La pression cyber sur les environnements industriels ne faiblit pas. En 2025, malgré un léger reflux statistique des infections sur les systèmes de contrôle industriels, la nature des attaques observées traduit une recomposition profonde des menaces. Le rapport annuel du Kaspersky ICS CERT met en évidence un déplacement des modes opératoires, qui augurent d’un durcissement du risque industriel en 2026.
Les systèmes industriels figurent désormais parmi les surfaces d’attaque les plus exposées des organisations. Longtemps protégés par leur isolement et leur spécificité technique, les environnements OT hérités se retrouvent aujourd’hui connectés, interopérés et intégrés aux chaînes numériques globales. Cette ouverture, indispensable à la performance industrielle, s’accompagne d’une vulnérabilité accrue que les attaquants exploitent avec méthode et patience.
Le rapport publié par le Kaspersky ICS CERT s’appuie sur l’analyse continue des événements de sécurité détectés sur des milliers de systèmes industriels à travers le monde. Il couvre l’année 2025 et agrège des données issues de multiples secteurs critiques, permettant de dégager des tendances robustes plutôt qu’une simple photographie conjoncturelle.
Une amélioration statistique qui masque une pression constante
Les chiffres globaux peuvent, à première lecture, suggérer une inflexion positive. La proportion de systèmes de contrôle industriels sur lesquels des maliciels ont été bloqués s’établit à 21,9 % au premier trimestre 2025, avant de reculer à 20 % au troisième trimestre. Cette évolution traduit un renforcement progressif des dispositifs de protection déployés par les industriels, en particulier dans les régions les plus matures sur le plan cyber.
Pour autant, cette baisse relative ne signifie en rien une diminution de l’intérêt des attaquants pour les environnements industriels. Le niveau reste structurellement élevé, et surtout stable à un plateau préoccupant. Les systèmes OT continuent d’être ciblés de manière persistante, avec des campagnes plus sélectives, moins bruyantes, mais mieux intégrées aux contextes opérationnels des victimes. La cybermenace industrielle s’inscrit désormais dans le temps long.
Des secteurs industriels exposés de manière très différenciée
L’analyse sectorielle met en lumière des écarts significatifs. Les systèmes biométriques arrivent en tête des environnements les plus touchés, avec plus d’un quart des ICS concernés par des tentatives d’infection. L’automatisation des bâtiments, l’énergie électrique, la construction et l’ingénierie OT présentent également des niveaux d’exposition élevés, confirmant l’intérêt stratégique des attaquants pour les infrastructures hybrides, à la frontière entre informatique et opérations physiques.
À l’inverse, l’industrie manufacturière et le secteur du pétrole et du gaz affichent des taux plus faibles, sans pour autant être épargnés. Cette hiérarchie sectorielle reflète autant des différences de maturité cyber que des arbitrages opérés par les attaquants. Les environnements perçus comme plus fragmentés, moins homogènes et plus dépendants de fournisseurs tiers apparaissent comme des cibles privilégiées, car ils offrent davantage de points d’entrée indirects.
La chaîne d’approvisionnement, principal levier de contournement
Le rapport souligne une intensification nette des attaques exploitant les relations de confiance. Fournisseurs locaux, sous-traitants, intégrateurs OT et prestataires de services essentiels constituent désormais des vecteurs d’intrusion à part entière. Cette logique permet aux attaquants de contourner les protections périmétriques classiques et d’atteindre des environnements industriels sans s’exposer frontalement.
Cette stratégie fragilise l’ensemble de l’écosystème industriel. Même les organisations les mieux protégées se retrouvent dépendantes du niveau de sécurité de partenaires parfois moins armés. Les campagnes observées en 2025, notamment celles combinant hameçonnage ciblé et chargement dynamique de bibliothèques malveillantes, illustrent cette capacité à exploiter les interconnexions techniques et organisationnelles au cœur des chaînes industrielles mondialisées.
L’IA comme accélérateur d’attaques industrielles
Un autre enseignement majeur concerne l’usage croissant de l’intelligence artificielle par les attaquants. L’IA est mobilisée pour masquer des charges malveillantes, adapter dynamiquement les comportements des maliciels ou orchestrer des séquences d’attaque de manière semi-autonome. Cette évolution complique la détection et réduit l’efficacité des approches purement signatures.
Dans les environnements industriels, cette sophistication est d’autant plus problématique que de nombreux équipements OT connectés reposent sur des pare-feux et des mécanismes de sécurité conçus pour des menaces plus simples. Les installations distantes, les sites isolés et les architectures anciennes constituent des terrains particulièrement favorables à ces attaques adaptatives, capables d’opérer à bas bruit sur des périodes prolongées.
2026, l’année des attaques industrielles à grande échelle
Les perspectives dressées pour 2026 esquissent un durcissement du paysage. Les incidents visant les chaînes d’approvisionnement de haute technologie et la logistique mondiale devraient s’intensifier, tout comme les attaques contre des cibles jusqu’ici considérées comme secondaires, telles que les transports intelligents, les bâtiments connectés ou les communications par satellite. Le périmètre de l’industrie critique s’élargit.
La géographie des menaces évolue également, avec une concentration accrue des campagnes en Asie, au Moyen-Orient et en Amérique latine. L’émergence d’opérations reposant sur des agents d’attaque autonomes ouvre la voie à des campagnes industrielles plus massives, plus rapides et plus difficiles à contenir. Comme le résume Evgeny Goncharov, responsable du Kaspersky ICS CERT, chaque organisation industrielle doit désormais considérer qu’elle est déjà une cible et structurer sa cybersécurité en conséquence.
Au-delà des chiffres, le message est clair pour les décideurs industriels. La cybersécurité OT ne relève plus d’un exercice de conformité ou d’un projet périphérique. Elle devient un levier de résilience opérationnelle, de continuité industrielle et de crédibilité économique. En 2026, les bénéfices métiers les plus tangibles se mesureront dans la capacité des organisations à absorber les chocs cyber sans interrompre leurs chaînes de valeur, ni compromettre leur sécurité physique.
