À la fin de décembre 2025, une opération malveillante a été détectée, qui, sans entraîner de coupures massives d'approvisionnement, a laissé une marque inquiétante sur l'évolution de la cybersécurité industrielle : des installations de plusieurs générations distribuées dans le réseau électrique polonais ont été attaquées et, dans plusieurs cas, certains équipements sont devenus inutilisables. Selon l'analyse publiée par le spécialiste de la sécurité OT Dragos, la campagne - qualifiée avec confiance moyenne - est attribuée à un groupe lié à l'État russe connu sous le nom ELECTRUM, qui aurait travaillé en parallèle avec un groupe complémentaire appelé KAMACITE pour faciliter l'accès et l'exécution dans les environnements industriels ( Rapport de Drago).
Ce qui rend cet épisode unique est la cible choisie: les ressources énergétiques distribuées (Ders), comme les centrales éoliennes, solaires et de cogénération (CHP). Ces atouts, de plus en plus présents dans les réseaux modernisés et décarbonés, non seulement génèrent de l'énergie, mais ils dépendent également des couches de communication et de contrôle qui les relient aux opérateurs de réseau. L'intrusion a affecté les systèmes de communication et de contrôle qui assurent la liaison entre l'exploitant et ces ressources et, à environ 30 endroits, les attaquants ont réussi à dégrader ou à détruire l'équipement essentiel sur place., selon Drago ( analyse plus large des tactiques).
Le modus operandi décrit combine deux phases bien différenciées. KAMACITE a mis l'accent sur l'ouverture des portes : scans d'appareils exposés, phishing de vitesse, vol d'accréditation et exploitation de services visibles sur Internet pour établir la présence initiale. ELECTRUM, pour sa part, agit lorsque cette présence est déjà établie pour se déplacer entre les réseaux IT et OT, déployer des outils spécifiques et parfois manipuler des contrôleurs industriels. Cette division des tâches permet de maintenir une fenêtre d'exposition latente pendant de longues périodes, avec la possibilité d'effectuer des attaques destructrices lorsque les conditions permettent- une pratique qui étend le risque au-delà de l'incident spécifique.
Sur le plan technique, les attaquants auraient profité des dispositifs de réseau et des vulnérabilités exposés pour compromettre les unités terminaux distantes (UTR) et l'infrastructure de communication. Les dommages décrits comprenaient la suppression des systèmes Windows pour compliquer la récupération, réinitialiser les paramètres et, dans certains cas, tenter de laisser des équipements physiquement inutiles. Drago souligne que la plupart des dispositifs attaqués visaient à surveiller la sécurité et la stabilité du réseau, ce qui augmente la gravité de l'événement même si les commandes opérationnelles directes contre les usines n'ont pas été réalisées.
Bien qu'il n'y ait pas de confirmation publique que les attaquants aient essayé de contrôler directement les processus électriques - les disjoncteurs ouverts ou fermés, par exemple - le simple fait de pouvoir interrompre les communications et de laisser hors service les équipements de surveillance complique déjà considérablement la gestion du réseau par les opérateurs. L'épisode indique clairement que le contrôle de la télémétrie et de la connectivité de Ders est maintenant un vecteur de risque avec des conséquences réelles pour la résilience du système électrique.
Cette affaire confirme également une tendance que les spécialistes ont soulignée depuis les précédentes attaques : les opposants aux capacités OT s'intéressent de plus en plus aux infrastructures énergétiques distribuées. Les leçons de l'attaque contre le réseau ukrainien en 2015 sont encore présentes dans la littérature technique et les recommandations opérationnelles ( analyse historique de Drago). Mais la différence actuelle est que la prolifération de Ders introduit une multitude de points de connexion directe ou indirecte au réseau, qui élargit la surface d'attaque.
Que peut tirer l'industrie de cet incident? Premièrement, il faudrait renforcer la visibilité et le contrôle des communications entre les opérateurs et les actifs distribués; il n'est plus recommandé de disposer d'un inventaire à jour des dispositifs, d'identifier les services exposés à Internet et d'appliquer une segmentation réelle entre les environnements IT et OT. Deuxièmement, les mesures classiques telles que l'authentification multifactorielle, la réduction des références partagées et l'hygiène des correctifs pour appareils connectés restent efficaces si elles sont rigoureusement mises en œuvre. À cet égard, les guides d'organismes tels que la US Infrastructure and Cybersecurity Agency. UU sont un bon point de départ pour les opérateurs qui doivent prioriser les actions ( Ressources de la CISA sur l'ICS) et les recommandations techniques détaillées du NIST fournissent des cadres pratiques pour protéger les systèmes de contrôle ( NIST SP 800-82).
Il y a aussi une dimension organisationnelle : la réponse à ce type de risque nécessite une coordination étroite entre les équipes de sécurité informatique et les gestionnaires de BT, des plans de récupération qui envisagent la réparation ou le remplacement d'appareils spécialisés et des exercices de simulation qui envisagent la perte de télémétrie de Ders. De plus, la chaîne d'approvisionnement - firmware, appareils de communication, services OEM - doit faire l'objet de contrôles plus stricts pour réduire la possibilité de portes arrière ou de composants compromis.
Enfin, l'absence de pannes de courant ne doit pas être confondue avec l'absence de dommages. Une attaque qui ne provoque pas de coupures visibles peut également détruire des biens, augmenter les coûts de remplacement et laisser un réseau à haut risque pendant le repositionnement de l'infrastructure. L'industrie énergétique entre dans une nouvelle phase où la modernisation et la numérisation doivent aller de pair avec une cybersécurité conçue spécifiquement pour les environnements industriels, non adaptée du monde des entreprises IT.
Pour ceux qui veulent approfondir, le rapport détaillé de Drago sur l'attaque en Pologne et son rapport plus large sur l'activité d'ELECTRUM et de KAMACITE fournissent des détails techniques et des chronologies qui aident à comprendre l'ampleur et la sophistication de ces opérations ( rapport de l'attaque, Rapport sur les métiers). Le maintien de la garde, l'investissement dans la détection spécialisée et le renforcement de la collaboration entre les opérateurs et les autorités seront essentiels pour empêcher que des incidents comme celui-ci n'entraînent des interruptions importantes à l'avenir.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...