Constructeur de machines : Réseau OT restauré en 6 heures après une cyberattaque

Un constructeur de machines de taille moyenne avec 1 200 employés a été victime d’une cyberattaque sur son réseau OT en février 2026. Grâce à des processus de récupération préparés et à une architecture de réseau segmentée, la production était de nouveau entièrement opérationnelle après seulement 6 heures – la norme dans le secteur est de 21 jours.

L’essentiel

• Attaque via un accès de télémaintenance compromis d’un fournisseur de machines
• Arrêt de la production limité à 6 heures au lieu des 21 jours habituels dans le secteur
• Les sauvegardes immuables ont permis une restauration complète de l’OT
• Dommage évité estimé : 4,2 millions d’euros

Contexte : IT et OT – deux mondes, un risque

Le constructeur de machines exploite trois sites de production avec plus de 200 machines CNC et robots industriels connectés. L’infrastructure OT a évolué historiquement – de nombreux systèmes de contrôle fonctionnaient encore sous Windows 7 Embedded, les mises à jour n’étaient pas possibles pour des raisons de stabilité.

Après un incident de peu en 2024, l’entreprise avait lancé un programme de sécurité OT : segmentation du réseau entre IT et OT, capteurs de surveillance dédiés pour les protocoles industriels et – crucial – des sauvegardes immuables de toutes les configurations de contrôle.

L’attaque : Par la chaîne d’approvisionnement dans le réseau OT

Les attaquants ont d’abord compromis l’accès VPN d’un fournisseur de machines, utilisé pour la télémaintenance. Par cet accès, ils ont pénétré dans le réseau OT et ont tenté de manipuler les systèmes de contrôle.

La surveillance OT a déclenché une alerte lorsqu’elle a enregistré des commandes Modbus anormales sur trois machines CNC. Un attaquant tentait de modifier les paramètres de fabrication – une manipulation qui aurait entraîné des composants défectueux et des dommages potentiels aux machines.

Réaction : Arrêt contrôlé et récupération

L’équipe de réponse aux incidents a décidé d’un arrêt contrôlé de la ligne de production concernée. La segmentation du réseau a empêché que l’attaque ne se propage aux deux autres sites.

En parallèle, l’équipe de récupération a lancé la restauration à partir des sauvegardes immuables. Chaque machine CNC et chaque robot avait une image de configuration sécurisée qui ne pouvait pas être modifiée depuis le réseau.

Chronologie :

06:42 : Surveillance OT signale des commandes Modbus anormales

06:58 : Arrêt contrôlé de la ligne de production 2

07:15 : Sauvegarde forensique des systèmes compromis

08:30 : Début de la restauration à partir des sauvegardes immuables

12:45 : Ligne de production 2 de nouveau entièrement opérationnelle

Résultat et comparaison des coûts

L’arrêt de la production a duré 6 heures pour l’une des trois lignes. Le dommage estimé d’une panne de trois semaines (moyenne du secteur) aurait été de 4,2 millions d’euros. Les coûts réels de l’incident : 180 000 euros pour l’analyse forensique et la reconstruction de l’accès à distance.

Segmentation OT : L’investissement de 320 000 euros réalisé en 2024 s’est amorti grâce à cet incident avec un facteur de 12.

Fait : La durée moyenne d’indisponibilité d’une entreprise de production après une cyberattaque est de 21 jours, selon Siemens/Ponemon.

Fait : 76 % des entreprises de fabrication avaient, selon Claroty, au moins une vulnérabilité critique dans leur réseau OT accessible via Internet.

Faits clés

Volume des dommages : La cybercriminalité cause des dommages de plus de 8 000 milliards d’euros par an dans le monde.

Pénurie de compétences : Il manque plus de 3,5 millions de spécialistes en cybersécurité dans le monde.

Questions fréquentes

Pourquoi les attaques OT sont-elles particulièrement dangereuses ?

Les systèmes OT contrôlent des processus physiques. Les paramètres manipulés peuvent entraîner des produits défectueux, des dommages aux machines ou même des risques pour les personnes – des risques qui vont bien au-delà de la perte de données.

Qu’est-ce que les sauvegardes immuables ?

Des sauvegardes qui ne peuvent plus être modifiées ou supprimées après leur création – même avec des droits d’administrateur. Pour les systèmes OT, elles sécurisent les configurations exactes des machines et permettent une restauration rapide à un état connu et sûr.

Comment protéger mieux les accès de télémaintenance ?

Par des serveurs de saut avec authentification multifactorielle (MFA), des accès temporaires (Just-in-Time Access) et la surveillance de toutes les sessions de télémaintenance. L’accès compromis dans ce cas n’avait aucun de ces éléments de sécurité.

Articles connexes

• Entreprise pharmaceutique : Exploit Zero-Day repoussé grâce à l’intelligence des menaces
• Acte de solidarité cybernétique de l’UE : L’Europe construit une défense cybernétique commune
• DORA en pratique : Premières expériences du secteur financier

Plus du réseau MBF Media

• Stratégies IT pour les décideurs sur digital-chiefs.de
• Plus de tendances en sécurité informatique sur mybusinessfuture.com

Source de l’image : Pexels

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow