Les logiciels malveillants affectant les systèmes de contrôle industriel (ICS) ont le potentiel de perturber les industries clés qui sous-tendent la société moderne, prévient un rapport publié mercredi par le site de recherche sur la cybersécurité Comparitech.
Selon le chercheur Justin Schamotta, les appareils ICS exposés à Internet constituent une cible principale pour les auteurs de menaces, en particulier ceux qui utilisent des protocoles existants tels que Modbus.
Schamotta a identifié 179 appareils ICS exposés à Internet dans son rapport. « Un appareil ICS que nous avons identifié comme faisant partie d’un réseau ferroviaire national », a-t-il écrit. « Les chemins de fer utilisent des appareils ICS pour tout, depuis l’acheminement des trains jusqu’à la signalisation. L’exposition de tels appareils pourrait présenter un risque opérationnel et de sécurité sérieux. »
« Deux autres appareils (un en Asie et un en Europe) faisaient partie de l’infrastructure du réseau électrique national de leur pays respectif », a-t-il ajouté. « Dans le secteur de l’approvisionnement en énergie, les appareils ICS peuvent être utilisés pour surveiller la consommation et contrôler la distribution électrique. »
Schamotta a noté que les États-Unis disposaient des dispositifs de contrôle industriels les plus exposés, 57, suivis de la Suède avec 22 et de la Turquie avec 19.
« Les logiciels malveillants peuvent paralyser les systèmes ICS et les rendre inutilisables, souvent jusqu’à ce qu’une rançon soit payée », a déclaré Paul Bischoff, défenseur de la vie privée des consommateurs de Comparitech.
« Ces systèmes sont utilisés dans les infrastructures critiques et dans l’industrie manufacturière, donc les attaquer peut avoir de graves conséquences pour les personnes et les entreprises qui en dépendent », a-t-il déclaré à TechNewsWorld. « Les centrales électriques, les installations de traitement de l’eau, les soins de santé, le contrôle de la circulation et les usines font partie de ceux qui pourraient être ciblés. »
Les retombées de l’attaque se propagent rapidement
« Les logiciels malveillants ICS franchissent le fossé cyber-physique et provoquent des dommages cinétiques réels », a observé Shujaatali Badami, ingénieur de recherche en IoT quantique à Chicago.
Il a cité l’attaque de janvier 2024 dans la ville ukrainienne de Lviv, au cours de laquelle un logiciel malveillant appelé FrostyGoop a envoyé des commandes Modbus aux contrôleurs de chauffage, coupant ainsi le chauffage de quelque 600 immeubles d’habitation à des températures inférieures à zéro. « Nous suivons actuellement 26 groupes de menaces OT et plus de 11 familles de logiciels malveillants spécifiques à ICS », a-t-il déclaré à TechNewsWorld. « Ce n’est plus théorique. »
« Les environnements ICS gèrent les processus physiques derrière le traitement de l’eau, la production d’électricité, les oléoducs et gazoducs et les lignes de fabrication », a expliqué Michael Bell, PDG de Suzu Labs, à Las Vegas, un fournisseur de services de cybersécurité basés sur l’IA.
« Lorsqu’un attaquant pénètre dans un réseau informatique, vous perdez des données », a-t-il déclaré à TechNewsWorld. « Lorsqu’ils entrent dans un réseau OT, vous perdez la capacité de contrôler les systèmes physiques qui maintiennent les gens en vie et le fonctionnement des économies. »
Les attaques contre les environnements ICS peuvent également avoir un grand « rayon d’explosion ».
« La dépendance du secteur industriel à l’égard de chaînes d’approvisionnement hautement interconnectées amplifie considérablement l’impact des attaques », a expliqué Floris Dankaart, chef de produit principal pour la détection et la réponse étendues gérées au sein du groupe NCC, un cabinet de conseil mondial en cybersécurité.
« Un seul compromis réussi peut se répercuter sur les fournisseurs, les prestataires logistiques et les partenaires en aval, amplifiant les perturbations bien au-delà de l’organisation cible initiale », a-t-il déclaré à TechNewsWorld. « Cette interconnectivité continue de faire du secteur industriel une cible attrayante pour les auteurs de menaces cherchant à maximiser leur ampleur et leur impact. »
Augmentation des vulnérabilités ICS
Le rapport Comparitech cite également des recherches récentes menées par Cyble Research & Intelligence Labs, qui révèlent que les divulgations de vulnérabilités ICS ont presque doublé entre 2024 et 2025.
« Les systèmes ICS ont été conçus à l’origine pour remplir des fonctions opérationnelles spécifiques dans des environnements isolés », a expliqué Shaila Rana, membre senior de l’IEEE, une organisation professionnelle technique mondiale.
« La sécurité n’était pas une considération primordiale car ces systèmes n’ont jamais été censés être accessibles sur Internet », a-t-elle déclaré à TechNewsWorld. « Ils étaient destinés à être utilisés par des humains et d’autres machines. »
Rana a noté qu’au fil du temps, la poussée vers la surveillance à distance et la connectivité Industrie 4.0 a éliminé cet isolement, et ces systèmes ont été soudainement exposés à un paysage de menaces pour lequel ils n’avaient jamais été conçus. « Cette convergence IT/OT a considérablement élargi la surface d’attaque », a-t-elle déclaré.
« Dans le même temps, la communauté des chercheurs en sécurité s’intéresse de plus en plus aux environnements OT. Plus de chercheurs étudient, plus de vulnérabilités sont découvertes et divulguées », a-t-elle poursuivi. « La combinaison de systèmes existants intrinsèquement non sécurisés et d’une surveillance accrue est à l’origine de cette forte augmentation des divulgations. »
Une partie de l’augmentation des divulgations de vulnérabilités est due au grand nombre de cibles nouvellement connectées, a ajouté Joshua Marpet, consultant principal en sécurité des produits chez Finite State, basé à Columbus, dans l’Ohio, qui automatise la conformité et l’analyse de la sécurité pour les fabricants d’appareils connectés.
« Tout comme les appareils IoT – comme les drones, les thermostats Nest et les réfrigérateurs intelligents – ont commencé à se connecter à Internet, la même chose s’est produite dans le monde industriel », a-t-il déclaré à TechNewsWorld. « La technologie opérationnelle et les appareils ICS/SCADA ont été connectés pour la surveillance, la gestion et le contrôle à distance. La connectivité Internet permet à un acteur malveillant de voir et d’attaquer ces appareils. Ainsi, tout comme certains réfrigérateurs ont été piratés, certaines usines l’ont également fait. »
Risques liés aux protocoles hérités
Étant donné que le marché mondial des systèmes d’automatisation et de contrôle industriels est actuellement évalué à 226,76 milliards de dollars américains et devrait atteindre 504,38 milliards de dollars d’ici 2033, le nombre d’appareils industriels connectés augmente rapidement, note le rapport Comparitech.
Cette expansion présente un défi de cybersécurité important : chaque appareil nouvellement mis en réseau introduit des surfaces d’attaque potentielles qui doivent être protégées, poursuit-il. Sans protections appropriées telles que pare-feu, VPN, segmentation du réseau et authentification sécurisée, les appareils ICS exposés à Internet constituent des cibles faciles.
Du point de vue d’un attaquant, les appareils exécutant des protocoles tels que Modbus, DNP3 ou BACnet sont particulièrement vulnérables car ils ont été conçus pour des réseaux fermés et manquent souvent d’authentification ou de cryptage intégré, ajoute-t-il. Ces appareils pourraient être exploités par des attaquants ayant une expertise technique limitée s’ils sont exposés directement à Internet. Ceci est particulièrement préoccupant étant donné le rôle critique de certains dispositifs ICS dans l’activité économique et les infrastructures essentielles.
La sécurité ICS ne peut pas être traitée comme la sécurité informatique traditionnelle, a soutenu Dale Hoak, RSSI de RegScale, une société de logiciels d’automatisation de la conformité basée à McLean, en Virginie. « Vous ne pouvez pas tout corriger », a-t-il déclaré à TechNewsWorld. « Les temps d’arrêt ne sont pas acceptables, et la sécurité et la disponibilité l’emportent souvent sur la confidentialité. »
« Si je devais résumer les choses simplement », a-t-il ajouté, « vous ne sécurisez pas ICS en poursuivant les menaces. Vous le sécurisez en comprenant et en contrôlant continuellement l’environnement. »
Will Thomas, conseiller principal en matière de renseignement sur les menaces pour Team Cymru, une société de renseignement sur les menaces basée à Lake Mary, en Floride, a affirmé que nous sommes actuellement dans « l’ère de l’adoption » des logiciels malveillants ICS, ce qui signifie que les armes numériques sophistiquées sont désormais couramment utilisées par les services de renseignement des États-nations plutôt que de simples concepts expérimentaux.
« Les adversaires utilisent de plus en plus les réseaux de boîtes de relais opérationnelles pour masquer leurs origines et utilisent des tactiques de « vivre de la terre » pour échapper à la détection une fois à l’intérieur d’un réseau », a-t-il déclaré. « Pour survivre à ce paysage de menaces hautement performantes, les organisations doivent reconnaître que les appareils ICS existants ne doivent jamais être directement connectés à l’Internet public. »
Les périls de la longévité
L’un des plus grands défis en matière de cybersécurité dans les infrastructures critiques est la longue durée de vie des appareils, a noté Tim Mackey, responsable de la stratégie de risque de la chaîne d’approvisionnement logicielle chez Black Duck Software, une société de sécurité des applications à Burlington, Massachusetts.
« Quelque chose qui a été conçu et testé selon les meilleures pratiques disponibles lors de sa sortie peut facilement devenir vulnérable aux attaques utilisant des attaques plus sophistiquées plus tard dans son cycle de vie », a-t-il déclaré à TechNewsWorld. « En effet, les meilleures pratiques existantes pourraient ne pas être à la hauteur pour atténuer les menaces actuelles, ou pire, celles qui pourraient être déployées dans les années à venir. »
« Puisque les attaquants savent que les fournisseurs d’infrastructures critiques se mesurent en fonction de leur temps de fonctionnement ou de la disponibilité de leurs services, une fois qu’un appareil est compromis, ils savent qu’ils ont le luxe de planifier et de planifier une attaque très ciblée plutôt que de se contenter d’être opportunistes », a-t-il déclaré.
« Un point important est que les logiciels malveillants ne sont qu’une partie de l’histoire », a ajouté Rosario Mastrogiacomo, directeur de la stratégie de Sphere Technology Solutions, une société de logiciels et de services de gouvernance des données basée à Hoboken, dans le New Jersey.
« Certaines des intrusions OT et ICS les plus graves commencent toujours par des problèmes fondamentaux, tels que des informations d’identification par défaut, un accès à distance faible, une mauvaise segmentation et une visibilité insuffisante sur les actifs exposés », a-t-il déclaré à TechNewsWorld.
« Le NIST a averti qu’à mesure que l’OT adopte une connectivité informatique standard et un accès à distance, il perd son isolement et devient plus exposé, tandis que la CISA a souligné que même des méthodes peu sophistiquées peuvent fonctionner dans des environnements OT mal sécurisés », a-t-il déclaré.
« Pour de nombreux opérateurs, les gains les plus importants proviennent toujours des fondamentaux : réduire l’exposition à Internet, renforcer l’accès à distance, segmenter l’OT de l’IT, connaître les actifs existants et se préparer aux opérations dégradées ou manuelles avant qu’un incident ne se produise. »
