30 octobre 2025adisra

Réseaux hantés : pourquoi les menaces cyber OT sont la vraie histoire d’horreur de ce Halloween

Réseaux hantés : pourquoi les menaces cyber OT sont la vraie histoire d’horreur de ce Halloween

Les histoires les plus effrayantes ne se racontent plus autour du feu de camp à Hallowen : elles se déroulent désormais dans les salles serveurs et les réseaux de contrôle. Les failles de cybersécurité OT (technologies opérationnelles) sont devenues les contes d’horreur modernes de l’industrie 4.0, où des intrus invisibles se faufilent à travers des systèmes obsolètes, attendant le moment parfait pour frapper. Mais n’ayez crainte : comprendre ces démons numériques est la première étape pour les vaincre.
Selon Check Point, “Au deuxième trimestre 2025, le nombre moyen d’attaques informatiques hebdomadaires par organisation dans le monde a atteint 1984, soit une augmentation de 21% par rapport à la même période en 2024, et de 58% par rapport à il y a deux ans. »


Octobre est le mois de sensibilisation à la cybersécurité, et une chose est claire : les dix premiers mois de 2025 ont été marqués par une recrudescence des menaces cyber et des défis sans précédent pour certaines des plus grandes entreprises mondiales.
La volatilité des marchés mondiaux (alimentée par les tensions géopolitiques, les politiques tarifaires changeantes, ainsi que les fluctuations de l’inflation et des taux d’intérêt) a rendu le paysage économique plus imprévisible que jamais. Les équipes de cybersécurité ressentent la pression, alors que les entreprises réduisent leurs budgets et ralentissent leurs recrutements.


Les contraintes de ressources en 2025 obligent les responsables de la sécurité à faire plus avec moins. La diminution des budgets et des effectifs a laissé de nombreuses entreprises en difficulté pour maintenir leurs défenses, réaliser des évaluations de risques en temps voulu et assurer la conformité. Cette combinaison d’incertitude économique et d’opérations de sécurité sous-dotées crée une véritable tempête parfaite, élargissant les vulnérabilités, ralentissant les temps de réaction et augmentant le risque de violations coûteuses et d’échecs de conformité.
Alors, si cela ne vous donne pas des frissons pour Halloween, rien ne le fera. Tirons le rideau sur la cybersécurité OT et voyons comment garder les monstres à distance.

Pourquoi les systèmes OT sont la nouvelle frontière de l’horreur ?






La couche OT reste une cible de grande valeur pour les acteurs malveillants. En juillet 2023, la U.S. Securities and Exchanges Commission (SEC) (Commission américaine des valeurs mobilières) a adopté de nouvelles règles obligeant les entreprises cotées à déclarer tout incident majeur de cybersécurité, conformément au nouvel article 1.05 du formulaire 8-K, à partir du 18 décembre 2023.
Le blog Known Trends du cabinet Wilson Sonsini, qui suit ces déclarations publiques, a rapporté que du 18 décembre 2023 au 19 janvier 2025, 55 incidents de cybersécurité ont été signalés, dont 55% concernaient des attaques OT.

cybersecurite 2



Jaguar Land Rover Automative (JLR), une cyberattaque survenue le 31 août 2025 a gravement pertubé les opérations de l’entreprise. Trois usines britanniques, qui produisent ensemble environ 1000 véhicules par jour, ont dû être fermées pendant près de six semaines. La production a été totalement interrompue durant tout le mois de septembre et jusqu’au début du mois d’octobre, les activités de vente en gros et au détail ayant également été touchées par des arrêts de systèmes à l’échelle du groupe.


Cette perturbation devrait peser sur les performances de l’entreprise jusqu’à la fin de l’exercice fiscal 2026 (31 mars) et possiblement au-delà, jusqu’à l’exercice 2027. Les volumes de vente en gros devraient chuter fortement en raison de la hausse des droits de douane et du ralentissement de la demande en Chine. En conséquence, JLR a révisé ses prévisions pour l’exercice 2026, réduisant sa marge d’EBITDA ajustée à 3%-5% contre 6-7% précédemment.


Selon un rapport de Financial Times (FT), JLR, filiale de Tata Motors, pourrait devoir faire face à une facture de 2 milliards de livres sterling, l’entreprise n’étant pas assurée contre la cyberattaque qui a perturbé ses opérations et déjà entraîné d’importantes pertes financières.
Bien que la société n’ait pas officiellement confirmé l’origine de l’attaque, un groupe se faisant appeler « Scattered Lapsus Hunters » en a revendiqué la responsabilité, évoquant une perturbation massive des opérations de fabrication, de logistique et de service au sein de la chaîne d’approvisionnement mondiale de JLR.

3 jaguar




Pakistan Petroleum Limited (PPL), le géant public du pétrole et du gaz a subi une grave attaque par ransomware qui a paralysé ses systèmes informatiques pendant plusieurs jours. La faille impliquait le ransomware « Blue Locker », un programme malveillant conçu pour chiffrer les fichiers et exiger une rançon en échange de leur déverrouillage.
Blue Locker est diffusé par le biais de campagnes de phishing, de pièces jointes infectées ou de connexions à distance non sécurisées. Une fois exécuté, il utilise un chargeur basé sur PowerShell pour désactiver les défenses de sécurité, obtenir des privilèges administratifs et se propager latéralement sur les réseaux locaux et les périphériques amovibles, le rendant particulièrement dangereux dans les environnements industriels tels que les infrastructures pétrolières et gazières.


Bien que PPL ait indiqué que ses systèmes opérationnels critiques n’aient pas été affectés, la proximité entre les environnements IT et OT dans les infrastructures énergétiques soulève de vives inquiétudes. Dans le secteur du pétrole et du gaz, même dans une brèche limitée dans le système IT peut se répercuter sur les opérations OT, entraînant l’arrêt de la production, l’interruption de la surveillance des pipelines, ou encore la compromission des systèmes de sécurité.
Cet incident illustre la convergence croissante entre les systèmes IT et OT, où des ransomwares comme Blue Locker peuvent menacer non seulement les données, mais aussi les opérations physiques et la stabilité de toute la chaîne d’approvisionnement énergétique.

4 ppl

Sabotage du barrage de Bremanger. En Norvège, le barrage de Bremanger et son exploitation piscicole associée ont été compromis après que des pirates ont exploité un mot de passe faible protégeant un panneau de contrôle accessible via le web. Cette vulnérabilité leur a permis d’accéder sans autorisation à l’environnement de technologies opérationnelle (OT), où ils ont manipulé les vannes du barrage du lac Risevatnet. Les vannes ont été ouvertes en grand, augmentant le débit d’eau de 497 litres par seconde au-dessus du flux minimal réglementaire.


Cet incident met en évidence les risques graves liés à l’accès à distance non sécurisé et aux mauvaises pratiques d’authentification dans les infrastructures critiques. Commentant cette menace croissante, Mike Hamilton, Field CISO chez Lumifi Cyber a observé que les cyberattaques contre le secteur de l’eau sont en forte augmentation et sont de plus en plus liées à des opérations étatiques, plutôt qu’à une criminalité traditionnelle.
« Les acteurs iraniens sont connus pour cibler spécifiquement les technologies opérationnelles, comme les automates programmables utilisés pour ouvrir ou fermes des vannes, surveiller la filtration et contrôler l’injection de produits chimiques », a-t-il expliqué.


À la suite de l’incident de cybersécurité du barrage de Bremanger, Beate Gangas, directrice du Service de sécurité de la sécurité de la police norvégienne (PST), a officiellement attribué la cyberattaque d’avril sur Bremanger, dans l’ouest de la Norvège, à Moscou.
« Au cours de l’année écoulée, nous avons observé une évolution dans les activités des cyberacteurs pro-russes », a déclaré Gangas, qualifiant l’incident de Bremanger d’exemple clair de cette menace grandissante. »


Elle a ajouté :
« L’objectif de ces opérations est d’influencer l’opinion publique et de semer la peur et le chaos au sein de la population. Notre voisin russe est devenu plus dangereux. »

Le jour de l’attaque, les auteurs présumés auraient publié une vidéo de trois minutes sur Telegram, portant le filigrane d’un groupe cybercriminel pro-russe, revendiquant la responsabilité de l’intrusion.

5 barrage bremanger



Le ciblage des systèmes opérationnels, des infrastructures critiques et des modules de véhicules connectés devrait s’intensifier dans les années à venir, les acteurs malveillants utilisant de plus en plus l’intelligence artificielle et des outils d’automatisation avancés comme armes. Pour y faire face, les fabricants doivent renforcer leurs défenses et développer une cyber-résilience accrue, afin de protéger non seulement les données et les réseaux, mais aussi l’épine dorsale opérationnelle qui fait tourner l’industrie moderne.


Mesures de cybersécurité pratiques
Réaliser une enquête forensic complète est la première étape pour identifier le point d’intrusion et évaluer une éventuelle compromission de données. Si les plus petites entreprises ne disposent pas toujours des ressources nécessaires pour une analyse exhaustive, plusieurs mesures pratiques peuvent réduire considérablement les risques :

6 cyber monsters

1. Authentification multifacteur (MFA)
La MFA ajoute une couche essentielle de sécurité en exigeant plusieurs facteurs de vérification avant d’autoriser un accès. Cela réduit drastiquement les risques d’attaques basées sur le vol d’identifiants et les connexions non autorisées.

2. Segmentation réseau et contrôle d’accès
Dans les environnements d’automatisation industrielle (IT/OT), la segmentation réseau divise les systèmes en zones plus petites et isolées, avec des politiques d’accès et de communication strictement contrôlées.
Cette stratégie permet de :
• Réduire la surface d’attaque globale,
• Limiter les mouvements latéraux des menaces,
• Empêcher qu’une brèche unique compromette l’ensemble des opérations.
Les systèmes nécessitant un accès à distance doivent être protégés derrières un VPN ou un proxy sécurisé, avec une surveillance approfondie de toute activité de connexion.

3. Sauvegarde et reprise après sinistre
Les sauvegardes régulières sont essentielles. Suivez la règle 3-2-1-1-0 :
• 3 copies des données,
• 2 sur des supports différents,
• 1 hors site,
• 1 hors ligne,
• 0 erreur de sauvegarde grâce à des tests réguliers.
Automatisez les sauvegardes, testez souvent les procédures de restauration et chiffrez les données sensibles au repos et en transit.

4. Gestion des correctifs
Les méthodes de patching classiques du monde IT ne s’appliquent pas toujours aux systèmes de contrôle industriels (ICS), qui doivent rester opérationnels en continu et tolèrent difficilement les interruptions.
Il est recommandé de :
• Établir un inventaire complet des actifs,
• Réaliser une évaluation des vulnérabilités,
• Prioriser les mises à jour selon la criticité des systèmes et l’exposition aux risques.
Appliquez d’abord les correctifs sur les systèmes présentant le plus grand impact potentiel. Un plan structuré de gestion des correctifs est indispensable pour garantir une vigilance cyber durable.

5. Sensibilisation et formations des employés
L’erreur humaine reste le point d’entrée le plus fréquent des ransomwares.
Formez les employés à reconnaître et éviter :
• Les emails suspects,
• Les pièces jointes douteuses,
• Les téléchargements non fiables.
Des programmes réguliers de sensibilisation réduisent drastiquement les tentatives de phishing réussies.

6. Plan de réponse aux incidents
Élaborez et mettez régulièrement à jour un plan de réponse aux incidents afin d’assurer une réaction rapide et coordonnée face à un ransomware ou une intrusion OT.
Même les incidents mineurs doivent faire l’objet d’une analyse approfondie, afin d’éliminer toute persistance d’attaquants.
Étudiez les grandes attaques OT, et collaborez avec les CERT nationaux ainsi qu’avec les autorités pour partager des renseignements et suivre les meilleures pratiques.

Une réglementation qui évolue pour l’industrie



Un autre élément clé à prendre en compte est la montée des normes de cybersécurité et des mandats gouvernementaux qui redéfinissent les opérations industrielles.
Par exemple, la directive européenne NIS2 impose désormais des exigences beaucoup plus strictes, touchant un pannel élargi d’organisations dont :


• Les fabricants,
• Les opérateurs énergétiques,
• Les infrastructures critiques.
Pour aider les entreprises à s’y préparer, Waterfall Security Solutions organise un webinaire semaine prochaine pour comprendre et mettre en œuvre la directive NIS2. Plus d’informations sur cette session sont disponibles ici.

7 graphiques

Les menaces que nous avons évoquées peuvent donner des frissons, mais elles sont bien réelles, non seulement pour les plus grandes entreprises du monde, mais pour toute organisation exploitant des systèmes OT anciens, des réseaux de contrôle industriels ou des environnements IT/OT convergés.
Si le cauchemar existe bel et bien, l’opportunité de se défendre, s’adapter et en sortir plus fort est tout aussi réelle.


Chez Adsira, la cybersécurité est prise très au sérieux. Nous restons pleinement engagés à suive de près les dernières menaces et les tendances émergentes en matière de sécurité OT. Nous sommes convaincus que le partage d’informations et le dialogue ouvert sont essentiels pour renforcer l’ensemble de la communauté industrielle.
Si vous souhaitez en savoir plus sur les produits ADISRA et sur la manière dont ils peuvent sécuriser votre environnement d’automatisation, vous pouvez :


• Télécharger Adsira SmartView
• Planifier une démonstration privée pour découvrir SmartView, InsightView et/ou KnowledgeView en action

← Toutes les actualités