Une étude d'OMICRON basée sur les déploiements réels de son système de détection d'intrusion (IDS) dans plus de cent installations révèle que les réseaux de technologie opérationnelle (OT) des sous-stations, des usines et des centres de contrôle effectuent toujours des défaillances qui les laissent exposés. Après avoir connecté des capteurs passifs à des réseaux PAC (protection, automatisation et contrôle), les équipes ont identifié, dans de nombreux cas, des problèmes critiques en quelques minutes : des dispositifs sans support, des connexions externes inattendues, une segmentation médiocre et des catalogues d'actifs incomplets qui rendent difficile la compréhension de ce qui se trouve réellement sur le réseau.
La nature des systèmes électriques explique pourquoi la détection au niveau du réseau est essentielle. De nombreux dispositifs d'automatisation industrielle n'exécutent pas de systèmes d'exploitation conventionnels et n'autorisent donc pas les agents de sécurité standard. Par conséquent, des normes et des cadres tels que le Cadre de cybersécurité du NIST recommandent des capacités de détection en réseau pour les environnements industriels ( NISTES) et les normes sectorielles telles que la CEI 62443 définissent les contrôles spécifiques à l'OT (voir explication générale en ISA / CEI 62443).
La méthodologie utilisée dans l'analyse combine la surveillance passive à travers des ports miroirs ou des TAP et des sondes qui observent le trafic sans interférer dans les communications, avec des consultations actives lorsque le protocole le permet. En outre, le fonctionnement de descripteurs normalisés tels que les fichiers SCL IEC 61850 et l'utilisation de MMS pour récupérer des données de "nomplate" facilitent la construction d'inventaires automatiques des appareils et connaissent le firmware, le fabricant et le modèle. Ce mélange de techniques permet de combler le fameux « fossé de visibilité » dans lequel de nombreux opérateurs restent piégés ( IEC 61850 - aperçu général).
Parmi les résultats techniques récurrents, mentionnons l'équipement PAC avec firmware obsolète contenant des vulnérabilités connues; un exemple documenté est le CVE-2015-5374, qui permet des conditions de refus de service dans les relais de protection par des paquets UDP et pour lesquels il y a eu des correctifs depuis des années ( Détails du CVE). Des services non sûrs qui ne devraient pas être actifs étaient également situés, du partage de fichiers Windows aux fonctions de débogage des PLCs, et des connexions TCP / IP externes non autorisées qui, dans certains endroits, représentaient des dizaines de destinations persistantes. La constatation la plus inquiétante a été la fréquence des architectures de "réseau plat", où des centaines d'appareils partagent la communication sans barrières claires, augmentant considérablement la portée de tout incident.
Les déploiements n'ont pas seulement exposé les risques de cybersécurité : des problèmes opérationnels qui affectent la disponibilité et l'intégrité des communications sont apparus. Les erreurs VLAN et l'étiquetage incohérent des messages GOOSE, les erreurs de correspondance entre les descriptions TU et SCD qui empêchent les mises à jour SCADA, les erreurs de synchronisation temporelle et les boucles ou les erreurs de configuration dans les commutateurs redondants sont des exemples qui montrent comment la fragilité fonctionnelle peut amplifier l'impact d'une intrusion.
Le facteur humain et l'organisation pèsent également lourdement. L'OMICRON a souvent détecté une responsabilité diffuse entre les équipes IT et OT, un manque de personnel dédié à la sécurité industrielle et des contraintes budgétaires qui ralentissent la mise en œuvre des contrôles. Lorsque la sécurité OT est gérée comme une extension informatique sans adapter les processus et les rôles, les mesures sont souvent limitées aux exigences spécifiques du secteur de l'énergie.
L'un des avantages pratiques d'un SDI passif dans ces environnements est sa capacité à fournir une représentation visuelle du trafic, générer des inventaires d'actifs automatiquement et identifier des connexions ou des services inutiles. Il est ainsi plus facile de prioriser les correctifs et les contrôles sans toucher l'équipement en production, minimisant ainsi le risque d'interruption. Les outils ayant une connaissance des protocoles industriels (IEC 104, MMS, GOOSE, etc.) permettent également de détecter les écarts par rapport au comportement attendu à travers des listes blanches et des signatures connues, ce qui améliore la détection précoce.
Les opérateurs n'ont pas à inventer la roue: il y a des guides et des ressources publiques qui aident à concevoir des contrôles OT mûrs et adaptés aux infrastructures essentielles. Des organismes comme la U.S. Infrastructure and Cybersecurity Agency. Les États-Unis (CISA) publient des lignes directrices pour les systèmes de contrôle industriel et de gestion des incidents qui sont utiles pour hiérarchiser les actions spécifiques ( CISA - ICS). En Europe, l'Agence européenne pour la cybersécurité (ENISA) a élaboré des recommandations visant à protéger le secteur de l'énergie des menaces modernes ( ENISA - énergie).
S'il y a une leçon claire de l'étude, les solutions doivent être spécifiques à l'OT et complémentaires: inventaires automatisés qui réduisent la cécité opérationnelle, la segmentation et le contrôle d'accès qui limitent le rayon d'effet, examens des services actifs pour fermer des portes inutiles, politiques de patching adaptées aux routines critiques et de coordination entre les opérations et la sécurité. Il ne suffit pas de déplacer l'informatique vers les pratiques OT sans adaptation : la convergence nécessite des contrôles conçus simultanément pour la disponibilité et la sécurité.
La voie est exigeante, mais pratique : déployer une surveillance passive aux points stratégiques, prioriser les actifs vulnérables, fermer les connexions externes injustifiées et résoudre les erreurs fonctionnelles détectées (VLAN, synchronisation, redondance) offrent généralement une amélioration rapide de la résilience. De plus, la formation d'équipement mixte IT-OT et l'attribution de rôles clairs en matière de sécurité BT sont également des changements organisationnels décisifs.
L'étude d'OMICRON montre que de nombreuses infrastructures électriques continuent d'accumuler des risques qui peuvent être exploités avec des techniques connues. En agissant maintenant, avec une visibilité et des contrôles spécifiques, on réduit les risques systémiques et on protège à la fois la continuité du service et la sécurité publique. Pour plus d'informations sur les solutions technologiques utilisées dans ces analyses, voir la page produit d'OMICRON StationGuard ( OMICRON StationGuard) et les ressources citées par le NIST, le CISA et l'ENISA pour s'aligner sur les bonnes pratiques éprouvées.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...