14. mars 2026 | Imprimer l'article |

Sécurité OT 2026 : 119 groupes de ransomwares ciblent spécifiquement les installations industrielles

8 min de lecture

119 groupes de ransomwares actifs ciblent spécifiquement les installations industrielles. 49 % de plus qu’au cours de l’année précédente. Dragos a identifié trois nouveaux groupes d’attaquants spécialisés dans les technologies opérationnelles : Sylvanite, Azurite et Pyroxen. Parallèlement, Forescout a enregistré un record de 508 avis ICS portant sur 2 155 vulnérabilités en 2025. Pour les exploitants d’infrastructures critiques, la sécurité OT n’est plus un luxe, mais une question de survie.

L’essentiel

  • 🏭 119 groupes de ransomwares ciblant l’industrie, +49 % par rapport à l’année précédente (Dragos, 2025).
  • ⚠️ 508 avis ICS avec 2 155 vulnérabilités en 2025. Un record absolu (Forescout).
  • 🔍 3 nouveaux groupes d’attaquants OT identifiés : Sylvanite, Azurite, Pyroxen (Dragos).
  • 💥 Plus de 60 groupes de hacktivistes activés en quelques heures après des escalades géopolitiques.
  • 🛡️ Le pivotement IT vers OT constitue le vecteur d’attaque principal en croissance. Convergence des réseaux sans protection.

Le paysage des menaces : plus de groupes, plus de vulnérabilités, plus d’attaques

Le dernier rapport OT/ICS de Dragos dresse un tableau alarmant. Le nombre de groupes de ransomwares ciblant spécifiquement les entreprises industrielles s’élève désormais à 119, soit une augmentation de 49 % par rapport à l’année précédente. Il ne s’agit pas d’amateurs : les trois nouveaux groupes identifiés – Sylvanite, Azurite et Pyroxen – font preuve d’un niveau de professionnalisation qui inquiète même les experts OT les plus expérimentés.

Sylvanite cible principalement les fournisseurs d’énergie en Europe occidentale. Azurite vise les entreprises de fabrication équipées de systèmes SCADA connectés. Pyroxen s’est spécialisé dans les infrastructures logistiques et de transport. Les trois groupes utilisent les réseaux IT comme point d’entrée, puis se déplacent latéralement vers l’environnement OT. Le scénario est toujours le même : accès VPN compromis ou phishing dans l’IT, puis pivotement via des passerelles non sécurisées vers les systèmes de contrôle de production.

« La convergence entre IT et OT crée de l’efficacité, mais aussi une surface d’attaque que de nombreuses entreprises industrielles ne comprennent pas encore. La frontière entre ces deux mondes est souvent le point le plus faible. »

Dragos OT/ICS Year in Review, 2025

Pivotement IT vers OT : pourquoi la segmentation classique ne suffit plus

La plupart des entreprises industrielles ont installé un jour un pare-feu entre IT et OT, considérant ainsi le sujet comme réglé. La réalité est différente : les accès de maintenance à distance des fabricants de machines, les serveurs historiens qui transmettent les données de production vers le cloud, les connexions ERP vers les systèmes de contrôle de fabrication. Chacune de ces passerelles constitue un vecteur d’attaque potentiel.

Le modèle Purdue (l’architecture de référence classique pour la segmentation OT) prévoit une séparation stricte en niveaux : Entreprise (niveau 4-5), DMZ (niveau 3,5), Opérations de fabrication (niveau 3), Contrôle (niveau 2), Champ (niveau 0-1). En pratique, la majorité des entreprises n’ont jamais correctement implémenté cette séparation, ou l’ont affaiblie au fil des ans.

Forescout rapporte que 38 % des vulnérabilités OT se situent aux niveaux 3 et 4, c’est-à-dire dans la zone qui devrait normalement fonctionner comme une DMZ. Cela signifie que même les entreprises disposant d’une segmentation OT ne protègent souvent pas précisément la couche censée servir de tampon entre IT et OT.

119
Groupes de ransomwares (industrie)
2.155
Vulnérabilités ICS (2025)
+49 %
Augmentation des groupes d’attaquants YoY

Le hacktivisme : quand la géopolitique devient une perturbation opérationnelle

Un nouveau vecteur aggrave la situation : le hacktivisme ciblant les installations industrielles. Dragos documente qu’en quelques heures après des escalades géopolitiques, plus de 60 groupes de hacktivistes passent à l’action. Leurs cibles : systèmes SCADA, usines de traitement d’eau, fournisseurs d’énergie. Les attaques sont souvent simples sur le plan technique (identifiants par défaut, interfaces HMI exposées), mais leurs effets sont réels : perturbations opérationnelles, exfiltration de données, humiliation publique.

Pour les entreprises industrielles allemandes, cela est pertinent car le hacktivisme ne fait aucune distinction entre la taille des entreprises ou leur secteur d’activité. Un fournisseur de taille moyenne avec un automate programmable (SPS) mal protégé connecté à Internet peut devenir une cible tout autant qu’un conglomérat du DAX. La loi cadre KRITIS et la directive NIS2 aggravent la responsabilité : les exploitants d’infrastructures critiques doivent désormais prouver qu’ils ont mis en œuvre des mesures de protection adéquates.

Ce que les entreprises industrielles doivent faire maintenant

Étape 1 : Établir un inventaire des actifs de l’environnement OT (immédiatement). Vous ne pouvez pas protéger ce que vous ne connaissez pas. Répertoriez tous les équipements présents dans l’environnement OT : automates programmables (SPS), interfaces homme-machine (HMI), serveurs historiens, commutateurs réseau, accès de maintenance à distance. Des outils comme Claroty, Nozomi Networks ou la plateforme Dragos permettent de scanner les réseaux OT de manière passive, sans perturber l’exploitation.

Étape 2 : Sécuriser les passerelles IT/OT (cette semaine). Chaque flux de données entre IT et OT doit être protégé par un pare-feu dédié doté de règles de liste blanche. Aucune règle « tout vers tout ». Les accès de maintenance à distance uniquement via des Jump Hosts avec authentification multifacteur (MFA). Auditez et limitez dans le temps les accès VPN des fabricants de machines.

Étape 3 : Mettre en place une surveillance spécifique à l’OT (1 à 3 mois). Les solutions SIEM IT classiques ne reconnaissent pas les protocoles OT (Modbus, S7, DNP3). Implémentez une surveillance OT dotée d’une détection d’anomalies. Claroty, Nozomi et Dragos proposent des solutions capables de comprendre les protocoles industriels et de détecter des schémas de communication inhabituels.

Étape 4 : Élaborer un plan de réponse aux incidents pour l’OT (1 à 3 mois). Un plan de réponse aux incidents IT n’est d’aucune utilité si la chaîne de production est à l’arrêt. La réponse aux incidents OT repose sur d’autres priorités : la sécurité de la production prime sur la sécurité des données. Définissez qui déclenche l’arrêt d’urgence, comment la production peut continuer manuellement, et comment restaurer les systèmes de contrôle à partir de sauvegardes saines.

Contre-argument : la sécurité OT est coûteuse et ralentit la production

Dans de nombreuses entreprises industrielles, une résistance persiste face aux projets de sécurité OT. Les arguments : les scans passifs peuvent tout de même perturber les automates. Les pare-feux entre IT et OT ralentissent les flux de données. Et les coûts des plateformes de surveillance OT (50 000 à 200 000 Euro par an) sont considérables pour les PME.

La réponse à ces préoccupations est simple : quel est le coût d’un arrêt de production ? ThyssenKrupp a évalué les pertes liées à son incident cybernétique de 2022 à plusieurs dizaines de millions d’euros. Norsk Hydro a perdu plus de 70 millions d’euros en 2019 à cause d’un ransomware dans sa chaîne de fabrication. L’investissement en sécurité OT représente une fraction du potentiel de pertes. De plus, les solutions de surveillance passive n’ont aucun impact mesurable sur l’exploitation de production.

Conclusion : la sécurité OT devient une obligation fondamentale

119 groupes de ransomwares, 2 155 vulnérabilités ICS, trois nouveaux groupes d’attaquants spécialisés dans les cibles industrielles. La menace pesant sur les technologies opérationnelles est plus grave que jamais. La directive NIS2 et la loi cadre KRITIS font de la sécurité OT une obligation pour les dirigeants. Toute entreprise qui ne dispose pas d’un inventaire des actifs, n’applique pas de segmentation IT/OT et n’utilise pas de surveillance OT court sciemment vers le prochain incident. La première étape ne coûte rien : établir une liste de tous les équipements et connexions dans l’environnement OT. La deuxième étape : auditer les accès de maintenance à distance. Ces deux actions sont réalisables en une semaine.

Questions fréquentes

Nous ne sommes pas exploitants KRITIS. La sécurité OT nous concerne-t-elle malgré tout ?

Oui. Les groupes de ransomwares ne font pas la distinction entre KRITIS et non-KRITIS. Si vous exploitez une production connectée, vous êtes une cible. De plus, la directive NIS2 élargit considérablement le cercle des entreprises concernées : de nombreux fournisseurs et prestataires sont désormais soumis à des obligations, même s’ils n’exploitent pas eux-mêmes d’infrastructures critiques.

Une surveillance OT passive peut-elle vraiment ne pas perturber la production ?

Exact. Les solutions de surveillance passive (Claroty, Nozomi, Dragos) analysent le trafic réseau via des ports miroir (SPAN) ou des Network TAPs. Elles n’envoient aucun paquet dans le réseau OT et ne peuvent donc pas affecter les automates. En revanche, les scans actifs (comme Nmap ou Nessus) ne doivent jamais être utilisés dans les environnements OT, car ils peuvent provoquer l’arrêt des automates.

Quel est le coût d’une mise en œuvre initiale de sécurité OT pour une entreprise avec 3 sites de production ?

L’inventaire des actifs peut être réalisé avec les outils internes (scans réseau, documentation). Les plateformes de surveillance OT dédiées coûtent à partir de 15 000 euros par site et par an pour la licence de base. Pour trois sites, comptez entre 50 000 et 80 000 euros par an. S’ajoutent des coûts d’implémentation ponctuels de 20 000 à 40 000 euros. En comparaison, les coûts moyens d’un incident s’élèvent à 1,8 million d’euros (Sophos) voire 70 millions d’euros (Norsk Hydro).

Nos fabricants de machines exigent un accès de maintenance à distance. Comment sécuriser cela ?

La maintenance à distance est le vecteur d’attaque le plus fréquent dans les environnements OT. Trois mesures immédiates : premièrement, acheminer tous les accès de maintenance à distance via un Jump Host centralisé (pas d’accès direct aux automates). Deuxièmement, imposer l’authentification multifacteur (MFA) pour chaque accès. Troisièmement, limiter dans le temps : les sessions de maintenance ne doivent être activées que sur demande (pas de VPN toujours actif). Documentez chaque session, y compris horodatage et actions effectuées.

Quel lien existe-t-il entre la loi cadre KRITIS et NIS2 en matière de sécurité OT ?

La loi cadre KRITIS régit la sécurité physique et la résilience des infrastructures critiques. NIS2 régit la cybersécurité. Ensemble, elles signifient que les exploitants doivent gérer à la fois les risques physiques et numériques, que la direction générale est personnellement responsable, et que le BSI (Office fédéral de la sécurité informatique) peut effectuer des audits. Pour les environnements OT, cela signifie concrètement que la segmentation réseau, la surveillance, la réponse aux incidents et les tests réguliers ne sont plus des recommandations, mais des obligations.

Lectures complémentaires dans le réseau

Plus d’actualités du réseau MBF Media

Source de l’image : Pexels

Imprimer l'article
Tobias Massow

À propos de l'auteur: Tobias Massow

Plus d'articles de

Aussi disponible en

EspañolEnglishDeutsch
Un magazine de Evernine Media GmbH