La multiplication des attaques ciblant les systèmes industriels révèle une double vulnérabilité : d’un côté, des failles techniques persistantes dans les environnements OT, de l’autre, des erreurs humaines qui amplifient leur impact. Le rapport 2025 de Honeywell et l’analyse de l’Uptime Institute éclairent cette convergence, en soulignant l’urgence d’une gouvernance partagée entre cybersécurité et exploitation technique.
Les systèmes opérationnels, longtemps isolés, se trouvent aujourd’hui exposés à une intensification des cybermenaces. Selon Honeywell, 55 % des incidents déclarés aux régulateurs financiers américains en 2024 ciblaient spécifiquement les infrastructures OT. Dans le même temps, l’Uptime Institute rappelle que les erreurs humaines sont responsables de deux pannes critiques sur trois dans les environnements industriels. Ces constats, loin d’être anecdotiques, traduisent une mutation profonde du risque : il ne s’agit plus seulement de contrer des codes malveillants, mais de repenser l’articulation entre technique, comportement et organisation.
Les opérateurs malveillants ne cherchent plus uniquement à chiffrer des fichiers ou à perturber un service : ils visent désormais l’arrêt complet d’installations critiques, en tirant parti de configurations négligées ou d’usages routiniers. Le rapport Honeywell recense près de 2 000 attaques par rançongiciel entre fin 2024 et début 2025, dont une majorité visant la production industrielle, les infrastructures de transport ou les services de santé. Dans 42 cas, les paramètres de sécurité applicative ont été volontairement abaissés par les utilisateurs, rendant les systèmes vulnérables à l’exécution de fichiers non autorisés. Loin d’être de simples fautes individuelles, ces ajustements traduisent une tension structurelle entre sécurité et productivité.
Les supports USB, vecteurs silencieux d’infections industrielles
Le groupe CL0P, affilié à l’organisation cybercriminelle TA505, illustre cette stratégie de pénétration hybride. En exploitant la faille critique CVE‑2023‑27350 dans le serveur d’impression PaperCut NG, les attaquants peuvent contourner les mécanismes d’authentification pour injecter du code malveillant à privilège système. Cette faille repose sur une erreur de contrôle d’accès dans la classe Java « SetupCompleted ». Or, son exploitation suppose que des configurations permissives soient encore en place dans des environnements censés être isolés. Les frontières entre IT et OT ne sont donc plus une garantie, surtout lorsque les pratiques de durcissement ne sont ni homogènes, ni appliquées systématiquement.
Dans les incidents relevés par le service AMIR de Honeywell, le branchement de périphériques USB constitue la première cause d’alerte critique. Sur 107 incidents uniques recensés, 84 concernent un événement de type « plug and play ». Ces intrusions silencieuses se banalisent, car elles échappent aux dispositifs de surveillance traditionnels et bénéficient souvent d’une tolérance implicite sur les sites industriels. L’absence de contrôle rigoureux des supports amovibles expose les systèmes à des vers comme W32.Ramnit, dont la prévalence a explosé de 3 000 % en un trimestre. Conçu initialement pour cibler les services bancaires, ce code a été adapté pour dérober des identifiants d’accès aux systèmes industriels.
Le rapport SMX de Honeywell, dédié à la supervision des supports amovibles, a détecté 1 826 menaces distinctes sur 31,4 millions de fichiers scannés. Parmi elles, des variantes comme Trojan. Lokibot, capable de siphonner les données d’identification à travers des navigateurs, des clients FTP ou des portefeuilles numériques. L’absence de filtrage, le manque d’isolation réseau et la faible culture de l’hygiène numérique sur le terrain constituent un terreau fertile pour ce type d’attaque. Les clés USB promotionnelles distribuées lors de salons, les disques durs externes de prestataires ou les mises à jour locales de machines échappent encore trop souvent à des protocoles de sécurité stricts. La menace n’est pas nouvelle, mais elle se régénère à mesure que l’usage persiste sans encadrement adapté.
Des erreurs de configuration à l’origine d’incidents critiques en cascade
L’Uptime Institute souligne que 66 % des pannes majeures dans les environnements critiques relèvent de la faute humaine, notamment sous forme d’erreurs de configuration, d’omissions dans les mises à jour, ou de désactivations inappropriées de fonctions de sécurité. Ce constat rejoint celui de Honeywell, qui observe une fréquence préoccupante d’ajouts de comptes dans des groupes à privilèges élevés ou de modifications des niveaux d’enforcement applicatif. Ces gestes, parfois anodins, traduisent une méconnaissance des risques systémiques qu’ils induisent. Dans un environnement interconnecté, un relâchement ponctuel peut se propager bien au-delà de son périmètre d’origine.
Un autre exemple préoccupant concerne la faille CVE‑2010‑2568, utilisée historiquement par Stuxnet et encore exploitée par des vers comme Win32.Sohanad. Cette vulnérabilité permet l’exécution de code à distance via des fichiers .lnk malveillants. Sa persistance témoigne de la présence encore importante de systèmes hérités non corrigés, notamment dans les installations industrielles anciennes ou peu modernisées. L’oubli de correctifs critiques, combiné à une faible capacité d’audit, constitue une faiblesse structurelle. La menace ne provient pas seulement de l’attaque extérieure, mais de la capacité interne à maintenir un niveau minimal de contrôle et d’anticipation.
Des référentiels techniques mal intégrés aux routines industrielles
Si les référentiels de sécurité ne manquent pas – NIST 800‑82, IEC 62443, NERC CIP –, leur application concrète reste fragmentaire. Honeywell souligne que nombre d’installations industrielles ne disposent pas d’un plan formalisé de réponse aux incidents, ni de processus d’audit des privilèges utilisateurs. La cartographie des actifs critiques est souvent incomplète, et la segmentation réseau mal implémentée. Ce déficit structurel s’explique par un manque d’acculturation sécurité dans les équipes techniques, mais aussi par l'absence de dialogue entre fonctions IT et OT. L’intégration de ces référentiels suppose une gouvernance qui dépasse le simple champ technique.
En parallèle, l’Uptime Institute alerte sur la surcharge cognitive des équipes et l’effet paradoxal d’une complexité réglementaire excessive. Dans les environnements sous tension, les opérateurs sont incités à contourner les dispositifs de sécurité perçus comme ralentisseurs de production. Ce biais opérationnel renforce l’écart entre politique déclarée et réalité terrain. La sécurité ne peut être efficace que si elle est incorporée aux outils, aux procédures et aux rythmes métier. Cela suppose des choix technologiques compatibles avec la culture industrielle et des efforts soutenus de formation. Sans cette intégration, même les meilleures intentions réglementaires resteront lettre morte.
Une résilience qui dépend d’abord de la maturité organisationnelle
Le rapport Honeywell appelle à repenser l’articulation entre technologies de sécurité et gouvernance industrielle. L’adoption de l’architecture Zero Trust dans les environnements OT ne peut reposer sur une simple duplication des pratiques IT. Elle exige une granularité fine des accès, une supervision des flux en temps réel, et une capacité à détecter les comportements déviants sur les réseaux industriels. La supervision doit intégrer la logique des cycles de production, des impératifs métiers et des contraintes physiques. En ce sens, la résilience devient une compétence transversale, au croisement de la cybersécurité, de l’ingénierie et de la conduite du changement.
Les deux rapports convergent sur un même point : la vulnérabilité des environnements OT n’est pas tant liée à la puissance des attaquants qu’à la fragilité des défenses internes. Les erreurs humaines, les failles non corrigées, l’absence de supervision, ou les pratiques locales non encadrées, forment une surface d’attaque permanente. La résilience opérationnelle ne peut émerger que d’une approche systémique, alignée sur les usages réels et les risques concrets. Il s’agit moins de multiplier les outils que de construire une chaîne de confiance, depuis le terrain jusqu’à la gouvernance stratégique.
Dans un contexte où les systèmes industriels s’ouvrent à la connectivité, à la télémétrie et aux services numériques, les organisations doivent réconcilier sécurité et opérationnel. Les attaques ne préviennent pas ; elles exploitent les failles là où elles sont le plus facilement accessibles. La prévention ne passe plus uniquement par des outils, mais par une culture partagée, des pratiques harmonisées et une vigilance de chaque instant. La résilience industrielle commence au niveau le plus bas : celui du geste quotidien.
