Secu
Sécurité des infrastructures critiques : une veille sur les menaces pour une défense éclairée de l’OT
Par Laurent Delattre, publié le 11 septembre 2025
La transformation numérique des environnements OT expose les infrastructures critiques à des cybermenaces ciblées, persistantes et amplifiées par l’IA. Entre IoT, 5G et IA, les environnements OT se réinventent mais se fragilisent. Les assaillants misent sur l’IA, les ransomwares et des failles « low-tech » pour les paralyser. Décryptage…
Par Florent Lefèvre, Business Developper Manager OT chez Fortinet France
Les environnements industriels OT (Operational Technology) qui assurent le bon fonctionnement de nos infrastructures critiques font face à des risques en constante évolution, liés à des cybermenaces de plus en plus ciblées, persistantes, automatisées et qui doivent être maîtrisées de manière urgente.
En se basant sur le panorama 2025 des menaces mondiales de Fortinet, force est de constater que les systèmes OT ne subissent plus seulement les dommages collatéraux des attaques, mais sont devenus des cibles à part entière. Les cybercriminels capitalisent sur des menaces APT (Advanced Persistent Threats) pour s’en prendre à des réseaux industriels, et ainsi détourner des données, perturber des services critiques, exiger des rançons et même s’implanter dans la durée pour perpétrer leurs attaques.
L’OT, cible de cyberattaques intelligentes… mais souvent « low-tech »
Les infrastructures OT sont de plus en plus ciblées par des attaques sophistiquées. Les assaillants privilégient la reconnaissance active et ciblent des protocoles réseaux industriels largement non sécurisés,comme Modbus TCP. Grâce à l’IA, toutes les étapes de l’attaque sont automatisées, rendant les environnements OT particulièrement vulnérables aux ransomwares.
Le secteur industriel est particulièrement exposé. En effet, les cybercriminels évaluent le coût d’un arrêt de production pour ajuster leurs rançons, sachant que toute interruption est intolérable pour les industriels.
Ces attaques, bien que ciblées, reposent souvent sur des techniques simples : systèmes non corrigés, mots de passe faibles, accès distants mal sécurisés. Les méthodes dites living off the land, qui exploitent des outils légitimes déjà présents, sont de plus en plus utilisées.
Un cas marquant : au Moyen-Orient, des assaillants ont infiltré une infrastructure critique pendant deux ans à l’aide d’identifiants achetés sur le dark web pour moins de 150 dollars. En utilisant des outils Windows standards, ils ont maintenu un accès furtif avant de déployer un malware sur mesure. Une attaque discrète, patiente, mais redoutablement efficace.
OT et IA : une double révolution des menaces et des défenses industrielles
La modernisation industrielle accentue les risques cyber. Avec la croissance continue de l’IoT industriel, de la 5G, des réseaux cellulaires privés et des modèles d’accès direct-to-cloud, les dispositifs en ligne sont plus nombreux que jamais. Et donc plus nombreux à être exposés aux risques. Les réseaux OT, autrefois cloisonnés, sont désormais étroitement intégrés aux systèmes IT, facilitant ainsi le déplacement des assaillants entre ces deux écosystèmes. Alors que les industriels continuent à interconnecter des équipements OT hérités (conçus à l’origine sans intégrer les principes de sécurité) à leurs réseaux IT et directement à Internet, certaines fonctionnalités de sécurité deviennent impératives, à l’instar de la segmentation, de l’authentification multifactorielle (MFA) et du patching virtuel.
De même pour l’intelligence artificielle (IA) qui redéfinit le paysage des menaces. Les assaillants capitalisent sur des outils IA personnalisés comme FraudGPT et WormGPT pour générer des emails de phishing, cartographier les surfaces d’attaque et mener des campagnes d’ingénierie sociale très réalistes et ultra rapides.
Dans le domaine de l’OT, qui subit une pénurie de ressources humaines qualifiées, le processus de détection et de réponse aux menaces s’améliore s’il tire parti d’une veille optimisée par IA et sensible aux éléments de contexte.
Une défense adossée à une veille sur les menaces pour passer à l’action
Une des idées maîtresses est que la veille sur les menaces ne suffit pas à elle seule. Pour être efficace, les données sur les menaces doivent également être pertinentes. Un modèle de défense basée sur une veille aide les entreprises à sécuriser les environnements industriels (lignes de production, réseaux électriques, infrastructure de raffinage, etc.). Cette protection capitalise sur un mapping entre leurs opérations de sécurité et le comportement réel des assaillants, en tirant parti de frameworks comme MITRE ATT&CK for ICS qui répertorient les tactiques et techniques connues et utilisées spécifiquement contre les systèmes de contrôle industriels.
Ce mapping permet aux entreprises de :
* Détecter les tactiques des assaillants lors de leur phase de reconnaissance ou de leurs déplacements latéraux
* Faire correspondre les indicateurs d’attaque avec des techniques connue
* Prioriser la réponse aux menaces en fonction des risques réellement subis par les ressources critiques.
Sécuriser l’OT : trois leviers pour combler les failles et anticiper les menaces
La sécurité OT n’est plus facultative et les professionnels du secteur ont non seulement besoin de visibilité, mais aussi de contexte, de rapidité et de capacité d’action. Les 3 principes ci-dessous constituent à ce titre une priorité.
1 – Pallier les lacunes de base en matière de sécurité
* Déployer l’authentification multifactorielle (MFA)
* Changer les identifiants par défaut et gérer les identités
* Evaluer régulièrement la surface d’attaque externe
2 – Investir dans une sécurité opérationnelle adossée à une veille sur les menaces
* Elaborer des playbooks en phase avec MITRE ATT&CK for ICS
* Utiliser des technologies de leurre pour détecter le mouvement latéral des menaces
* Intégrer la veille sur les menaces avec des plateformes de logs et d’analyse
3 – Se préparer à l’inévitable
* Mener des exercices de simulation
* Former les équipes à détecter les menaces optimisées par l’IA, dont le phishing
* S’assurer que les équipes IT et OT sont suffisamment préparées à répondre aux incidents de cybersécurité
Face à des assaillants plus rapides, furtifs et ingénieux, la défense des infrastructures critiques OT ne peut se contenter de mesures de sécurité traditionnelles. Elle exige une prise en compte des situations, une traque active des menaces et une maturité opérationnelle pour que les informations de veille recueillies éclairent vos actions. C’est le seul moyen de garder une longueur d’avance sur les menaces. Les entreprises doivent passer d’une posture réactive à une stratégie proactive.
À LIRE AUSSI :
À LIRE AUSSI :
