière de cybersécurité auxquels sont confrontés les utilisateurs de la fabrication additive finiraient par ouvrir la voie à de nouvelles opportunités. Je m’attendais à ce que des entreprises innovantes possédant une expertise en cybersécurité, issues de secteurs autres que celui de la FA, interviennent et proposent des solutions adaptées aux utilisateurs et aux fournisseurs de technologies de FA.
Je me suis retrouvée à chercher au-delà de notre industrie des solutions qui prenaient déjà forme sous mes yeux, progressivement renforcées et affinées au fil des ans. L’une de ces solutions est Identify3D. Fondée en 2014 à San Francisco, l’entreprise a été rachetée par Materialise en 2022 dans le but de faire de sa plateforme CO-AM la plateforme la plus sécurisée pour la fabrication distribuée.
Dès le départ, Identify3D s’est positionnée comme une plateforme de sécurité et d’assurance qualité de la chaîne d’approvisionnement numérique, conçue pour crypter, distribuer et tracer les données numériques des pièces, empêchant ainsi les contrefaçons et garantissant que les pièces modifiées, non conformes ou non certifiées n’entrent jamais dans la chaîne d’approvisionnement physique.
Comme l’explique Kyle Adriany, Identify3D permet aux propriétaires de propriété intellectuelle de sécuriser leurs actifs numériques tout en conservant le contrôle sur les environnements de fabrication distribuée.
« Cela permet aux propriétaires de propriété intellectuelle de protéger leurs données, de contrôler comment, où et combien de fois une pièce est produite, et d’assurer la traçabilité et la qualité tout au long de la chaîne d’approvisionnement », explique-t-il. « Nous travaillons en étroite collaboration avec les fabricants de machines pour sécuriser les fichiers dès leur création jusqu’à la machine qui imprime la pièce. C’est ainsi que nous parvenons à une véritable sécurité et traçabilité de bout en bout. »
Bart Van der Schueren développe cette idée en soulignant ce qui est souvent le moment le plus vulnérable dans la fabrication additive : la transition du numérique au physique. « Ce qui est essentiel, c’est de combler le fossé entre le numérique et le physique », explique-t-il. « Cette dernière étape, qui consiste à passer des bits au matériau imprimé, est souvent le maillon faible. Grâce à une intégration approfondie au niveau des machines, même si quelqu’un a accès à la machine, il ne peut pas utiliser les données à mauvais escient. Cela permet d’éliminer les erreurs intentionnelles et non intentionnelles. »
Comment Identify3D aide-t-il exactement ? En permettant aux fournisseurs d’isoler les flux de travail qualifiés (machines, matériaux ou clients spécifiques) tout en conservant la traçabilité et la visibilité. En d’autres termes, il remplace les processus fastidieux par des flux de travail pilotés par des logiciels.
Si cette solution est particulièrement pertinente pour les industries aérospatiale et de la défense, elle est également applicable à divers autres secteurs.
« Toutes les pièces ne sont pas critiques. Une fois que les entreprises seront en mesure de produire en toute sécurité, elles attireront naturellement des travaux non sécurisés. La production sécurisée devient un multiplicateur. La défense montre la voie par nécessité et sous la pression des gouvernements, mais une fois que la production distribuée de pièces de rechange aura fait ses preuves, cette approche s’étendra à l’aérospatiale, à l’énergie, aux infrastructures et au-delà », confirme le directeur technique de Materialise.
Le début d’une évolution ?
Avec plus de 35 ans d’expérience, Materialise fait partie de ces entreprises qui incarnent véritablement l’idée que « la patience est une vertu ». L’équipe a compris depuis longtemps que les progrès significatifs prennent du temps, en particulier dans un secteur comme la fabrication additive, où le succès dépend autant de la collaboration et de la confiance que de la technologie.
Plutôt que de rechercher des gains rapides, Materialise a toujours investi dans une approche de bout en bout, en travaillant en étroite collaboration avec ses clients, en surmontant les obstacles techniques et culturels et en apprenant au fur et à mesure. Dans un domaine qui est encore en train de définir ses propres règles, cette vision à long terme est importante.
Comme le dit Bart Van der Schueren, l’entreprise ne se contente pas de réponses partielles. L’objectif est de maintenir la continuité depuis la création de la propriété intellectuelle jusqu’à la pièce imprimée et qualifiée, sans rompre la chaîne numérique ou physique en cours de route.
« Nous n’en sommes encore qu’au début d’une évolution, voire d’une révolution », déclare-t-il. « Si nous réussissons, cela ouvrira d’énormes perspectives pour la fabrication additive et pour l’ensemble de la chaîne d’approvisionnement. L’impression sécurisée peut contribuer à rétablir la confiance et à ramener davantage de production vers les prestataires de services. »
Après avoir suivi cette industrie pendant des années et vu de nombreuses promesses se concrétiser plus rapidement qu’elles ne mûrissaient, je suis enclin à les croire sur parole.
Les déclarations de Bart Van der Schueren et Kyle Adriany ont été modifiées par souci de concision et de clarté.
Ce contenu a été produit en collaboration avec Materialise.
