← Retour au blog
Briefing Sécurité 🔴 Critique

Infrastructures critiques sous attaque : Urgence ICS/SCADA

6 min de lecture
URGENCE CRITIQUE

Synthèse

La CISA émet une directive d'urgence suite aux vulnérabilités critiques des automates Siemens et Schneider Electric menaçant le réseau électrique et les installations industrielles. Des stations de traitement des eaux de trois États signalent une activité réseau suspecte. Le FBI alerte sur une campagne cyber coordonnée ciblant le secteur énergétique avant les tempêtes hivernales.

⚡ En résumé : Si vous exploitez des systèmes ICS/SCADA, isolez les appareils affectés sous 48 heures conformément à la directive d'urgence CISA 26-01.

🔴
Critique

CVE-2026-24891 — Exécution de code à distance Siemens SIMATIC S7-1500

Pourquoi c'est important

Une vulnérabilité critique dans les automates Siemens SIMATIC S7-1500 permet l'exécution de code à distance sans authentification via le réseau. Ces automates contrôlent des processus critiques dans la production d'énergie, l'industrie manufacturière, le traitement des eaux et les installations chimiques. La CISA a émis la directive d'urgence 26-01 exigeant des agences fédérales l'isolement des systèmes affectés sous 48 heures.

Impact Description
Perturbation des processus Arrêt des processus industriels
Systèmes de sécurité Contournement potentiel des verrouillages de sécurité
Dommages physiques Dommages aux équipements par commandes malveillantes
Défaillances en cascade Infrastructures interdépendantes affectées

Actions à mener

  • Isoler immédiatement les automates affectés des réseaux IT
  • Appliquer la mise à jour de sécurité Siemens SSA-434535
  • Mettre en place la segmentation réseau entre IT/OT
  • Activer la journalisation sur tout le trafic réseau OT
  • Déployer un IDS industriel (Claroty, Dragos, Nozomi)
Critique

CVE-2026-24903 — Contournement d'authentification Schneider Electric Modicon M340

Pourquoi c'est important

Un contournement d'authentification dans les automates Schneider Electric Modicon M340 permet aux attaquants de modifier la logique ladder et les paramètres de processus sans identifiants. Ces équipements sont largement déployés dans les systèmes de production et de distribution d'énergie.

⚙️

Modifications non autorisées

Les attaquants peuvent modifier les processus industriels sans authentification

👁️

Capacités de masquage

Les modifications malveillantes peuvent être masquées aux opérateurs

⚠️

Manipulation de la sécurité

Potentiel de manipulation des systèmes de sécurité

🔓

Accès persistant

Accès persistant à long terme aux environnements OT

Actions à mener

  • Restreindre l'accès réseau aux équipements Modicon M340
  • Appliquer le correctif Schneider SEVD-2026-038-01
  • Mettre en place une liste blanche d'applications sur les postes d'ingénierie
  • Activer la détection de modifications sur les programmes automates
  • Vérifier les procédures de sauvegarde/restauration des configurations automates
💧
Intrusion active

Intrusions détectées dans des installations de traitement des eaux

Pourquoi c'est important

Le FBI et la CISA confirment une activité réseau suspecte dans des stations de traitement des eaux au Texas, en Floride et en Pennsylvanie. Les attaquants ont obtenu l'accès via des automates Unitronics exposés (similaire à l'incident de Pennsylvanie en 2023) et ont tenté de modifier les paramètres de dosage chimique.

Alerte critique : Cela reproduit l'attaque de la station de traitement des eaux d'Aliquippa en 2023. Les installations utilisant des automates Unitronics doivent considérer qu'elles sont ciblées.

Actions à mener

  • Auditer immédiatement l'exposition Internet de tous les systèmes IHM/automates
  • Modifier les identifiants par défaut sur Unitronics et tous les équipements OT
  • Mettre en place l'authentification multifacteur pour l'accès à distance
  • Activer les alertes sur les modifications de paramètres de processus
  • Coordonner avec le WaterISAC pour le renseignement sur les menaces
🎯
Attribution

Campagne secteur énergétique : « VOLTZITE »

Pourquoi c'est important

Les entreprises de renseignement sur les menaces attribuent les récentes intrusions dans le secteur énergétique à VOLTZITE, un acteur étatique présumé avec des capacités similaires à SANDWORM. Les TTP incluent des techniques « living-off-the-land » et une persistance à long terme dans les réseaux OT.

Actions à mener

  • Rechercher les IOC de VOLTZITE dans les environnements IT et OT
  • Examiner l'utilisation de PowerShell et WMI dans les systèmes adjacents à l'OT
  • Mettre en place la surveillance des flux réseau aux frontières IT/OT
  • Activer le contrôle des périphériques USB dans les environnements OT
  • Mener un exercice de simulation de réponse aux incidents OT
📡
Divulgation

Divulgation de vulnérabilités AMI des réseaux intelligents

Pourquoi c'est important

Des chercheurs ont divulgué des vulnérabilités dans les systèmes d'infrastructure de comptage avancé (AMI) de plusieurs fournisseurs qui pourraient permettre aux attaquants de couper l'alimentation de clients individuels ou de falsifier les données de consommation.

Actions à mener

  • Examiner la segmentation réseau des systèmes AMI
  • Mettre à jour les systèmes AMI centraux vers les dernières versions
  • Activer le chiffrement pour les communications des compteurs
  • Surveiller les schémas de commandes anormaux des compteurs

Checklist de Sécurité ICS/SCADA

Immédiat (24-48 heures)
  • CRITIQUE : Isoler les automates Siemens S7-1500 des réseaux IT
  • CRITIQUE : Appliquer les correctifs Schneider Modicon M340
  • CRITIQUE : Auditer l'exposition Internet de tous les équipements OT
  • Modifier les mots de passe par défaut sur tous les systèmes automates/IHM
Cette semaine
  • Mettre en place la segmentation réseau IT/OT
  • Déployer une détection d'intrusion spécifique OT
  • Examiner l'accès à distance aux environnements OT
  • Réaliser un inventaire des actifs OT
  • Activer la journalisation du trafic réseau OT
  • Coordonner avec les ISAC sectoriels (E-ISAC, WaterISAC)
  • Mettre à jour les plans de réponse aux incidents pour les scénarios OT
  • Former les opérateurs à reconnaître les comportements IHM suspects

Scannez votre environnement OT pour les vulnérabilités ICS/SCADA

🗡️ Scanner vos systèmes →

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home