L’infrastructure à laquelle personne ne pense — jusqu’à ce qu’elle tombe en panne
Un matin de février 2021, les opérateurs de la station de traitement des eaux d’Oldsmar, en Floride, ont observé le curseur de leur écran de contrôle se déplacer seul — ajustant la concentration d’hydroxyde de sodium (soude caustique) dans l’eau potable de 100 parties par million à plus de 11 000 parties par million. Un opérateur est intervenu en quelques minutes pour annuler la modification. Le shérif du comté de Pinellas a initialement décrit l’incident comme une cyberattaque exploitant TeamViewer — une application de bureau à distance utilisée par la station sans authentification multifacteur et avec des mots de passe partagés entre employés. Cependant, le FBI a ensuite déclaré ne pas être en mesure de confirmer que l’incident avait été initié par une intrusion informatique ciblée. Un ancien directeur municipal a déclaré aux journalistes en 2023 que l’incident était probablement une erreur humaine, et non une attaque externe.
Que l’incident d’Oldsmar ait été un piratage ou non, l’enquête a mis en lumière une réalité inquiétante : la station fonctionnait sous Windows 7 (fin de support depuis janvier 2020), utilisait des identifiants partagés et disposait d’outils d’accès à distance sans authentification multifacteur ni segmentation réseau. Ces conditions ne sont pas exceptionnelles. En mai 2024, l’Agence américaine de protection de l’environnement (EPA) a publié une alerte d’application révélant que plus de 70 % des systèmes de traitement des eaux inspectés depuis septembre 2023 étaient en infraction avec les exigences de cybersécurité du Safe Drinking Water Act — incluant l’absence de modification des mots de passe par défaut et l’absence de révocation des accès des anciens employés.
Et les acteurs malveillants sont déjà à l’intérieur. En mai 2023, Microsoft et l’alliance de renseignement Five Eyes ont publiquement attribué une campagne informatique sophistiquée à Volt Typhoon, un groupe de menaces parrainé par l’État chinois, pré-positionné dans les réseaux d’infrastructures critiques américaines — non pas pour voler des données, mais pour établir des points d’ancrage persistants en vue de perturbations futures. Début 2024, des avis complémentaires ont révélé que le groupe avait maintenu ses accès pendant au moins cinq ans dans les secteurs des communications, de l’énergie, des transports et de l’eau. Durant la même période, une campagne d’attaque coordonnée au Danemark a exploité des vulnérabilités dans des pare-feux Zyxel pour compromettre 22 entreprises énergétiques simultanément — la plus grande cyberattaque de l’histoire danoise.
Les technologies opérationnelles (OT) et les systèmes de contrôle industriels (ICS) — les systèmes nerveux numériques des réseaux électriques, stations de traitement des eaux, raffineries pétrolières, usines de fabrication et réseaux de transport — représentent la surface d’attaque la plus critique en matière de cybersécurité. Lorsque des systèmes informatiques sont compromis, des données sont volées. Lorsque des systèmes OT sont compromis, des processus physiques sont perturbés, des systèmes de sécurité peuvent être désactivés, et des vies humaines peuvent être menacées.
Comprendre l’architecture OT/ICS
La terminologie peut prêter à confusion. Voici une explication claire :
OT (Operational Technology / Technologie opérationnelle) est la catégorie générale des matériels et logiciels qui surveillent et contrôlent des processus physiques — du thermostat d’un bâtiment aux contrôleurs de turbines d’une centrale électrique.
ICS (Industrial Control Systems / Systèmes de contrôle industriels) est un sous-ensemble de l’OT qui désigne spécifiquement les systèmes contrôlant les processus industriels :
- SCADA (Supervisory Control and Data Acquisition) : Systèmes centralisés qui surveillent et contrôlent des infrastructures géographiquement dispersées — capteurs de pression de pipelines sur des milliers de kilomètres, sous-stations électriques à l’échelle d’une région, compteurs de débit d’eau à travers une ville.
- PLC (Programmable Logic Controllers / Automates programmables industriels) : Ordinateurs dédiés qui contrôlent directement les équipements physiques — ouvrir une vanne, ajuster la vitesse d’un moteur, déclencher un arrêt de sécurité. Les PLC exécutent le « contrôle » proprement dit des systèmes de contrôle industriels.
- DCS (Distributed Control Systems / Systèmes de contrôle distribué) : Utilisés dans les industries de procédés (raffinage pétrolier, industrie chimique) pour contrôler des processus continus où de nombreuses variables doivent être coordonnées simultanément.
- HMI (Human-Machine Interface / Interface homme-machine) : Les écrans et panneaux que les opérateurs utilisent pour surveiller et interagir avec le processus — affichant les données en temps réel, l’état des alarmes et les commandes de contrôle manuel.
Le défi fondamental de la sécurité OT est que ces systèmes ont été conçus pour la fiabilité et la sûreté, pas pour la cybersécurité. De nombreux PLC et systèmes SCADA ont été déployés il y a 15 à 25 ans, fonctionnent sous des systèmes d’exploitation propriétaires ou obsolètes (Windows XP, variantes de systèmes temps réel), ne peuvent pas être mis à jour sans arrêter le processus qu’ils contrôlent, et n’ont jamais été destinés à être connectés à Internet.
Mais ils le sont désormais. La convergence IT (informatique) et OT — portée par la volonté de surveillance à distance, d’analyse de données, de maintenance prédictive et d’efficacité opérationnelle — a exposé des systèmes conçus pour des réseaux isolés à l’ensemble du paysage de menaces d’Internet.
Volt Typhoon : La campagne de pré-positionnement
En mai 2023, Microsoft et les agences de renseignement Five Eyes (États-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande) ont publiquement attribué une campagne de cyberespionnage sophistiquée à Volt Typhoon, un groupe de menaces parrainé par l’État chinois. La campagne ciblait les organisations d’infrastructures critiques aux États-Unis et dans ses territoires, notamment Guam.
Ce qui rendait Volt Typhoon alarmant n’était pas ce que le groupe avait fait, mais ce qu’il n’avait pas fait. Le groupe n’a pas volé de propriété intellectuelle, n’a pas déployé de rançongiciel et n’a pas exigé de paiement. Au lieu de cela, il s’est pré-positionné — il a obtenu l’accès aux réseaux d’infrastructures critiques, a établi des points d’ancrage persistants et a attendu.
Techniques : Volt Typhoon était spécialisé dans la technique du « living off the land » — utilisant des outils système légitimes (PowerShell, WMI, ntdsutil) plutôt que des logiciels malveillants pour éviter la détection. Le groupe compromettait des équipements exposés à Internet (routeurs, pare-feux, appliances VPN) comme points d’entrée, se déplaçait latéralement dans les réseaux à l’aide d’identifiants volés et établissait un accès persistant pouvant être activé sur commande.
Cibles : Communications, énergie, transports, systèmes d’eau et d’assainissement. La couverture géographique incluait les infrastructures de Guam et de la côte ouest des États-Unis — des régions stratégiquement pertinentes dans un scénario de conflit potentiel autour de Taïwan.
Implications : Des responsables du renseignement américain ont déclaré publiquement que l’objectif de Volt Typhoon était de se pré-positionner dans les infrastructures critiques américaines afin que, en cas de conflit militaire dans le Pacifique, la Chine puisse perturber les réseaux électriques, les réseaux de communications et les systèmes d’eau américains pour ralentir le déploiement militaire et semer le chaos sur le territoire national. En janvier 2024, le FBI a perturbé les opérations de Volt Typhoon en supprimant les logiciels malveillants du groupe de centaines de routeurs domestiques et de petits bureaux compromis. Un avis conjoint de février 2024 émis par la CISA, la NSA et le FBI a révélé que le groupe avait maintenu l’accès à certains réseaux pendant au moins cinq ans.
Ce n’est pas de l’espionnage. C’est la préparation d’une guerre informatique ciblant des infrastructures civiles. Et cela représente un changement de paradigme dans la manière dont les nations conçoivent la sécurité des infrastructures critiques.
Advertisement
La menace des rançongiciels sur l’OT
Si le pré-positionnement étatique constitue la menace stratégiquement la plus dangereuse, les rançongiciels représentent la menace la plus fréquente pour les environnements OT.
Colonial Pipeline (2021) demeure le cas emblématique. Le 7 mai 2021, le groupe de rançongiciel DarkSide a obtenu l’accès au réseau informatique de Colonial Pipeline en utilisant un mot de passe compromis pour un compte VPN inactif dépourvu d’authentification multifacteur — le mot de passe avait été trouvé dans un lot d’identifiants divulgués sur le dark web. L’entreprise a arrêté ses opérations OT de pipeline par précaution, ne pouvant déterminer si les attaquants avaient également atteint les systèmes opérationnels. L’arrêt de six jours a provoqué des pénuries de carburant dans 17 États américains, des achats de panique et une hausse des prix de l’essence à leurs niveaux les plus élevés depuis plus de six ans. Colonial a payé une rançon de 4,4 millions de dollars (75 bitcoins), bien que le ministère de la Justice ait ensuite récupéré environ 84 % du paiement. L’attaque n’a pas directement compromis les systèmes OT, mais elle a démontré que la convergence IT/OT signifie que les compromissions IT peuvent forcer l’arrêt des systèmes OT.
Depuis, les attaques par rançongiciel contre les organisations industrielles se sont accélérées :
- JBS Foods (2021) : Le rançongiciel REvil a contraint l’arrêt d’usines de transformation de viande aux États-Unis, au Canada et en Australie.
- Dole (2023) : Un rançongiciel a forcé l’arrêt des usines de production en Amérique du Nord.
- Change Healthcare (2024) : L’attaque par le rançongiciel BlackCat (ALPHV) contre la plateforme Change Healthcare de UnitedHealth a perturbé le traitement des demandes de remboursement médical pendant des mois — l’une des cyberattaques les plus conséquentes de l’histoire du secteur de la santé aux États-Unis.
- Services d’eau (2023-2024) : Le groupe de menaces CyberAv3ngers, affilié aux Gardiens de la Révolution iraniens (IRGC), a ciblé des services d’eau utilisant des PLC Unitronics Vision Series, exploitant le mot de passe fabricant par défaut (« 1111 ») pour accéder aux systèmes opérationnels. Entre novembre 2023 et avril 2024, au moins 29 intrusions confirmées ont été liées au groupe, dont un incident retentissant dans une autorité des eaux à Aliquippa, en Pennsylvanie.
Le schéma est clair : les groupes de rançongiciel ciblent de plus en plus les organisations exploitant des infrastructures critiques, car ces organisations subissent une pression extrême pour payer — chaque heure d’indisponibilité a des conséquences physiques, sécuritaires et économiques.
Le fossé sécuritaire : IT vs. OT
Sécuriser les environnements OT est fondamentalement différent de sécuriser les environnements IT, et les pratiques de sécurité IT ne peuvent souvent pas être appliquées directement :
Mises à jour correctives : En informatique, les correctifs de sécurité sont appliqués régulièrement (Patch Tuesday mensuel, mises à jour automatiques). En OT, la mise à jour d’un PLC ou d’un système SCADA nécessite souvent l’arrêt du processus physique qu’il contrôle — arrêter une turbine, suspendre une ligne de production, mettre hors service une sous-station. De nombreux systèmes OT fonctionnent avec des logiciels obsolètes qui ne sont plus pris en charge par les fournisseurs. La mise à jour peut nécessiter le remplacement complet du système.
Analyse de vulnérabilités : Les scanners de vulnérabilités qui fonctionnent sans risque sur les réseaux IT peuvent faire planter les équipements OT. L’analyse active du réseau (envoi de paquets pour découvrir les appareils et leurs vulnérabilités) peut submerger des PLC à capacité de traitement limitée, provoquant leur défaillance — potentiellement avec des conséquences physiques dangereuses.
Authentification : De nombreux systèmes OT utilisent des identifiants partagés, des mots de passe par défaut ou aucune authentification du tout. L’implémentation d’une authentification moderne (MFA, authentification par certificat) nécessite des mises à jour de firmware qui peuvent ne pas être disponibles pour les équipements anciens.
Disponibilité : En informatique, la triade sécuritaire est « Confidentialité, Intégrité, Disponibilité » (CIA) — la confidentialité étant généralement prioritaire. En OT, la disponibilité est primordiale. Un réseau électrique qui tombe en panne tue des gens (les équipements hospitaliers cessent de fonctionner, les feux de signalisation s’éteignent, les systèmes de chauffage s’arrêtent en hiver). Les contrôles de sécurité qui réduisent la disponibilité sont inacceptables, même s’ils améliorent la confidentialité.
Stratégies défensives pour 2026
Malgré ces défis, les organisations progressent en matière de sécurité OT :
Segmentation réseau (Modèle Purdue) : La défense la plus fondamentale est la séparation des réseaux OT des réseaux IT et d’Internet. L’architecture de référence Purdue Enterprise définit des zones (du niveau 0 — processus physique — au niveau 5 — réseau d’entreprise) avec des interfaces contrôlées entre chaque niveau. Une zone démilitarisée (DMZ) entre les réseaux IT et OT garantit qu’aucun chemin de communication direct n’existe entre Internet et les systèmes opérationnels.
Surveillance passive : Au lieu de l’analyse active (qui peut faire planter les équipements OT), les outils de surveillance passive observent le trafic réseau sans envoyer aucun paquet. Des solutions comme Claroty, Nozomi Networks, Dragos et Microsoft Defender for IoT analysent passivement le trafic réseau OT pour découvrir les actifs, détecter les anomalies et identifier les menaces sans risquer de perturber les opérations.
Renseignement sur les menaces : Dragos publie des rapports détaillés de renseignement sur les menaces spécifiques à l’OT (CHERNOVITE, BENTONITE, KAMACITE, etc.) avec des indicateurs de compromission et des recommandations défensives adaptées aux environnements industriels.
Cadres réglementaires : La CISA américaine a créé des agences sectorielles pour la sécurité des infrastructures critiques. La directive NIS2 de l’UE (en vigueur depuis 2024) impose des exigences de cybersécurité obligatoires aux opérateurs de services essentiels. Les normes NERC CIP imposent des contrôles de cybersécurité spécifiques pour le réseau électrique nord-américain.
Accès distant sécurisé : L’incident de la station de traitement d’Oldsmar — quelle qu’en soit la véritable cause — a mis en évidence les dangers des configurations d’accès distant non sécurisées. Les solutions modernes d’accès distant OT (Claroty xDome Secure Access, Cyolo) fournissent un accès distant aux systèmes OT protégé par MFA, surveillé et enregistré — remplaçant les configurations TeamViewer et VPN couramment exploitées.
Advertisement
Radar Décisionnel (Prisme Algérie)
| Dimension | Évaluation |
|---|---|
| Pertinence pour l’Algérie | Critique — Les infrastructures énergétiques algériennes (Sonatrach, Sonelgaz), les systèmes hydrauliques et les réseaux de transport sont des cibles de premier plan ; le secteur énergétique est stratégiquement vital tant pour les revenus que pour la sécurité nationale |
| Infrastructure prête ? | Faible — La plupart des environnements OT algériens disposent de contrôles de cybersécurité minimaux ; la convergence IT/OT est en cours avec une segmentation limitée ; les systèmes anciens sont courants |
| Compétences disponibles ? | Très limitées — La sécurité OT est une discipline de niche à l’échelle mondiale ; l’Algérie compte très peu de spécialistes expérimentés en sécurité ICS/SCADA |
| Calendrier d’action | Immédiat — La segmentation réseau et la surveillance passive doivent être mises en œuvre dès maintenant ; des programmes complets de sécurité OT nécessitent 18 à 24 mois |
| Parties prenantes clés | Sonatrach (pétrole/gaz), Sonelgaz (électricité), Algérie Télécom, SEAAL/ADE (services d’eau), ANESRIF (rail), Ministère de l’Énergie, Ministère de la Défense, CERT.dz |
| Type de décision | Stratégique-Sécurité nationale — La sécurité OT des infrastructures énergétiques et hydrauliques est une question de sécurité nationale, pas simplement une décision technique IT |
Synthèse : Il s’agit sans doute du domaine de cybersécurité le plus critique pour l’Algérie. Sonatrach et Sonelgaz exploitent des systèmes SCADA contrôlant la production pétrolière et gazière ainsi que le réseau électrique national — des infrastructures qui génèrent directement des revenus publics et soutiennent la vie quotidienne des citoyens. L’Algérie devrait prioriser : (1) la segmentation réseau entre les environnements IT et OT dans les installations énergétiques, (2) le déploiement de solutions de surveillance passive OT (Claroty, Nozomi ou Dragos) pour obtenir une visibilité sur les réseaux OT sans perturber les opérations, et (3) des partenariats avec des entreprises internationales de sécurité OT pour développer l’expertise nationale. Le précédent de Volt Typhoon démontre que des États-nations se pré-positionnent activement dans les infrastructures critiques à travers le monde — les infrastructures énergétiques de l’Algérie constituent une cible plausible compte tenu de leur importance stratégique sur les marchés énergétiques mondiaux.
Sources
- CISA — Avis Volt Typhoon (AA24-038A)
- Microsoft — Analyse de Volt Typhoon (mai 2023)
- CISA — Avis sur le traitement des eaux d’Oldsmar (AA21-042A)
- EPA — Alerte d’application : Cybersécurité de l’eau potable (mai 2024)
- CISA — Avis CyberAv3ngers / PLC Unitronics (AA23-335A)
- SektorCERT — Rapport sur l’attaque du secteur énergétique danois (2023)
- Dragos — Bilan annuel de la cybersécurité OT 2025
- NIST — Guide de sécurité ICS (SP 800-82)
- Claroty — Rapport sur l’état de la sécurité XIoT
- Nozomi Networks — Rapport de sécurité OT/IoT
- Directive NIS2 de l’UE
- Normes NERC CIP
Advertisement