West Pharmaceutical : trois mois après son rapport SEC, l'usine est à l'arrêt

Le 4 mai 2026, un fabricant peu connu du grand public, mais qui produit les composants par lesquels passent une bonne partie des médicaments injectables européens, détecte une cyberattaque. Une semaine plus tard, son usine française tourne toujours au ralenti.

L’essentiel en 30 secondes

Le 4 mai 2026, West Pharmaceutical Services (NYSE : WST) détecte un « incident de systèmes réseau » qui se révèle être une cyberattaque. Le groupe coupe préventivement une partie de son infrastructure, mobilise des forensiques externes et communique le 7 mai sur le redémarrage « contrôlé et phasé » de ses systèmes globaux.

Une semaine après la détection, l’usine française de Nouvion-en-Thiérache (Aisne), qui emploie environ 770 salariés et produit des composants en élastomère pour l’industrie pharmaceutique européenne, tourne toujours au ralenti. Aucune date de reprise n’a été communiquée.

West Pharmaceutical Services, site industriel de Nouvion-en-Thiérache (Aisne). — L’usine West Pharmaceutical de Nouvion-en-Thiérache, ~770 salariés, à l’arrêt depuis la cyberattaque du 4 mai 2026.

Chronologie

17 février

Publication du rapport annuel à la SEC. La section cybersécurité décrit un dispositif aligné NIST / COSO ERM, un plan de réponse à incident formalisé couvrant explicitement les ransomwares, et précise que l’entreprise n’a jamais rencontré de défi cyber ayant matériellement impacté ses opérations.
Lun. 4 mai

Détection d’un « incident de systèmes réseau ». Le diagnostic tombe vite : c’est une cyberattaque. West active ses protocoles, met proactivement une partie des systèmes hors ligne pour confiner la propagation, prévient les autorités et engage des experts en investigation numérique externes.
Jeu. 7 mai

Première communication officielle sur la page « Company Impact Updates ». Ton rassurant : systèmes d’entreprise centraux à nouveau opérationnels au niveau mondial, redémarrage « contrôlé et phasé ». Aucune mention du site français.
Ven. 8 mai

L’Union et plusieurs médias spécialisés confirment ce que les rumeurs locales évoquaient depuis plusieurs jours : l’usine de Nouvion-en-Thiérache est paralysée, 770 salariés sont à l’arrêt, aucune date de reprise n’a été annoncée.
Dim. 10 mai

À la date de publication de ce dossier, la production reste perturbée. Aucune revendication publique sur les sites de fuite habituels. Aucune demande de rançon connue.

Une entreprise discrète mais omniprésente

Vous n’avez probablement jamais entendu parler de West Pharmaceutical Services. C’est l’une des raisons pour lesquelles cette affaire est intéressante. La société américaine, cotée à la Bourse de New York, ne fabrique ni médicaments ni vaccins : elle fabrique ce qui les contient. Bouchons en caoutchouc des flacons, pistons des seringues préremplies, composants des stylos auto-injecteurs : à peu près tout ce qui sépare physiquement un médicament injectable de votre circulation sanguine passe, à un moment ou à un autre, par une usine West.

Le groupe emploie environ 11 000 personnes sur une cinquantaine de sites dans le monde. L’un d’eux se trouve à Nouvion-en-Thiérache, dans l’Aisne. Environ 770 salariés y produisent les composants en élastomère destinés à l’industrie pharmaceutique européenne. Cette usine, discrète mais stratégique, s’est retrouvée paralysée le 4 mai 2026.

Sept jours d’opacité progressive

Le scénario suit une courbe désormais classique. West détecte l’incident le 4 mai, qualifie pudiquement la chose d’« incident de systèmes réseau », met des systèmes hors ligne, prévient les autorités, engage des forensiques. Trois jours plus tard, la communication officielle est mondiale et rassurante (systèmes centraux à nouveau opérationnels, redémarrage contrôlé et phasé), mais silencieuse sur le site français.

C’est la presse régionale qui rompt le silence. Le 8 mai, L’Union et plusieurs médias spécialisés confirment la paralysie de Nouvion-en-Thiérache. Une semaine après la détection, le site français tourne toujours au ralenti.

Les bons réflexes d’une équipe qui s’est manifestement entraînée

Sur le plan technique, West a suivi le manuel. Trois décisions méritent d’être soulignées, parce qu’elles sont moins évidentes qu’on ne le pense.

1. Couper avant de comprendre

Les équipes ont débranché une partie des systèmes pour confiner l’attaque (ce qu’on appelle le containment) sans attendre d’avoir tout cartographié. Le réflexe paraît évident, mais beaucoup d’entreprises hésitent à arrêter leur production volontairement et perdent un temps précieux. À l’échelle d’une usine pharmaceutique, chaque heure d’arrêt coûte ; décider de couper en quelques heures est une discipline qui se prépare.

2. Appeler la cavalerie

West a engagé des forensiques externes et notifié les autorités. Une cellule interne, même compétente, manque de recul sur sa propre infrastructure : elle connaît trop bien les chemins habituels pour repérer un attaquant qui s’y est glissé. Un regard extérieur trouve souvent ce qu’on n’arrive plus à voir.

3. Redémarrer par segments

Derrière la formule corporate « contrôlé et phasé », il y a une réalité simple : on ne rallume pas tout d’un coup. On reconnecte segment par segment, parce qu’un attaquant peut très bien avoir laissé une porte dérobée qui ne se réveillera qu’au redémarrage. La nuance sépare un redémarrage rapide d’un redémarrage propre.

Trois mois plus tôt, dans un rapport à la SEC

Depuis 2023, les entreprises cotées aux États-Unis doivent décrire en détail leurs dispositifs de cybersécurité dans leur rapport annuel à la SEC. Le 17 février 2026, West s’est pliée à l’exercice avec sérieux. La section consacrée à la cybersécurité y décrivait un dispositif solide sur le papier :

adoption du framework NIST et alignement sur le COSO ERM ;
plan de réponse à incident formalisé, couvrant explicitement les ransomwares ;
SOC opérationnel 24h/24 ;
formation annuelle des employés ;
assurance cyber et consultance externe en réserve ;
reporting régulier au comité d’audit et au conseil d’administration.

Le rapport précisait aussi que l’entreprise n’avait jamais rencontré de défi cyber ayant matériellement impacté ses opérations.

Trois mois plus tard, une usine de 770 personnes est à l’arrêt pour une durée indéterminée. Cela ne signifie pas que le dispositif décrit était fictif : la rapidité de la mise hors ligne défensive le démontre. La leçon est plus inconfortable.

Rapport annuel de West Pharmaceutical déposé auprès de la SEC le 17 février 2026. Ouvrir le PDF.

Ce que West n’a pas dit

À ce stade, plusieurs questions essentielles restent sans réponse publique :

La nature exacte de l’attaque n’est pas confirmée. Ransomware, intrusion ciblée, sabotage industriel ?
Le périmètre technique n’est pas clarifié : IT seulement, ou propagation aux systèmes industriels (OT) qui pilotent les machines de production ? La différence sépare un redémarrage de quelques jours d’un redémarrage de plusieurs semaines.
L’éventuelle exfiltration de données n’est ni confirmée ni démentie.
Aucun groupe cybercriminel n’a revendiqué l’opération sur les sites de fuite habituellement scrutés par les chercheurs.
Aucune demande de rançon n’a été rendue publique.
Aucune date de reprise complète n’a été communiquée pour le site de Nouvion-en-Thiérache.

Ces silences ne se valent pas tous. Certains relèvent de la prudence légitime d’une enquête en cours : on ne diffuse pas les détails techniques tant que les enquêteurs travaillent. D’autres sont plus inhabituels : l’absence de revendication publique à dix jours d’un incident de cette ampleur sort de la dynamique habituelle des groupes de ransomware, qui mettent généralement la pression en quelques jours.