L’évolution des menaces dans l’environnement industriel en 2025

La spécialisation du paysage des menaces

Le paysage des menaces se caractérise désormais par une division du travail entre les acteurs malveillants. Plusieurs groupes opèrent en modèles couplés : le premier assure l’accès initial avant de le transmettre à un second groupe doté de capacités spécifiques aux systèmes industriels (ICS). Cette division de tâches réduit considérablement le délai entre la compromission et la préparation opérationnelle.

Azurite, par exemple, est un adversaire de l’étape 2 de la chaîne ICS, qui cible les postes de travail d’ingénierie OT pour exfiltrer des données opérationnelles. Bien qu’il n’ait pas été observé manipulant directement les processus, son intérêt pour les données opérationnelles, les fichiers de projet et les informations des opérateurs est « démonstratif de l’intention de collecter des informations OT qui aideront presque certainement à développer des capacités spécifiques à l’OT », estime Dragos.

Sylvanite agit comme fournisseur d’accès initial (étape 1), exploitant rapidement les vulnérabilités des dispositifs périphériques. Dragos a observé que cet acteur « transfère les environnements compromis à des adversaires de l’étape 2 comme Voltzite en quelques jours ».

Pyroxene se distingue par son approche axée sur la chaîne logistique. Ce groupe se concentre sur les faiblesses de l’écosystème plus large soutenant les opérations critiques, « en engageant délibérément des entités de plus faible maturité comme points d’appui permettant l’accès ».

Voltzite, quant à lui, a démontré une capacité ICS spécifique en pivotant vers les postes de travail d’ingénierie pour « extraire des fichiers de configuration et des données d’alarme afin d’enquêter sur ce qui déclencherait l’arrêt des processus opérationnels ».

Les failles opérationnelles et la convergence IT/OT

Le fossé entre la capacité des adversaires et la visibilité des défenseurs s’élargit. Dragos estime que « moins de 10 pour cent des réseaux OT mondiaux disposent de télémétrie et de surveillance réseau ». Cette lacune de visibilité signifie que de nombreux incidents ne sont découverts qu’après un impact opérationnel.

L’exploitation des vulnérabilités s’est accélérée : le temps médian entre la divulgation et l’exploitation publique est tombé à 24 jours. De plus, les systèmes de gestion des vulnérabilités OT présentent des failles systémiques, avec 25 pour cent des avis de vulnérabilité ne proposant aucune correction ou conseil de mitigation.

Le ransomware continue de frapper les organisations industrielles. Un problème persistant est la « fausse caractérisation des incidents de ransomware comme étant uniquement informatiques, pilotée par des intervenants qui voient un système d’exploitation Windows et classent l’incident sans reconnaître que le système hébergeait un logiciel SCADA, ou fonctionnait comme un poste de travail d’ingénierie ». Même sans malware spécifique à l’ICS, la corruption de l’infrastructure de virtualisation sur laquelle repose l’OT peut entraîner une perte de vue et de contrôle, provoquant des perturbations opérationnelles.