Infrastructures critiques sous attaque : Urgence ICS/SCADA
6 min de lectureURGENCE CRITIQUE
Résumé exécutif
La CISA émet une directive d'urgence alors que des vulnérabilités critiques dans les automates Siemens et Schneider Electric menacent le réseau électrique et les installations de fabrication. Des stations de traitement des eaux dans trois États signalent une activité réseau suspecte. Le FBI alerte sur une campagne cyber coordonnée ciblant le secteur de l'énergie avant les tempêtes hivernales.
⚡ L'essentiel : Si vous exploitez des systèmes ICS/SCADA, isolez les appareils affectés dans les 48 heures conformément à la directive d'urgence CISA 26-01.
🔴
Critique
CVE-2026-24891 — Exécution de code à distance Siemens SIMATIC S7-1500
Pourquoi c'est important
Une vulnérabilité critique dans les automates Siemens SIMATIC S7-1500 permet l'exécution de code à distance non authentifiée sur le réseau. Ces automates contrôlent des processus critiques dans la production d'énergie, la fabrication, le traitement des eaux et les installations chimiques. La CISA a émis la directive d'urgence 26-01 exigeant que les agences fédérales isolent les systèmes affectés dans les 48 heures.
Impact
Description
Perturbation des processus
Arrêt des processus industriels
Systèmes de sécurité
Contournement potentiel des verrouillages de sécurité
Dommages physiques
Dommages aux équipements par des commandes malveillantes
Défaillances en cascade
Infrastructure interdépendante affectée
Actions à entreprendre
Isolez immédiatement les automates affectés des réseaux informatiques
Appliquez la mise à jour de sécurité Siemens SSA-434535
Mettez en œuvre la segmentation réseau entre IT/OT
Activez la journalisation de tout le trafic réseau OT
Déployez un IDS industriel (Claroty, Dragos, Nozomi)
⚡
Critique
CVE-2026-24903 — Contournement d'authentification Schneider Electric Modicon M340
Pourquoi c'est important
Un contournement d'authentification dans les automates Schneider Electric Modicon M340 permet aux attaquants de modifier la logique ladder et les paramètres de processus sans identifiants. Ces appareils sont largement déployés dans les systèmes de production et de distribution d'énergie.
⚙️
Modifications non autorisées
Les attaquants peuvent modifier les processus industriels sans authentification
👁️
Capacités de masquage
Les modifications malveillantes peuvent être cachées aux opérateurs
⚠️
Manipulation de la sécurité
Potentiel de manipulation des systèmes de sécurité
🔓
Accès persistant
Accès persistant à long terme aux environnements OT
Actions à entreprendre
Restreignez l'accès réseau aux appareils Modicon M340
Appliquez le correctif Schneider SEVD-2026-038-01
Mettez en œuvre la liste blanche des applications sur les postes d'ingénierie
Activez la détection de changement sur les programmes d'automates
Examinez les procédures de sauvegarde/restauration des configurations d'automates
💧
Intrusion active
Intrusions détectées dans des stations de traitement des eaux
Pourquoi c'est important
Le FBI et la CISA confirment une activité réseau suspecte dans des stations de traitement des eaux au Texas, en Floride et en Pennsylvanie. Les attaquants ont obtenu l'accès via des automates Unitronics exposés (similaire à l'incident de Pennsylvanie de 2023) et ont tenté de modifier les paramètres de dosage chimique.
Alerte critique : Cela reflète l'attaque de 2023 contre la station de traitement des eaux d'Aliquippa. Les installations utilisant des automates Unitronics doivent supposer qu'elles sont ciblées.
Actions à entreprendre
Auditez immédiatement l'exposition Internet de tous les systèmes IHM/automates
Modifiez les identifiants par défaut sur les appareils Unitronics et tous les appareils OT
Mettez en œuvre l'authentification multifacteur pour l'accès à distance
Activez les alertes sur les modifications de paramètres de processus
Coordonnez-vous avec WaterISAC pour le renseignement sur les menaces
🎯
Attribution
Campagne du secteur de l'énergie : « VOLTZITE »
Pourquoi c'est important
Les sociétés de renseignement sur les menaces attribuent les récentes intrusions dans le secteur de l'énergie à VOLTZITE, un acteur étatique suspecté avec des capacités similaires à SANDWORM. Les TTP incluent des techniques d'exploitation des outils du système et une persistance à long terme dans les réseaux OT.
Actions à entreprendre
Recherchez les IOC de VOLTZITE dans les environnements IT et OT
Examinez l'utilisation de PowerShell et WMI dans les systèmes adjacents à l'OT
Mettez en œuvre la surveillance des flux réseau aux frontières IT/OT
Activez le contrôle des périphériques USB dans les environnements OT
Effectuez un exercice de simulation pour la réponse aux incidents OT
📡
Divulgation
Divulgation de vulnérabilité AMI du réseau intelligent
Pourquoi c'est important
Des chercheurs ont divulgué des vulnérabilités dans les systèmes d'infrastructure de comptage avancée (AMI) de plusieurs fournisseurs qui pourraient permettre aux attaquants de couper l'alimentation électrique de clients individuels ou de falsifier les données de consommation.
Actions à entreprendre
Examinez la segmentation réseau des systèmes AMI
Mettez à jour les systèmes de tête AMI vers les dernières versions
Activez le chiffrement pour les communications des compteurs
Surveillez les schémas de commandes de compteurs anormaux
Liste de contrôle de sécurité ICS/SCADA
Immédiat (24-48 heures)
CRITICAL: Isoler les automates Siemens S7-1500 des réseaux informatiques
CRITICAL: Appliquer les correctifs Schneider Modicon M340
CRITICAL: Auditer l'exposition Internet de tous les appareils OT
Modifier les mots de passe par défaut sur tous les systèmes automates/IHM
Cette semaine
Mettre en œuvre la segmentation réseau IT/OT
Déployer la détection d'intrusion spécifique OT
Examiner l'accès à distance aux environnements OT
Effectuer un inventaire des actifs OT
Activer la journalisation du trafic réseau OT
Coordonner avec les ISAC sectoriels (E-ISAC, WaterISAC)
Mettre à jour les plans de réponse aux incidents pour les scénarios OT
Former les opérateurs à reconnaître les comportements IHM suspects
Analysez votre environnement OT pour détecter les vulnérabilités ICS/SCADA