← Retour au blog
Briefing Sécurité
🔴 Critique
Infrastructures critiques sous attaque : Urgence ICS/SCADA
Synthèse
La CISA émet une directive d'urgence suite aux vulnérabilités critiques des automates Siemens et Schneider Electric menaçant le réseau électrique et les installations industrielles. Des stations de traitement des eaux de trois États signalent une activité réseau suspecte. Le FBI alerte sur une campagne cyber coordonnée ciblant le secteur énergétique avant les tempêtes hivernales.
⚡ En résumé : Si vous exploitez des systèmes ICS/SCADA, isolez les appareils affectés sous 48 heures conformément à la directive d'urgence CISA 26-01.
Pourquoi c'est important
Une vulnérabilité critique dans les automates Siemens SIMATIC S7-1500 permet l'exécution de code à distance sans authentification via le réseau. Ces automates contrôlent des processus critiques dans la production d'énergie, l'industrie manufacturière, le traitement des eaux et les installations chimiques. La CISA a émis la directive d'urgence 26-01 exigeant des agences fédérales l'isolement des systèmes affectés sous 48 heures.
| Impact |
Description |
| Perturbation des processus |
Arrêt des processus industriels |
| Systèmes de sécurité |
Contournement potentiel des verrouillages de sécurité |
| Dommages physiques |
Dommages aux équipements par commandes malveillantes |
| Défaillances en cascade |
Infrastructures interdépendantes affectées |
Actions à mener
- Isoler immédiatement les automates affectés des réseaux IT
- Appliquer la mise à jour de sécurité Siemens SSA-434535
- Mettre en place la segmentation réseau entre IT/OT
- Activer la journalisation sur tout le trafic réseau OT
- Déployer un IDS industriel (Claroty, Dragos, Nozomi)
Pourquoi c'est important
Un contournement d'authentification dans les automates Schneider Electric Modicon M340 permet aux attaquants de modifier la logique ladder et les paramètres de processus sans identifiants. Ces équipements sont largement déployés dans les systèmes de production et de distribution d'énergie.
⚙️
Modifications non autorisées
Les attaquants peuvent modifier les processus industriels sans authentification
👁️
Capacités de masquage
Les modifications malveillantes peuvent être masquées aux opérateurs
⚠️
Manipulation de la sécurité
Potentiel de manipulation des systèmes de sécurité
🔓
Accès persistant
Accès persistant à long terme aux environnements OT
Actions à mener
- Restreindre l'accès réseau aux équipements Modicon M340
- Appliquer le correctif Schneider SEVD-2026-038-01
- Mettre en place une liste blanche d'applications sur les postes d'ingénierie
- Activer la détection de modifications sur les programmes automates
- Vérifier les procédures de sauvegarde/restauration des configurations automates
Pourquoi c'est important
Le FBI et la CISA confirment une activité réseau suspecte dans des stations de traitement des eaux au Texas, en Floride et en Pennsylvanie. Les attaquants ont obtenu l'accès via des automates Unitronics exposés (similaire à l'incident de Pennsylvanie en 2023) et ont tenté de modifier les paramètres de dosage chimique.
Alerte critique : Cela reproduit l'attaque de la station de traitement des eaux d'Aliquippa en 2023. Les installations utilisant des automates Unitronics doivent considérer qu'elles sont ciblées.
Actions à mener
- Auditer immédiatement l'exposition Internet de tous les systèmes IHM/automates
- Modifier les identifiants par défaut sur Unitronics et tous les équipements OT
- Mettre en place l'authentification multifacteur pour l'accès à distance
- Activer les alertes sur les modifications de paramètres de processus
- Coordonner avec le WaterISAC pour le renseignement sur les menaces
Pourquoi c'est important
Les entreprises de renseignement sur les menaces attribuent les récentes intrusions dans le secteur énergétique à VOLTZITE, un acteur étatique présumé avec des capacités similaires à SANDWORM. Les TTP incluent des techniques « living-off-the-land » et une persistance à long terme dans les réseaux OT.
Actions à mener
- Rechercher les IOC de VOLTZITE dans les environnements IT et OT
- Examiner l'utilisation de PowerShell et WMI dans les systèmes adjacents à l'OT
- Mettre en place la surveillance des flux réseau aux frontières IT/OT
- Activer le contrôle des périphériques USB dans les environnements OT
- Mener un exercice de simulation de réponse aux incidents OT
Pourquoi c'est important
Des chercheurs ont divulgué des vulnérabilités dans les systèmes d'infrastructure de comptage avancé (AMI) de plusieurs fournisseurs qui pourraient permettre aux attaquants de couper l'alimentation de clients individuels ou de falsifier les données de consommation.
Actions à mener
- Examiner la segmentation réseau des systèmes AMI
- Mettre à jour les systèmes AMI centraux vers les dernières versions
- Activer le chiffrement pour les communications des compteurs
- Surveiller les schémas de commandes anormaux des compteurs
Checklist de Sécurité ICS/SCADA
Immédiat (24-48 heures)
- CRITIQUE : Isoler les automates Siemens S7-1500 des réseaux IT
- CRITIQUE : Appliquer les correctifs Schneider Modicon M340
- CRITIQUE : Auditer l'exposition Internet de tous les équipements OT
- Modifier les mots de passe par défaut sur tous les systèmes automates/IHM
Cette semaine
- Mettre en place la segmentation réseau IT/OT
- Déployer une détection d'intrusion spécifique OT
- Examiner l'accès à distance aux environnements OT
- Réaliser un inventaire des actifs OT
- Activer la journalisation du trafic réseau OT
- Coordonner avec les ISAC sectoriels (E-ISAC, WaterISAC)
- Mettre à jour les plans de réponse aux incidents pour les scénarios OT
- Former les opérateurs à reconnaître les comportements IHM suspects