Fin décembre, une attaque orchestrée a été détectée sur l'infrastructure électrique polonaise, qui, sans laisser de coupures d'électricité généralisées, a marqué des dizaines d'installations de production décentralisées. Selon les premiers rapports publics, au moins une douzaine de sites ont été touchés, y compris des installations de cogénération (CHP) et des systèmes de bureaux pour les parcs éoliens et solaires; toutefois, la firme spécialisée Drago estime que le nombre réel de sites concernés pourrait être de près de 30. La somme des capacités engagées était d'environ 1,2 GW, soit environ 5 % de l'approvisionnement national en énergie., un nombre suffisant pour causer des problèmes opérationnels si l'attaque avait une portée ou une synchronisation différente.
Les enquêteurs qui ont analysé l'incident sont d'accord à un point clé : l'absence de pannes massives ne réduit pas la gravité de l'événement. Ce qui s'est passé a été une attaque dirigée contre des composants technologiques opérationnels (OT) et des équipes de contrôle du réseau qui, dans plusieurs cas, ont été irréversiblesment endommagés et ont laissé leur configuration hors d'usage. De plus, l'équipement Windows a été supprimé par les essuie-glaces et la communication à distance avec de nombreuses unités a été interrompue. Perdre la visibilité et la télécommande dans de nombreuses unités réparties sur le territoire est en soi un signal d'alarme sur la fragilité des systèmes énergétiques décentralisés.
Dragos attribue l'opération avec une confiance modérée à un acteur russe qu'il appelle Electrum, un groupe qui partage des caractéristiques avec la menace bien connue du ver du sable (également mentionnée dans des rapports comme APT44) mais qui, selon les analystes, constitue un groupe avec ses propres caractéristiques et campagnes. Le répertoire des logiciels malveillants associés à ces opérations comprend des ébauches et des outils destructeurs visant à interrompre les communications et les dispositifs de contrôle corrompus; les exemples mentionnés par les différentes équipes d'intervention sont des familles telles que DynoWiper, Caddywiper et Industroyer2, qui ont été observées dans des incidents contre des infrastructures critiques dans la région. Pour plus de détails techniques sur la recherche de Drago, consultez votre rapport : Drago - rapport sur Electrum et le secteur de l'électricité polonais, et pour lire sur les menaces et les attaques avec essuie-glaces vous pouvez visiter la couverture et l'analyse d'ESET sur votre portail de recherche: Sécurité des véhicules (ESET).
Du point de vue opérationnel, les attaquants se sont concentrés sur les points faisant face au réseau et aux équipements frontaliers : les unités terminaux distantes (RTU), les dispositifs de bord, les équipements de bureau et les machines Windows sur les sites de production distribués. La répétition des techniques et le choix de configurations similaires dans plusieurs installations indiquent que les auteurs étaient bien conscients de la façon dont ces actifs sont déployés et gérés. Dans de nombreux endroits, ils ont réussi à désactiver le matériel de communication, qui a déconnecté la capacité de surveillance et de télécommande; toutefois, la génération locale a continué à fonctionner de manière autonome dans la plupart des cas, évitant les pannes immédiates.
Malgré cela, les risques découlant de ces intrusions vont au-delà d'une possible coupure ponctuelle. En interférant avec le flux d'information et la position qui occupent les unités distribuées dans la balance de charge, un attaquant pourrait causer des déviations de fréquence dans le système électrique. Ces oscillations, si elles atteignent certains seuils et s'accompagnent de défaillances dans d'autres parties du réseau, déclenchent des effets de cascade que la communauté énergétique elle-même connaît peut être catastrophique. Les analystes ont rappelé les précédents récents dans lesquels les variations de fréquence contribuaient aux effondrements régionaux, et soulignent donc le danger de « petites » cibles lorsqu'elles agissent de manière coordonnée.
La recherche a également mis en évidence des problèmes récurrents qui ont facilité l'intrusion : équipement exposé à Internet sans protection appropriée, configurations par défaut ou mal durcies, absence de segmentation efficace entre les réseaux d'entreprise et OT, et absence de copies fiables de la configuration critique des appareils. Ces facteurs ne sont pas nouveaux, mais, combinés à des outils destructeurs et à une planification ciblée, ils transforment les installations décentralisées en cibles très vulnérables.
D'un point de vue pratique, la leçon est claire : les réseaux énergétiques contemporains, de plus en plus distribués par la croissance des unités renouvelables et modulaires, nécessitent une cyberprotection adaptée comprenant des inventaires précis des actifs, des copies sécurisées des configurations, une segmentation robuste, une gestion de l'accès et une surveillance continue incluant à la fois la télémétrie OT et IT. Les agences et organismes œuvrant dans ce domaine, comme l'Agence américaine pour l'infrastructure et la cybersécurité, offrent des guides et des ressources sur les bonnes pratiques pour les systèmes de contrôle industriel ( CISA - ICS), et en Europe, l'Agence de l'Union pour la cybersécurité publie des recommandations spécifiques pour le secteur de l'énergie ( ENISA).
Il y a aussi une dimension géopolitique : lorsque de telles attaques se produisent parfois et dans des conditions qui peuvent affecter la population civile - par exemple, en hiver - l'impact potentiel transcende la technique et entre dans le domaine de la sécurité nationale et humanitaire. C'est pourquoi la recherche cherche non seulement à remédier aux systèmes, mais aussi à comprendre les motivations, les tactiques et les chaînes d'engagements pour prévenir de nouvelles campagnes.
Bref, l'épisode polonais est un rappel inconfortable: la transition vers des réseaux plus écologiques et plus distribués apporte des avantages environnementaux et de résilience, mais il expose également de nouveaux vecteurs de risque si les mesures de cybersécurité ne sont pas intégrées de la conception. La protection de l'électricité contre l'avenir nécessite à la fois des investissements technologiques et des changements dans la gestion opérationnelle et une coopération accrue entre opérateurs, fabricants et autorités.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...