Les usines détectent les cyberattaques plus tôt, mais restent bloquées dans la récupération, selon SANS

Les usines détectent les cyberattaques plus tôt, mais restent bloquées dans la récupération, selon SANS
Share on Pinterest Share on LinkedIn

La cybersécurité industrielle traverse une réalité « à deux vitesses ». C’est l’une des principales conclusions du Rapport 2025 sur l’état de la sécurité ICS/OT, le nouvel étude du SANS Institute qui examine l’état de la sécurité dans les systèmes de contrôle industriel (ICS) et la technologie opérationnelle (OT) dans des secteurs critiques tels que l’énergie, la fabrication, la chimie, les transports ou les infrastructures essentielles.

Selon cette étude, basée sur les réponses de plus de 330 professionnels de la sécurité ICS/OT dans le monde entier, les organisations détectent aujourd’hui leurs incidents plus rapidement qu’il y a quelques années, mais mettent encore trop de temps à en assurer la récupération. Cet écart entre détection et récupération devient l’un des points faibles les plus préoccupants pour les usines, réseaux électriques ou systèmes de transport : une faille qui pourrait aggraver la gravité des incidents ou leur impact.

Détection en heures, récupération en semaines

Les données du rapport offrent un tableau contrasté. Plus d’une organisation industrielle sur cinq a subi au moins un incident cybernétique au cours de la dernière année, et dans 40 % des cas, cela a entraîné une interruption opérationnelle : arrêts de production, dégradation du service ou impact sur des processus critiques.

Le bon côté réside dans la phase de détection : près de la moitié des incidents ont été identifiés en moins de 24 heures, et environ 60 % ont été maîtrisés dans les 48 premières heures. Dans les domaines de la surveillance, de l’alerte précoce et de la réponse initiale, le secteur présente des progrès tangibles par rapport aux années précédentes.

Cependant, la réalité change lors de la phase de récupération. Près de 19 % des incidents analysés ont mis plus d’un mois à être entièrement solutionnés, du début de l’attaque à la restauration sécurisée des opérations. Dans les environnements où chaque arrêt engendre des pertes financières, des risques pour la sécurité physique ou des impacts sur des services essentiels (énergie, eau, transport), ces retards peuvent avoir des conséquences graves.

Jason D. Christopher, instructeur certifié du SANS et auteur du rapport, résume la situation ainsi : « Les organisations ont amélioré leur capacité à « entendre l’alarme », mais ont encore du mal à « éteindre l’incendie » rapidement, sans augmenter le risque. La restauration d’un environnement industriel est bien plus complexe que de relancer un système informatique bureautique : elle nécessite de valider les accès, de vérifier que les contrôleurs et PLC n’ont pas été altérés, et de coordonner les équipes d’ingénierie, de production et de cybersécurité. »

L’accès à distance, porte d’entrée principale

L’étude met en évidence un protagoniste gênant : l’accès à distance. La moitié des incidents signalés provient d’accès externes non autorisés, que ce soit via tunnels VPN, solutions de maintenance à distance mal configurées ou ponts entre le réseau IT et le réseau OT.

Malgré cette donnée, seulement environ 13 % des organisations déclarent avoir mis en place des contrôles d’accès à distance avancés « spécifiques à l’ICS » : enregistrement des sessions, autorisation en temps réel des actions sensibles, validation stricte de l’identité utilisateur et du dispositif, ou passerelles dédiées à l’OT. Très souvent, la priorité historique est restée la continuité opérationnelle et la facilité d’accès pour les fournisseurs et techniciens, plutôt que la conception d’un modèle d’accès robuste et traçable.

Des études récentes sur l’OT indiquent également qu’une part importante de ces systèmes reste accessible depuis Internet ou via des architectures héritées, conçues à une époque où l’OT ne quittait pas le périmètre interne. Des recherches académiques estiment des dizaines de milliers d’appareils OT exposés mondialement, souvent avec des firmwares obsolètes et des vulnérabilités connues non patchées depuis plusieurs années.

Visibilité qui se réduit à mesure qu’on s’approche du processus

Le rapport met aussi en lumière un problème classique de la sécurité industrielle : le manque de visibilité dans les niveaux les plus proches du processus physique. À peine 12,6 % des participants déclarent avoir une visibilité complète dans toute la « chaîne de cyberdéfense ICS », c’est-à-dire depuis les couches de supervision jusqu’aux contrôleurs et appareils de terrain.

À mesure que l’on s’approche des PLC, RTU ou instruments de processus, les données de surveillance se font plus rares ou disparaissent. Cela complique la détection précoce de changements dangereux dans les paramètres de contrôle, l’identification de mouvements latéraux dans le réseau OT, et la reconstitution after-action lors d’un incident.

Concrètement, beaucoup d’organisations peuvent percevoir « le bruit » d’une attaque lorsqu’elle provient du réseau IT ou des couches de supervision, mais perdent ensuite la trace là où un changement de consigne, une commande malveillante ou une désactivation de protections peuvent causer un vrai dommage à la production ou au service.

Régulation et renseignement sur les menaces : un impact mesurable

Un autre élément clé du rapport concerne l’impact de la réglementation et de l’intelligence sur les menaces spécifiques à l’ICS. Les installations soumises à des cadres réglementaires stricts — comme certains infrastructures critiques — n’en enregistrent pas nécessairement moins d’incidents, mais déclarent environ 50 % moins d’impact financier et sécuritaire.

Cela signifie que, même si les failles persistent, les conséquences sont souvent atténuées. La conformité réglementaire impose la mise en œuvre de contrôles, de processus d’audit, de plans de réponse et d’exercices de simulation qui, une fois internalisés, améliorent la capacité à contenir un incident.

De même, les organisations qui exploitent l’intelligence sur les menaces spécifiques à l’ICS pour ajuster leurs détections, renforcer leur segmentation, actualiser leur inventaire d’actifs critiques ou revoir leurs règles d’accès obtiennent des résultats nettement supérieurs en matière de défense, comparé à celles qui restent passives face aux rapports.

Les actions des équipes les plus avancées

Au-delà des statistiques, le rapport du SANS ainsi que d’autres analyses sectorielles tracent une feuille de route claire pour réduire l’écart entre détection et récupération dans l’environnement industriel :

  • Considérer l’accès à distance comme une fonction critique de contrôle de processus, non comme un service IT ordinaire. Cela nécessite de canaliser toutes les connexions via des passerelles ou jumps hosts spécifiques à l’OT, d’appliquer les principes du Zero Trust (authentification forte, privilèges minimaux, approbation explicite pour les actions sensibles) et d’enregistrer intégralement chaque session pour audit.
  • Concevoir et maintenir une architecture réseau défensive, avec une segmentation claire entre IT, OT et Internet, afin de minimiser les points d’exposition et de contrôler les flux de trafic entre ces zones.
  • Investir dans une visibilité OT native, incluant un inventaire actualisé des actifs, la surveillance des protocoles industriels et la détection d’anomalies dans les niveaux de contrôle et terrains, pas uniquement dans l’environnement informatique central.
  • Exerciser régulièrement la réponse et la récupération avec des scénarios industriels concrets, impliquant ingénieurs, opérateurs et responsables métiers, pour renforcer la préparation. Les structures qui s’entraînent sur ces scénarios montrent une capacité d’intervention nettement supérieure, selon l’étude.

Par ailleurs, la menace persiste, avec notamment le ransomware ciblant l’OT et l’activité des groupes d’espionnage ou de sabotage sophistiqués visant les infrastructures critiques. Cela souligne que la sécurité ne doit pas rester en surface, mais doit être intégrée pleinement dans la gestion opérationnelle.

Les prochaines étapes : passer des données aux décisions

Pour accompagner la sortie du rapport, le SANS organise un webinaire le 19 novembre, destiné aux techniciens, ingénieurs, équipes d’intervention et responsables de sécurité OT, durant lequel Jason D. Christopher détaillera les résultats et leur application concrète. Un second rendez-vous, le 9 décembre, s’adressera aux CISO et aux dirigeants industriels pour élaborer leur stratégie pour 2026.

En résumé, l’accent n’est plus uniquement mis sur la détection : la vraie résilience industrielle se mesure aussi à la capacité à rétablir ses opérations de manière sécurisée, rapide et sans accroître le risque pour les personnes, les équipements ou la société dans son ensemble.

Questions fréquentes sur le rapport SANS 2025 sur la sécurité ICS/OT

Qu’est-ce que la sécurité ICS/OT dans les infrastructures critiques ?
Elle consiste à protéger les systèmes qui supervisent et contrôlent les processus physiques dans des secteurs tels que l’énergie, l’eau, les transports, la fabrication ou la chimie. Cela inclut depuis les systèmes SCADA, IHM, jusqu’aux PLC et capteurs agissant directement sur les vannes, moteurs ou lignes de production. L’objectif est d’éviter les interruptions, les dommages matériels ou les risques pour la sécurité physique liés aux cyberattaques.

Pourquoi la récupération d’un incident cybernétique industriel peut-elle prendre plus d’un mois ?
Dans beaucoup d’environnements, la restauration ne se limite pas à la récupération des sauvegardes. Il faut vérifier l’intégrité des contrôleurs, valider les configurations, assurer la sécurité des accès à distance et redémarrer en toute sécurité les processus. L’absence de procédures testées, de documentation à jour ou de processus décisionnels clairs peut faire allonger ce délai à plusieurs semaines.

Quelles mesures « sensibles à l’ICS » pour l’accès à distance sont critiques ?
Les plus importantes incluent la centralisation via des passerelles dédiées OT, l’authentification forte, la journalisation, la limitation des privilèges, et l’approbation en temps réel pour les actions avancées telles que la modification de la logique dans un PLC ou la désactivation de protections, pour réduire la probabilité d’intrusion et faciliter l’enquête.

Comment exploiter l’intelligence sur les menaces spécifiques à l’ICS/OT ?
Il faut traduire cette intelligence en actions concrètes : ajuster les règles de détection, renforcer la segmentation réseau, actualiser l’inventaire des actifs critiques ou concevoir des scénarios d’intervention. Les organisations qui intègrent efficacement ces données dans leur gestion parviennent à limiter l’impact des attaques, tant au niveau économique que sécuritaire.

Retrouvez plus d’informations et le rapport complet sur sans.org.

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

Les usines détectent les cyberattaques plus tôt, mais restent bloquées dans la récupération, selon SANS

Orca Security arrive sur Oracle Cloud Marketplace : sécurité cloud « instantanée » pour les clients d’OCI

Kyndryl mise sur l’IA agissante pour revitaliser le mainframe

NVIDIA stimule ses ventes de puces d’IA tandis que Google, Amazon et d’autres investissent dans des processeurs sur mesure

Foxconn montre sa puissance en IA : alliances avec NVIDIA, OpenAI et Alphabet marquent son Hon Hai Tech Day 2025

SSSTC lance un SSD SATA d’entreprise de 16 To pour centres de données et serveurs d’IA