Cet article a été développé avec les contributions de Jeff Kuo et Kelsey Oliver.
Les acteurs de la menace les plus avancés au monde agissent plus vite, opèrent plus discrètement et ciblent le cœur même de la société moderne : la technologie opérationnelle (OT) et les infrastructures critiques. Le constat est sans appel : bon nombre de rançongiciels, menaces persistantes avancées (APT) et groupes de cybercriminels vont au-delà du vol de données visent la perturbation physique, voire le sabotage. La convergence IT-OT, motivée par les exigences des entreprises, a engendré une surface d’attaque tentaculaire aux enjeux considérables. Les vulnérabilités militarisées (CVE) sont exploitées à une vitesse fulgurante, souvent quelques jours ou quelques heures après leur déclaration.
Cet article fusionne les renseignements de première ligne d’IBM et les nouvelles données sur les violations liées aux technologies opérationnelles (OT) découvertes lors de l’enquête sur le coût d’une violation de données en 2025.
Pour le Rapport sur le coût d’une violation de données en 2025 par IBM, nos partenaires de recherche du Ponemon Institute ont étudié plus de 6 485 violations. Parmi ces entreprises, 15 % ont indiqué que l’incident avait affecté leur environnement OT et, parmi ces dernières, près d’un quart (23 %) ont rapporté que l’incident avait endommagé leurs systèmes ou équipements.
Il n’est pas surprenant que l’environnement OT des entreprises soit impacté par les violations. Ces dernières années, les exemples d’acteurs de la menace ayant perturbé l’OT dans divers secteurs d’activité ne manquent pas :
La sophistication technique et la persistance des adversaires modernes créent un potentiel de perturbation simultanée et multi-vectorielle, avec des effets en cascade sur la sécurité physique, la conformité réglementaire (par exemple, NERC CIP, NIST CSF, IEC 62443), et l’érosion de la confiance du public dans les infrastructures critiques.
Les adversaires d’aujourd’hui sont plus diversifiés, plus spécialisés et plus agressifs que jamais, combinant ressources des États-nations, innovation en matière de cybercriminalité et opportunisme hacktiviste. Leurs protocoles évoluent constamment, et de nouveaux groupes et alliances rejoignant les rangs pour menacer les infrastructures critiques dans le monde entier.
Les acteurs de la menace cherchant à perturber les opérations ciblent un spectre étroit de vulnérabilités, affectant principalement des dispositifs orientés vers le périmètre tels que les concentrateurs VPN, les passerelles de bureau distant et les convertisseurs de protocoles OT. Ces CVE, une fois exploitées, offrent aux attaquants une exécution de code à distance non authentifiée, un contrôle des dispositifs au niveau root, et permettent souvent de contourner directement les mécanismes d’authentification et de contrôle d’accès hérités. L’impact opérationnel est amplifié car nombre de ces vulnérabilités restent non corrigées dans des environnements critiques en raison des exigences de temps de fonctionnement des appareils, des retards de correctifs des fournisseurs ou des lacunes de visibilité des actifs.
En outre, la convergence des technologies de l’information et des technologies opérationnelles, la prolifération des outils de gestion à distance et l’intégration avec des fournisseurs tiers ont créé de nouvelles voies latérales pour les attaquants. Les partenaires de la chaîne d’approvisionnement ou les intégrateurs tiers compromis servent de points d’entrée de confiance ; les services d’accès à distance des fournisseurs exposés et les pare-feu mal configurés érodent encore davantage la segmentation statique. Les adversaires exploitent des ponts IT/OT de confiance, des dispositifs de terrain non sécurisés, et même des ordinateurs portables de maintenance pour accéder directement aux réseaux de contrôle des processus et aux systèmes de sécurité. Cette surface d’attaque en évolution rend les modèles de sécurité périmétrique hérités insuffisants, ce qui souligne la nécessité d’une surveillance dynamique du réseau, d’une découverte continue des actifs et d’une architecture éclairée par les menaces.
Selon les données X-Force, parmi les 670 vulnérabilités déclarées au cours du premier semestre 2025 qui peuvent impacter les environnements OT, 11 % affichent une note de sévérité CVSS « Critique » (score CVSS entre 9,0 et 10,0). En outre, un cinquième (21 %) des vulnérabilités critiques ont un code d’exploitation publiquement disponible.
Cette année, des exemples notables d’exploitation des vulnérabilités OT critiques ont été enregistrés :
Ces exemples montrent à quel point il est important de rester informé des vulnérabilités susceptibles d’être exploitées par les acteurs de la menace. X-Force a analysé divers forums en ligne, marchés, canaux Telegram, salons de discussion et conversations pour relever les CVE les plus mentionnées au premier semestre 2025, qui pourraient avoir un impact sur les environnements OT/ICS. Ces informations peuvent aider les entreprises à affiner leur stratégie de gestion des correctifs.
Sur les 10 principales CVE déclarées au premier semestre 2025 et susceptibles d’avoir un impact sur l’OT, 90 % ont été activement exploitées, et 70 % ont été activement exploités par des APT. Par exemple, la CVE le plus mentionnée, CVE-2025-0282, aurait été exploitée par UNC5221, un « acteur d’espionnage soupçonné d’être lié à la Chine ». Cette vulnérabilité permet aux attaquants non authentifiés de s’implanter dans le réseau interne derrière une appliance Connect Secure VPN vulnérable. Les attaquants peuvent alors se déplacer latéralement dans le réseau et potentiellement impacter les systèmes de contrôle industriels. La deuxième vulnérabilité la plus mentionnée, CVE-2025-31324, aurait été activement exploitée par Chaya_004, « un acteur chinois de menace ». Cette vulnérabilité affectant SAP NetWeaver Visual Composer permettrait à un attaquant d’exécuter du code à distance. De nombreuses entreprises industrielles utilisent SAP pour la planification des ressources d’entreprise (ERP) et la gestion de la chaîne d’approvisionnement (SCM), qui peut interagir directement avec les systèmes OT ou les influencer indirectement.
2025 est une année déterminante pour la sécurité OT et des infrastructures critiques. La convergence d’adversaires étatiques motivés, l’évolution rapide des écosystèmes de ransomwares et l’exploitation persistante d’un ensemble restreint de vulnérabilités à fort impact ont mis en lumière des faiblesses fondamentales dans les environnements OT existants. Désormais, les attaquants contournent systématiquement les défenses traditionnelles du périmètre, en tirant parti de la compromission de la chaîne d’approvisionnement, du vol d’identifiants privilégiés et de mouvements latéraux profonds pour obtenir des résultats paralysants, et même critiques pour la sécurité.
Cet environnement de menace oblige les entreprises à repenser fondamentalement la manière dont les risques OT sont gérés. La cybersécurité doit dépasser la conformité et les contrôles de type « case à cocher » pour évoluer vers un modèle de défense axé sur le renseignement et spécifique au secteur. La survie ne se limite plus à empêcher l’accès initial ; elle exige une détection rapide, un confinement efficace et une reprise résiliente, le tout soutenu par un engagement continu des dirigeants et une gouvernance au niveau du conseil d’administration.
La résilience opérationnelle en 2026 et au-delà dépendra de la capacité de l’entreprise à prioriser les vulnérabilités, à simuler des scénarios d’attaque réels, à appliquer des contrôles multi-couches et à s’emparer de la question de la cybersécurité de la salle de contrôle au conseil d’administration. Les enjeux sont existentiels : la continuité des services, la conformité réglementaire, la sécurité physique et la confiance du public reposent toutes sur une stratégie proactive et adaptative de cyberdéfense OT. Nous encourageons les entreprises à prendre acte des recommandations suivantes :
1. Prioriser la gestion des correctifs
2. Cartographier les menaces qui pèsent sur votre secteur
3. Faites du Red Teaming comme les adversaires
4. Défense multicouche, et non « sécurité de type case à cocher »
5. Adhésion du conseil d’administration et tests en conditions réelles
