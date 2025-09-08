Balises
Sécurité Calcul et serveurs Infrastructure informatique

Le paysage des menaces liées aux technologies opérationnelles : analyses d’IBM X-Force

Spécialiste en technologie opérationnelle travaillant dans un centre de fabrication industrielle

Cet article a été développé avec les contributions de Jeff Kuo et Kelsey Oliver.

Les acteurs de la menace les plus avancés au monde agissent plus vite, opèrent plus discrètement et ciblent le cœur même de la société moderne : la technologie opérationnelle (OT) et les infrastructures critiques. Le constat est sans appel : bon nombre de rançongiciels, menaces persistantes avancées (APT) et groupes de cybercriminels vont au-delà du vol de données visent la perturbation physique, voire le sabotage. La convergence IT-OT, motivée par les exigences des entreprises, a engendré une surface d’attaque tentaculaire aux enjeux considérables. Les vulnérabilités militarisées (CVE) sont exploitées à une vitesse fulgurante, souvent quelques jours ou quelques heures après leur déclaration. 

Cet article fusionne les renseignements de première ligne d’IBM et les nouvelles données sur les violations liées aux technologies opérationnelles (OT) découvertes lors de l’enquête sur le coût d’une violation de données en 2025.

Principales conclusions

  • Parmi les entreprises étudiées cette année dans le cadre du Rapport sur le coût d’une violation de données, 15 % ont subi des incidents de cybersécurité ayant affecté leur environnement OT, dont près d’un quart ont déclaré que l’incident avait endommagé leurs systèmes ou équipements OT. Ces incidents coûtent en moyenne 4,56 millions de dollars américains, soit un montant légèrement supérieur à la moyenne mondiale (4,44 millions de dollars américains).
  • Selon les données X-Force, sur les 670 vulnérabilités déclarées au premier semestre 2025 et susceptibles d’avoir un impact sur l’OT, près de la moitié (49 %) ont un niveau de gravité CVSS « critique » ou « élevé ». Un cinquième (21 %) des vulnérabilités « critiques » sont associées à un code d’exploitation accessible au public.

Le coût d’une violation OT

Pour le Rapport sur le coût d’une violation de données en 2025 par IBM, nos partenaires de recherche du Ponemon Institute ont étudié plus de 6 485 violations. Parmi ces entreprises, 15 % ont indiqué que l’incident avait affecté leur environnement OT et, parmi ces dernières, près d’un quart (23 %) ont rapporté que l’incident avait endommagé leurs systèmes ou équipements.

Deux diagrammes circulaires illustrent les Résultats de l'enquête sur les incidents de sécurité dans les environnements OT. Le premier graphique montre que 15 % des entreprises ont connu des incidents, tandis que 85 % n'en ont pas connu. Le deuxième graphique montre que 23 % des incidents ont causé des dommages aux systèmes ou équipements OT, tandis que 77 % n’en ont pas causé. Les visuels utilisent des segments violets et bleus avec des étiquettes numériques claires.

Il n’est pas surprenant que l’environnement OT des entreprises soit impacté par les violations. Ces dernières années, les exemples d’acteurs de la menace ayant perturbé l’OT dans divers secteurs d’activité ne manquent pas :

  • Déstabilisation persistante du réseau électrique et défaillances coordonnées des postes électriques :
    Les attaquants exploitent avec succès des logiciels malveillants spécifiques à l’ICS, la manipulation de protocoles (par exemple, protocoles IEC 104 et DNP3) et les exploits d’accès à distance pour provoquer des perturbations et des coupures de courant sur plusieurs sites, nécessitant souvent une restauration manuelle du réseau et affectant des millions de clients de services publics.
  • Compromission durable des opérations de traitement de l’eau, de la production d’énergie et de fabrication :
    Les acteurs de la menace perturbent les processus centraux d’OT en manipulant les environnements SCADA et les automates programmables industriels (API), interférant avec le dosage chimique, la régulation du débit et les contrôles automatisés de sécurité, entraînant des ralentissements de la production, des incidents environnementaux ou des conditions dangereuses pour le personnel de l’usine.
  • Interruptions généralisées des chaînes d’approvisionnement mondiales et de la logistique critique :
    Les campagnes de ransomware et de logiciels malveillants destructeurs ont paralysé les entrepôts automatisés, les centres de distribution et les systèmes de gestion des transports, retardant les expéditions, mettant un terme à la fabrication juste à temps et exposant les entreprises à une perte économique et de réputation en aval.

La sophistication technique et la persistance des adversaires modernes créent un potentiel de perturbation simultanée et multi-vectorielle, avec des effets en cascade sur la sécurité physique, la conformité réglementaire (par exemple, NERC CIP, NIST CSF, IEC 62443), et l’érosion de la confiance du public dans les infrastructures critiques.

Le paysage des vulnérabilités OT

Les adversaires d’aujourd’hui sont plus diversifiés, plus spécialisés et plus agressifs que jamais, combinant ressources des États-nations, innovation en matière de cybercriminalité et opportunisme hacktiviste. Leurs protocoles évoluent constamment, et de nouveaux groupes et alliances rejoignant les rangs pour menacer les infrastructures critiques dans le monde entier.

Les acteurs de la menace cherchant à perturber les opérations ciblent un spectre étroit de vulnérabilités, affectant principalement des dispositifs orientés vers le périmètre tels que les concentrateurs VPN, les passerelles de bureau distant et les convertisseurs de protocoles OT. Ces CVE, une fois exploitées, offrent aux attaquants une exécution de code à distance non authentifiée, un contrôle des dispositifs au niveau root, et permettent souvent de contourner directement les mécanismes d’authentification et de contrôle d’accès hérités. L’impact opérationnel est amplifié car nombre de ces vulnérabilités restent non corrigées dans des environnements critiques en raison des exigences de temps de fonctionnement des appareils, des retards de correctifs des fournisseurs ou des lacunes de visibilité des actifs.

En outre, la convergence des technologies de l’information et des technologies opérationnelles, la prolifération des outils de gestion à distance et l’intégration avec des fournisseurs tiers ont créé de nouvelles voies latérales pour les attaquants. Les partenaires de la chaîne d’approvisionnement ou les intégrateurs tiers compromis servent de points d’entrée de confiance ; les services d’accès à distance des fournisseurs exposés et les pare-feu mal configurés érodent encore davantage la segmentation statique. Les adversaires exploitent des ponts IT/OT de confiance, des dispositifs de terrain non sécurisés, et même des ordinateurs portables de maintenance pour accéder directement aux réseaux de contrôle des processus et aux systèmes de sécurité. Cette surface d’attaque en évolution rend les modèles de sécurité périmétrique hérités insuffisants, ce qui souligne la nécessité d’une surveillance dynamique du réseau, d’une découverte continue des actifs et d’une architecture éclairée par les menaces.

Selon les données X-Force, parmi les 670 vulnérabilités déclarées au cours du premier semestre 2025 qui peuvent impacter les environnements OT, 11 % affichent une note de sévérité CVSS « Critique » (score CVSS entre 9,0 et 10,0). En outre, un cinquième (21 %) des vulnérabilités critiques ont un code d’exploitation publiquement disponible.

Deux diagrammes circulaires illustrent les données sur les vulnérabilités dans les environnements OT. Le premier graphique classe les vulnérabilités par note CVSS et affiche les pourcentages pour les niveaux faible, moyen, élevé et critique. Le deuxième graphique met en évidence le pourcentage de vulnérabilités critique dont le code exploiter est accessible au public (21 %). Les visuels utilisent des nuances de bleu et de violet pour la différenciation.

Cette année, des exemples notables d’exploitation des vulnérabilités OT critiques ont été enregistrés :

  • En mai 2025, des acteurs de la menace ont exploité une vulnérabilité critique liée à l’exécution de code à distance dans le démon SSH Erlang/OTP (CVE-2025-32433), qui permet aux utilisateurs non authentifiés d’exécuter des commandes arbitraires. Environ 70 % des tentatives d’attaque ont visé les pare-feux et environnements OT
  • Le NCSC néerlandais a confirmé que des attaquants exploitaient la CVE-2025-6543, une faille grave dans les produits Citrix NetScaler ADC et Gateway, comme une vulnérabilité zero-day depuis début mai 2025, avant sa déclaration publique. Cela a permis aux attaquants de déployer des shells Web, d’établir un accès persistant et potentiellement de perturber les VPN et les passerelles d’accès à distance dans des secteurs critiques.
  • En mai 2025, le fabricant d’acier Nucor a arrêté sa production dans plusieurs usines à la suite d’une violation de la cybersécurité. L’intrusion impliquait un accès non autorisé aux systèmes informatiques internes, entraînant des arrêts par précaution. Bien que classée comme centrée sur l’informatique, la perturbation a eu un impact direct sur les opérations industrielles et souligne le lien étroit entre informatique et technologies opérationnelles.

Ces exemples montrent à quel point il est important de rester informé des vulnérabilités susceptibles d’être exploitées par les acteurs de la menace. X-Force a analysé divers forums en ligne, marchés, canaux Telegram, salons de discussion et conversations pour relever les CVE les plus mentionnées au premier semestre 2025, qui pourraient avoir un impact sur les environnements OT/ICS.  Ces informations peuvent aider les entreprises à affiner leur stratégie de gestion des correctifs.

Un graphique à barres visualisant les 10 CVE les plus mentionnés qui pourraient influencer les environnements OT/ICS au premier semestre 2025. Le graphique met en évidence les identifiants CVE tels que CVE-2025-0228 et CVE-2025-3124, avec des nombres de mentions allant de 75 à 1830. Les barres horizontales représentent le nombre de mentions pour chaque CVE, soulignant leur importance relative.

Sur les 10 principales CVE déclarées au premier semestre 2025 et susceptibles d’avoir un impact sur l’OT, 90 % ont été activement exploitées, et 70 % ont été activement exploités par des APT. Par exemple, la CVE le plus mentionnée, CVE-2025-0282, aurait été exploitée par UNC5221, un « acteur d’espionnage soupçonné d’être lié à la Chine ». Cette vulnérabilité permet aux attaquants non authentifiés de s’implanter dans le réseau interne derrière une appliance Connect Secure VPN vulnérable. Les attaquants peuvent alors se déplacer latéralement dans le réseau et potentiellement impacter les systèmes de contrôle industriels. La deuxième vulnérabilité la plus mentionnée, CVE-2025-31324, aurait été activement exploitée par Chaya_004, « un acteur chinois de menace ». Cette vulnérabilité affectant SAP NetWeaver Visual Composer permettrait à un attaquant d’exécuter du code à distance. De nombreuses entreprises industrielles utilisent SAP pour la planification des ressources d’entreprise (ERP) et la gestion de la chaîne d’approvisionnement (SCM), qui peut interagir directement avec les systèmes OT ou les influencer indirectement.

Au-delà de la détection : la défense nouvelle génération contre les adversaires modernes

2025 est une année déterminante pour la sécurité OT et des infrastructures critiques. La convergence d’adversaires étatiques motivés, l’évolution rapide des écosystèmes de ransomwares et l’exploitation persistante d’un ensemble restreint de vulnérabilités à fort impact ont mis en lumière des faiblesses fondamentales dans les environnements OT existants. Désormais, les attaquants contournent systématiquement les défenses traditionnelles du périmètre, en tirant parti de la compromission de la chaîne d’approvisionnement, du vol d’identifiants privilégiés et de mouvements latéraux profonds pour obtenir des résultats paralysants, et même critiques pour la sécurité.

Cet environnement de menace oblige les entreprises à repenser fondamentalement la manière dont les risques OT sont gérés. La cybersécurité doit dépasser la conformité et les contrôles de type « case à cocher » pour évoluer vers un modèle de défense axé sur le renseignement et spécifique au secteur. La survie ne se limite plus à empêcher l’accès initial ; elle exige une détection rapide, un confinement efficace et une reprise résiliente, le tout soutenu par un engagement continu des dirigeants et une gouvernance au niveau du conseil d’administration.

La résilience opérationnelle en 2026 et au-delà dépendra de la capacité de l’entreprise à prioriser les vulnérabilités, à simuler des scénarios d’attaque réels, à appliquer des contrôles multi-couches et à s’emparer de la question de la cybersécurité de la salle de contrôle au conseil d’administration. Les enjeux sont existentiels : la continuité des services, la conformité réglementaire, la sécurité physique et la confiance du public reposent toutes sur une stratégie proactive et adaptative de cyberdéfense OT. Nous encourageons les entreprises à prendre acte des recommandations suivantes :

1. Prioriser la gestion des correctifs

  • Gérez vos correctifs comme si votre entreprise en dépendait, car c’est le cas. Priorisez les vulnérabilités qui sont activement exploitées. Utilisez le catalogue des vulnérabilités exploitées et connues (KEV) de la CISA, MITRE, les flux de renseignement sur les menaces et les avis des fournisseurs comme liste de choses à faire.
  • Si l’application des correctifs est retardée, déployez la segmentation du réseau, la liste des applications autorisées et renforcez la surveillance des anomalies OT/ICS.

2. Cartographier les menaces qui pèsent sur votre secteur

  • Envisagez d’obtenir une évaluation stratégique des menaces de votre entreprise pour comprendre les menaces les plus susceptibles d’avoir un impact sur votre environnement en fonction de votre secteur d’activité et de votre zone géographique d’activité.
  • Utilisez la matrice MITRE ATT&CK pour les ICS et les alertes des ISAC sectoriels (c’est-à-dire E-ISAC, MFG-ISAC, Water-ISAC) afin de cartographier les TTP pertinents pour votre entreprise.

3. Faites du Red Teaming comme les adversaires

4. Défense multicouche, et non « sécurité de type case à cocher »

  • Séparer l’informatique et l’OT, utiliser des pare-feux, des DMZ, des passerelles unidirectionnelles.
  • Appliquez le MFA, effectuez une rotation des identifiants et interdisez les connexions partagées sur les postes de travail des ingénieurs.
  • Investissez dans la détection des anomalies et l’inspection passive approfondie des paquets (DPI) pour l’OT et établissez des protocoles clairs de réponse aux incidents.

5. Adhésion du conseil d’administration et tests en conditions réelles

  • Traitez la sécurité OT comme un impératif de la direction générale : le risque OT n’est pas simplement un problème informatique, c’est un problème d’entreprise et de sûreté essentiel. L’engagement du conseil d’administration et le soutien de la direction dans ce domaine ne sont pas négociables en 2025. Testez vos opérations de gestion de crise cybernétique dans une expérience hautement immersive basée sur de véritables scénarios d’adversaires.

Newsletter Think

Votre équipe sera-t-elle en mesure de repérer la prochaine attaque de type zero-day à temps ?

Rejoignez les responsables de la sécurité qui font confiance à la Newsletter Think pour obtenir des informations ciblées autour de l’IA, de la cybersécurité, des données et de l’automatisation. Apprenez rapidement grâce à des tutoriels et des fiches explicatives d’experts, envoyés directement dans votre boîte de réception. Consultez la Déclaration de confidentialité d’IBM.

Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.

https://www.ibm.com/fr-fr/privacy
Solutions connexes
Services de gestion des menaces

Prévoyez, prévenez et répondez aux menaces modernes pour accroître la résilience de l’entreprise.

 

 Découvrir les services de gestion des menaces
Solutions de détection et de réponse aux menaces

Utilisez les solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.

 Découvrir les solutions de détection des menaces
Solutions de défense contre les menaces mobiles (MTD)

Protégez votre environnement mobile avec les solutions complètes de défense contre les menaces mobiles d’IBM MaaS360.

 Explorer les solutions de défense contre les menaces mobiles
Passez à l’étape suivante

Bénéficiez de solutions complètes de gestion des menaces, afin de protéger votre entreprise avec compétence contre les cyberattaques.

 Découvrir les services de gestion des menaces Demander une séance d’information sur les menaces