Plan défense OT/ICS : l'Algérie après AA26-097A

Publié le avril 20, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

L’avis conjoint AA26-097A de CISA (7 avril 2026) a documenté une campagne APT soutenue par un État contre des PLC Allen-Bradley de Rockwell exposés à Internet dans les secteurs US de l’eau, de l’énergie et des installations gouvernementales. Les attaquants ont utilisé le logiciel d’ingénierie légitime Studio 5000 sur une infrastructure cloud louée, exploitant CVE-2021-22681 — ajoutée au catalogue KEV de CISA en mars 2026. La checklist défense à 10 points (inventaire d’actifs, zonage Purdue, durcissement PLC, verrouillage des postes d’ingénierie) se projette directement sur Sonatrach, Sonelgaz et ADE.

En résumé : Les opérateurs CII algériens doivent commander un inventaire d’actifs OT indépendant ce trimestre, vérifier qu’aucun PLC ni HMI n’est exposé à Internet, et bâtir une feuille de route sur 12 mois autour du zonage Purdue et du durcissement des postes d’ingénierie aligné sur la base du Décret 25-321 de l’ANSSI.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevée
▾

Sonatrach, Sonelgaz, ADE et les grands opérateurs industriels utilisent les mêmes piles PLC Rockwell/Schneider/Siemens référencées dans AA26-097A. Les faiblesses architecturales sont identiques.

Calendrier d’action
6-12 mois
▾

La plupart des recommandations sont structurelles — inventaire d’actifs, zonage Purdue, durcissement des postes d’ingénierie — et prennent des trimestres, pas des jours. La rotation des identifiants et le patching KEV devraient se faire sous 30 jours.

Parties prenantes clés
Responsables sécurité OT, directeurs d’usines,

Type de décision
Stratégique
▾

Il s’agit d’une décision pluriannuelle de posture de sécurité OT, pas d’un cycle de correctif ponctuel. Nécessite budget, structure organisationnelle (convergence IT/OT) et soutien exécutif soutenu.

Niveau de priorité
Critique
▾

La compromission OT dans les secteurs de l’énergie ou de l’eau a des implications de sécurité, environnementales et de sécurité nationale au-delà de l’économie des fuites de données.

En bref : Les opérateurs CII algériens doivent traiter AA26-097A comme un rapport de red team gratuit contre leurs propres usines. Commandez un inventaire d’actifs OT indépendant ce trimestre, engagez ANSSI / ASSI pour vous aligner sur les bases sectorielles CII, et construisez une feuille de route sur 12 mois autour du verrouillage des postes d’ingénierie, du zonage Purdue et du déploiement de CIP Security sur les contrôleurs Rockwell.

Ce que rapporte réellement AA26-097A

L’avis AA26-097A, publié conjointement par CISA, FBI, NSA, EPA, DOE et US Cyber Command le 7 avril 2026, décrit une campagne en cours contre des dispositifs de technologie opérationnelle (OT) connectés à Internet dans plusieurs secteurs d’infrastructure critique américaine — Installations et services gouvernementaux, Eau et eaux usées, et Énergie — attribuée à un groupe APT soutenu par un État.

Principales conclusions techniques, extraites de l’avis public et des analyses de suivi de Picus Security, RedSeal, Industrial Cyber et 1898 & Co. (Burns & McDonnell) :

Cibles principales : automates programmables industriels (PLC) Allen-Bradley de Rockwell Automation, en particulier la famille ControlLogix.
Technique centrale : les opérateurs ont loué de l’hébergement cloud tiers et exécuté le logiciel d’ingénierie Studio 5000 Logix Designer de Rockwell lui-même pour créer des connexions d’apparence légitime vers les PLC victimes. Parce que les sessions utilisent l’outil d’ingénierie authentique du fournisseur, la plupart des règles de détection réseau les classent comme trafic d’ingénierie normal.
CVE clé en jeu : CVE-2021-22681 — clé cryptographique insuffisamment protégée dans Studio 5000 et les PLC Logix — ajoutée au catalogue KEV (Known Exploited Vulnerabilities) de CISA en mars 2026.
Résultat : certaines victimes ont subi une perturbation opérationnelle et une perte financière, incluant des états de contrôle de processus perturbés sur les PLC.

La leçon pour les défenseurs n’est pas l’attribution par pays ; c’est qu’un APT déterminé soutenu par un État utilisant un outillage d’ingénierie légitime peut atteindre des PLC exposés à Internet sans brûler un seul zero-day. La faiblesse est architecturale.

La surface d’attaque OT de l’Algérie

L’Algérie a enregistré plus de 70 millions de cyberattaques en 2024 et se classe 17e mondialement parmi les nations les plus ciblées, selon la stratégie nationale publiée sous le Décret présidentiel 25-321 (décembre 2025). La stratégie désigne explicitement l’énergie, l’eau, les télécommunications, les transports, les services financiers et les services gouvernementaux comme Infrastructure d’Information Critique (CII), avec ANSSI / ASSI coordonnant les bases de sécurité sectorielles.

Les parcs OT qui se projettent directement sur les conclusions d’AA26-097A :

Hydrocarbures Sonatrach. Pipelines en amont, raffineries, terminaux GNL à Skikda et Arzew, et des milliers de PLC de têtes de puits et de compresseurs. Studio 5000 / ControlLogix est largement déployé dans toute la chaîne de valeur gazière.
Génération et distribution d’électricité Sonelgaz. Centrales thermiques, sous-stations de distribution et centre national de dispatching s’appuient sur des piles SCADA/PLC de Schneider, Siemens et Rockwell.
Algérienne des Eaux (ADE) et ONA eaux usées. Majoritairement piloté par PLC, avec une télémesure à distance croissante pour les stations de pompage et les réseaux de distribution.
Métro d’Alger et OT ferroviaire. Signalisation et automatisation des stations basées sur PLC.
Cimenterie, engrais, sidérurgie, pétrochimie. Grandes usines privées et EPE avec des parcs ICS hérités exécutant souvent des logiciels HMI/SCADA non supportés.

La checklist à 10 points pour défenseurs OT des opérateurs CII algériens

Cette checklist consolide les recommandations d’AA26-097A, les System Security Design Guidelines de Rockwell (Publication SECURE-RM001J, novembre 2025), IEC 62443 et NIST SP 800-82. Elle s’aligne sur les attentes sectorielles de l’ANSSI sous le Décret 25-321 :

Inventaire complet des actifs. Chaque PLC, RTU, HMI, poste de travail d’ingénierie et historien Windows dans chaque usine. Outils : Claroty, Dragos, Nozomi ou Tenable OT Security. Pas d’inventaire, pas de défense.
Scan d’exposition Internet. Utilisez Shodan, Censys et du scan passif en-pays pour confirmer qu’aucun PLC ou HMI n’est exposé à l’Internet public. La conclusion centrale d’AA26-097A est que les PLC Allen-Bradley exposés étaient le point d’entrée.
Zonage modèle Purdue. Imposez une ségrégation des niveaux 0-1 (capteurs/PLC) et niveau 2 (HMI/SCADA) depuis le niveau 3 (DMZ opérations) et les niveaux 4-5 (IT d’entreprise) avec des pare-feu matériels et des diodes de données unidirectionnelles là où c’est pratique.
Durcissement des identifiants et clés PLC. Changez les identifiants par défaut. Désactivez les services CIP inutilisés. Pour Rockwell, activez CIP Security (communications authentifiées et protégées en intégrité) sur les contrôleurs qui le supportent.
Verrouillage des postes d’ingénierie / Studio 5000. AA26-097A montre des attaquants abusant de logiciels d’ingénierie légitimes. Les postes de travail d’ingénierie Tier 0 doivent être : non connectés à Internet, avec allowlisting applicatif Windows, exigeant MFA par carte à puce/FIDO2, jamais utilisés pour le courriel ou la navigation web.
Rétention et visibilité des journaux. Rétention minimale de 12 mois des journaux réseau OT, des journaux de modification PLC et des journaux de sessions d’ingénierie. Transférez vers un SIEM ou une plateforme OT dédiée (Splunk, Claroty xDome, Dragos Platform).
Corriger les vulnérabilités ICS listées au KEV. CVE-2021-22681 (Studio 5000) est celle spécifique d’AA26-097A, mais vérifiez le catalogue KEV complet de CISA chaque mois contre votre inventaire de firmware PLC.
Playbook de réponse à incident. Un playbook spécifique OT distinct de l’IR IT. Définissez les procédures d’état sûr pour chaque processus critique. Répétez avec les opérateurs, pas seulement avec le personnel cybersécurité.
Accès tiers et fournisseur. AA26-097A a montré les attaquants utilisant une infrastructure cloud louée. Auditez tout accès distant externe : VPN fournisseurs, comptes intégrateurs, surveillance à distance basée cloud. Remplacez les identifiants partagés par des comptes individuels et MFA.
Coordination ANSSI / DZ-CERT. Sous le Décret 25-321, les opérateurs CII sont attendus pour signaler les incidents OT significatifs et les comportements PLC anormaux à ANSSI / ASSI. Établissez le canal de liaison avant d’en avoir besoin.

Où les opérateurs algériens échouent typiquement

Vérification honnête des incidents publics de la région et des enquêtes de l’industrie :

Réseaux OT plats. De nombreuses usines algériennes exploitent un seul VLAN OT plat. Le zonage Purdue est aspirationnel plutôt qu’imposé.
Postes d’ingénierie avec accès Internet. La livraison de correctifs et l’assistance à distance fournisseur poussent les opérateurs à connecter les hôtes Tier 0 à Internet.
Firmware PLC périmé. Les usines évitent les mises à jour firmware parce qu’une mise à jour échouée peut arrêter une ligne de production. Le patching basé sur le risque avec des fenêtres de maintenance planifiées est le compromis honnête.
Accès intégrateur externalisé. Identifiants VPN partagés uniques, pas de MFA, journalisé uniquement côté intégrateur.

Les plateformes de sécurité OT basées sur l’IA (Claroty xDome, Dragos) génèrent des contrôles compensatoires basés sur le risque qui permettent aux opérateurs de maintenir la sécurité tout en reportant les correctifs aux fenêtres de maintenance planifiées — une approche pragmatique pour les usines algériennes où les coûts d’arrêt non planifié sont d’un ordre de grandeur au-dessus des coûts de gestion des correctifs.

En résumé pour les opérateurs CII algériens

AA26-097A n’a pas révélé un nouveau zero-day. Il a documenté qu’un APT bien financé peut, avec patience et outils légitimes, atteindre des PLC que les opérateurs supposaient isolés. Les utilités, usines pétrochimiques et opérateurs d’eau algériens ont les mêmes lacunes architecturales que les victimes américaines documentées dans l’avis. La checklist de défense est éprouvée — la question est de savoir si les opérateurs CII algériens financeront les investissements d’inventaire, de zonage et d’IR avant un incident, ou après.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Cet avis est-il pertinent pour les opérateurs algériens n’utilisant pas de PLC Allen-Bradley ?

Oui. L’outil spécifique (Studio 5000) et la CVE (CVE-2021-22681) sont spécifiques à Rockwell, mais la technique — abuser de logiciels d’ingénierie légitimes sur OT exposé à Internet — s’applique également à Siemens TIA Portal, Schneider EcoStruxure et ABB AC800. La checklist défense (zonage Purdue, durcissement des postes d’ingénierie, pas d’exposition Internet) est agnostique au fournisseur.

Comment cela s’aligne-t-il avec la stratégie nationale de cybersécurité de l’Algérie ?

Le Décret présidentiel 25-321 (décembre 2025) et le Décret 26-07 (janvier 2026) désignent les secteurs de l’énergie, de l’eau et industriels comme Infrastructure d’Information Critique sous supervision ANSSI / ASSI. La checklist à dix points ci-dessus est directement alignée avec la base de sécurité CII attendue de l’ANSSI et les contrôles techniques référencés dans IEC 62443-2-1 et NIST SP 800-82, auxquels l’ANSSI fait référence dans ses orientations OT.

Quelle est la première étape à plus forte valeur pour une usine Sonatrach ou Sonelgaz aujourd’hui ?

Retirer chaque PLC et HMI de l’exposition directe à Internet. Utilisez Shodan et Censys pour vérifier depuis l’extérieur, puis imposez la règle au pare-feu de l’usine. L’OT exposé à Internet était le fil conducteur chez les victimes d’AA26-097A. C’est aussi le contrôle unique qui livre la plus grande réduction de risque par dollar investi.