Les risques liés aux cyberattaques sur les infrastructures critiques
Les cyberattaques visant les infrastructures critiques ne se limitent pas à « voler des données » : elles peuvent interrompre des services essentiels, créer des risques pour la sécurité des personnes et produire des effets en cascade sur l’économie et l’ordre public. L’enjeu est particulier dans les environnements industriels OT (Operational Technology) et ICS/SCADA, où la disponibilité 24/7, les contraintes de sûreté (safety) et la présence de systèmes anciens rendent la gestion du risque plus complexe.
Cette analyse propose une lecture orientée « chaîne d’impacts » : pour chaque type d’attaque, quels points d’entrée sont plausibles, quels mécanismes techniques sont généralement observés, quelles conséquences opérationnelles et sociétales peuvent suivre, et quels leviers réalistes permettent de réduire l’exposition sans promettre de solution miracle.
Cartographier ce qu’on appelle “infrastructures critiques” : secteurs, dépendances et points de rupture
Une infrastructure critique est un système dont l’indisponibilité ou l’altération affecte gravement la continuité des services essentiels. Le risque ne se mesure pas seulement par la valeur des données, mais par l’impact sur la vie quotidienne, la sécurité et la stabilité.
Selon les pays et les cadres (notamment la notion d’entités essentielles), le périmètre couvre généralement : énergie (production, transport, distribution), eau (traitement et distribution), transport (rail, aérien, ports, routes), santé (hôpitaux, laboratoires), industrie (sites à procédés, chimie), finance (paiements, infrastructures de marché) et leurs fournisseurs critiques (maintenance, télécoms, hébergeurs, éditeurs).
Le caractère « critique » tient surtout aux dépendances : l’énergie alimente les télécoms, qui supportent la coordination des transports et la logistique, qui conditionnent l’approvisionnement des hôpitaux. Une panne locale peut donc devenir systémique si plusieurs maillons partagent une même faiblesse (prestataire, logiciel, accès distant) ou si la gestion de crise est ralentie.
Les points de rupture les plus fréquents se situent aux interfaces : passerelles IT/OT, accès tiers de maintenance, services exposés (VPN, messagerie), annuaires d’identité, outils d’administration, et chaînes d’approvisionnement logicielles. Dans les environnements industriels, une action sur l’OT peut se traduire par un effet « cyber-physique » (arrêt de pompes, modification de consignes, perturbation de capteurs), avec des enjeux de sûreté et d’environnement.
Pourquoi elles sont des cibles : cybercriminalité, cyberespionnage et sabotage étatique (motivations et modes opératoires)
Les infrastructures critiques sont ciblées parce qu’elles offrent un fort levier : interrompre un service essentiel augmente la pression, accélère les décisions et amplifie la visibilité. Les motivations, elles, diffèrent et influencent les modes opératoires.
Cybercriminalité : l’objectif principal est la rentabilité (extorsion, rançongiciels, fraude). Les attaquants privilégient des intrusions reproductibles : phishing, exploitation de services exposés, vol d’identifiants, puis latéralisation. Le secteur santé et les collectivités sont souvent décrits comme vulnérables car ils combinent forte contrainte de disponibilité et hétérogénéité du SI.
Cyberespionnage : la finalité est l’accès discret et durable à des informations (plans, chaînes logistiques, R&D, positions de négociation) ou à des capacités d’accès. Les campagnes sont plus longues, plus silencieuses, et se traduisent parfois par une compromission de prestataires ou de composants logiciels (supply chain attack).
Sabotage (incluant des opérations attribuées à des acteurs étatiques) : l’objectif est l’interruption, la dégradation, voire la destruction. Les opérations recherchent des effets mesurables sur le terrain, et peuvent viser spécifiquement l’OT/ICS. L’attribution reste souvent incertaine : les outils, infrastructures et techniques peuvent être réutilisés, loués ou imités, ce qui impose prudence et méthode dans l’analyse.
« Dans les services essentiels, la question n’est pas seulement d’empêcher l’intrusion, mais de limiter la propagation et de maintenir la continuité en mode dégradé. »
Les risques majeurs par type de cyberattaque : ransomware, attaque supply chain, compromission IT→OT, DDoS, manipulation de procédés, destruction de données
Les risques majeurs se comprennent mieux par scénarios : point d’entrée, cible, mécanisme, impact direct, impacts en cascade et barrières de réduction. Les six scénarios ci-dessous sont fréquents ou plausibles dans des contextes OT/ICS.
1) Ransomware avec arrêt d’exploitation
Point d’entrée probable : hameçonnage, comptes VPN compromis, service exposé non corrigé. Cible : serveurs métiers, supervision, gestion des accès, postes d’exploitation. Mécanisme : chiffrement, parfois exfiltration puis extorsion.
Impact direct : indisponibilité des applications, impossibilité de planifier ou d’exécuter des opérations, bascule manuelle. Effets en cascade : retards logistiques, interruption d’admissions ou de rendez-vous en santé, arrêts préventifs de chaînes industrielles, pénuries localisées. Barrières : sauvegardes testées et isolées, segmentation, durcissement des accès distants, procédures de continuité (PCA) et reprise (PRA).
2) Attaque de la chaîne d’approvisionnement (prestataire ou logiciel)
Point d’entrée : compte d’un intégrateur, outil de télémaintenance, mise à jour compromise. Cible : parc client via un tiers de confiance. Mécanisme : diffusion large d’un accès ou d’un implant via une dépendance.
Impact direct : compromission simultanée de plusieurs sites, difficulté à distinguer les systèmes sains. Effets en cascade : indisponibilité étendue, tension sur les équipes de réponse à incident et les prestataires, risque d’arrêt préventif. Barrières : gestion des risques fournisseurs, moindre privilège, segmentation des accès tiers, validation des mises à jour, surveillance des connexions de maintenance.
3) Compromission du SI (IT) qui se propage vers l’OT
Point d’entrée : domaine bureautique (messagerie, AD, poste). Cible : passerelles IT/OT, serveurs d’historisation, outils d’ingénierie. Mécanisme : rebond latéral, vol d’identifiants, exploitation d’une confiance implicite.
Impact direct : perte de visibilité sur l’OT, indisponibilité de supervision SCADA, arrêt contrôlé par mesure de sécurité. Effets en cascade : indisponibilité de production/traitement, contraintes sur la sécurité des personnes si les opérateurs doivent agir à l’aveugle. Barrières : segmentation réseau avec zones et conduits, bastions d’administration, filtrage strict, inventaire des flux, supervision OT dédiée.
4) DDoS contre un service essentiel ou un fournisseur clé
Point d’entrée : saturation volontaire de services exposés (portails, API, DNS) ou d’un opérateur tiers. Cible : services numériques indispensables (prise de rendez-vous, téléservices, systèmes de paiement, information voyageurs).
Impact direct : indisponibilité des services en ligne et des accès distants. Effets en cascade : engorgement des canaux physiques/téléphoniques, retards, perte de confiance, décisions de contournement parfois risquées (ouverture d’accès alternatifs). Barrières : protections anti-DDoS, redondance, plans de bascule, communication de crise et capacités dégradées.
5) Manipulation de procédés (altération de consignes, capteurs, automates)
Point d’entrée : accès d’ingénierie, télémaintenance, poste OT compromis. Cible : automates (PLC), systèmes de contrôle, paramètres de procédé. Mécanisme : modification de consignes, masquage de mesures, dérive progressive.
Impact direct : dérèglement du procédé, qualité dégradée, mises en sécurité. Effets en cascade : risques safety (personnes), risques environnementaux (déversement, surpression), dommages matériels. Barrières : séparation des rôles, gestion des changements, journalisation robuste, contrôles d’intégrité, détection d’anomalies de procédé, procédures d’arrêt sûr.
6) Destruction de données (wiper) et indisponibilité durable
Point d’entrée : similaire au ransomware, mais finalité destructrice. Cible : postes, serveurs, sauvegardes accessibles, systèmes d’orchestration. Mécanisme : effacement, corruption, sabotage de la restauration.
Impact direct : reconstruction longue, perte de référentiels, indisponibilité d’applications et de configurations OT. Effets en cascade : arrêt prolongé, coûts élevés, fragilisation de la confiance institutionnelle. Barrières : sauvegardes immuables/isolées, séparation des environnements d’admin, tests de restauration, stockage hors ligne, plans de reconstitution d’actifs OT (images, configurations, recettes).
| Type d’attaque | Secteurs souvent exposés | Risque principal | Barrière prioritaire |
|---|---|---|---|
| Ransomware | Santé, industrie, collectivités, énergie (fonctions support) | Arrêt d’exploitation | Sauvegardes testées + segmentation |
| Supply chain attack | Tous (dépendances prestataires/éditeurs) | Compromission multiple, difficile à circonscrire | Gestion des risques tiers + contrôle des accès |
| Propagation IT→OT | Énergie, eau, transport, industrie | Perte de supervision/commande, arrêt sûr | Zonage/conduits + bastions |
| DDoS | Finance, transport, services numériques publics | Indisponibilité des services en ligne | Anti-DDoS + redondance |
| Manipulation de procédés | Industrie à procédés, eau, énergie | Risque safety/environnement | Gestion des changements + détection d’anomalies |
| Destruction de données | Tous (cible d’impact durable) | Indisponibilité prolongée | Sauvegardes isolées + tests de restauration |
Encadré : “risques majeurs” (gravité × vraisemblance)
La hiérarchisation combine gravité (effet sur la continuité, la safety, l’environnement, les dommages matériels) et vraisemblance (exposition, attractivité, maturité de défense, présence d’accès tiers). Pour beaucoup d’opérateurs, le duo « ransomware sur fonctions support + propagation vers l’OT » ressort comme un risque élevé, tandis que la manipulation de procédés est souvent moins fréquente mais potentiellement critique.
Effets en cascade : du SI à l’arrêt de service (safety, environnement, économie, ordre public) et la question de l’attribution
Les impacts les plus graves proviennent rarement d’un seul système touché : ils émergent d’une cascade entre SI, opérations, partenaires et usagers. La même intrusion peut donc produire des conséquences très différentes selon l’organisation et la préparation au mode dégradé.
De l’IT vers l’opérationnel : un incident sur l’identité (annuaire), la messagerie ou les outils de ticketing peut paralyser la coordination. Dans un hôpital, cela se traduit par des retards et reprogrammations ; dans le transport, par une désorganisation des flux ; dans l’industrie, par des arrêts préventifs faute de traçabilité et d’outils d’ingénierie disponibles.
De l’opérationnel vers la safety et l’environnement : en OT, la sécurité des personnes et des équipements prime. Un arrêt brutal peut être plus dangereux qu’une continuité dégradée bien contrôlée. À l’inverse, une manipulation discrète de paramètres peut conduire à une dérive de procédé et à des rejets non conformes ou à des dommages matériels.
De l’impact local au systémique : les dépendances inter-sectorielles amplifient. Une perturbation énergétique peut affecter télécommunications et transport ; une indisponibilité de paiement peut perturber l’approvisionnement ; une attaque d’un prestataire de maintenance peut toucher plusieurs sites et ralentir la remédiation.
Attribution : une incertitude structurante. Dans les premières 24 à 72 heures, l’origine exacte (groupe criminel, acteur étatique, opportuniste) est souvent indéterminée. Les indices techniques peuvent être trompeurs ou incomplets. L’essentiel, opérationnellement, est de qualifier le scénario (extorsion, espionnage, sabotage), d’évaluer l’impact et d’activer les bons canaux (CERT, autorités, assureur le cas échéant) sans sur-interpréter.
Des organismes de référence comme l’ENISA et les agences nationales (par exemple l’ANSSI en France) soulignent régulièrement la hausse des attaques affectant des organisations essentielles et la part significative des intrusions liées à des identifiants compromis, des systèmes exposés et des prestataires. Les éditeurs de rapports de réponse à incident (dont Sophos) constatent également que les rançongiciels restent une cause fréquente d’interruptions, même si les tendances varient selon les années et les pays.
Facteurs qui aggravent le risque en environnements OT/ICS : legacy, disponibilité 24/7, accès tiers, convergence IT/OT, visibilité limitée
Les environnements OT/ICS amplifient les risques parce qu’ils ont été conçus pour la continuité de production et la sûreté, pas pour résister à des adversaires connectés. La cybersécurité doit donc s’adapter à des contraintes physiques et opérationnelles.
Legacy et obsolescence : automates, systèmes d’exploitation et logiciels SCADA peuvent être anciens, difficilement patchables, voire non supportés. La fenêtre de maintenance est parfois rare, et le test en environnement représentatif coûteux, ce qui retarde la correction.
Disponibilité 24/7 et tolérance faible à l’interruption : certaines contre-mesures IT (scan agressif, redémarrages, mises à jour forcées) sont risquées en OT. La priorité est de préserver la stabilité du procédé, ce qui exige des méthodes spécifiques (changement maîtrisé, validation, rollback).
Accès tiers et télémaintenance : intégrateurs, mainteneurs et éditeurs ont souvent des accès à privilèges. Une faiblesse chez un prestataire peut devenir une porte d’entrée. La multiplication des outils d’accès distant, parfois hérités, complique le contrôle.
Convergence IT/OT : la modernisation (télémétrie, hypervision, cloud, interconnexions) apporte de la valeur métier, mais élargit la surface d’attaque. Les frontières deviennent logiques plutôt que physiques, ce qui rend la segmentation réseau et la gouvernance des flux essentielles.
Visibilité limitée : l’inventaire des actifs OT, des versions et des communications n’est pas toujours complet. La détection d’incidents est également plus délicate : certains protocoles industriels ne sont pas couverts par les outils IT classiques, et un bruit de fond (variations normales du procédé) peut masquer des signaux faibles.
La distinction cybersécurité vs safety est centrale : un choix « cyber » peut dégrader la safety, et inversement. La réduction du risque passe donc par une ingénierie conjointe entre exploitation, automatisme, sécurité, et management de crise.
Réduire le risque sans illusion : priorisation, exigences de signalement (NIS2/obligations locales), scénarios de crise et mesures techniques/organisationnelles clés
Réduire le risque, ce n’est pas empiler des contrôles : c’est prioriser les barrières qui interrompent les chaînes d’impact les plus probables et les plus graves, tout en organisant la réponse de crise. La maturité se mesure à la capacité à continuer, isoler, restaurer et communiquer.
Gouvernance et conformité (repères, pas un cours de droit) : des cadres comme NIS2 renforcent l’exigence de gestion du risque et d’obligations de signalement pour certaines entités. L’effet attendu est concret : formaliser la cartographie, clarifier les responsabilités, améliorer la remontée d’incidents et la coordination avec les autorités et les CERT. Pour la finance, des exigences sectorielles (comme DORA dans l’UE) poussent aussi la gestion des risques tiers et la résilience opérationnelle.
Prioriser par scénarios : partir des six scénarios (ransomware, supply chain, IT→OT, DDoS, manipulation, destruction) et associer à chacun 2 ou 3 barrières « stoppeuses ». Exemple : pour limiter IT→OT, le zonage, les bastions et le filtrage des flux sont plus décisifs qu’un durcissement générique des postes.
Mesures techniques clés, reliées à des risques précis :
- Segmentation réseau (zones/conduits) pour réduire la propagation, notamment IT→OT, et contenir un ransomware.
- Gestion des identités (MFA, moindre privilège, comptes dédiés OT) pour diminuer le risque d’accès distant compromis.
- Supervision : SOC, SIEM et télémétrie adaptée OT pour détecter tôt des mouvements latéraux, connexions anormales et changements de configuration.
- Sauvegardes isolées, tests de restauration et capacité de reconstitution OT pour réduire l’impact des ransomware/wipers.
- Gestion des accès tiers (bastion, sessions enregistrées, fenêtres de maintenance, listes d’autorisation) pour limiter le risque supply chain.
Dimension crise : priorités 0–24 h. En cas d’incident, l’ordre des décisions compte : sécuriser les personnes et le procédé (safety), stabiliser l’exploitation (mode dégradé), isoler les segments compromis, préserver les preuves, qualifier l’étendue, puis communiquer avec des messages factuels. La coordination entre exploitation OT, DSI, sécurité et direction doit être entraînée, car l’improvisation augmente le risque d’erreurs irréversibles (restaurations contaminées, ouverture d’accès d’urgence, perte de journaux).
Constats issus de sources reconnues : l’ENISA et les agences nationales (ex. ANSSI) mettent régulièrement en avant que les attaques touchant des services essentiels combinent souvent identifiants compromis, systèmes exposés et dépendances fournisseurs. Les rapports de terrain d’acteurs de réponse à incident (dont Sophos) décrivent la persistance du ransomware comme cause d’interruption d’activité. Les travaux internationaux sur la protection des infrastructures critiques (notamment dans l’écosystème ONU/UIT) soulignent l’importance de la résilience et de la coopération public-privé. Les chiffres exacts varient selon les périmètres et les périodes ; l’important est la tendance et la répétitivité des modes d’entrée.
Ce qu’il faut retenir (et vérifier) pour piloter le risque au quotidien
Le risque lié aux infrastructures critiques vient de la combinaison « forte dépendance sociétale + complexité OT/ICS + interconnexions ». Une stratégie réaliste vise à empêcher les intrusions les plus probables, à contenir la propagation et à assurer la continuité en mode dégradé.
Mini-checklist orientée risque (sans prétendre à l’exhaustivité) :
- Inventaire à jour des actifs IT/OT, des flux et des accès tiers, avec propriétaires identifiés.
- Segmentation effective et testée entre IT et OT, avec bastion d’administration et filtrage des protocoles.
- Sauvegardes isolées (et restaurations testées) incluant configurations et images nécessaires au redémarrage OT.
- Supervision SOC/SIEM + capacités de détection OT (anomalies réseau et changements de configuration).
- Exercices de crise incluant exploitation, automatisme, IT, communication, et scénarios de bascule en mode dégradé.
En pratique, la réduction du risque se mesure à la capacité à éviter qu’un incident IT devienne un arrêt de service, et à redémarrer vite et proprement après une attaque. C’est cette résilience, plus que la promesse d’une protection parfaite, qui protège durablement les services essentiels.
FAQ
Quels sont les impacts concrets d’une cyberattaque sur une infrastructure critique (au-delà de l’IT) ?
Au-delà de l’indisponibilité informatique, l’impact peut toucher la continuité de service (eau, énergie, transport, soins), la safety (mise en sécurité d’un procédé, risques pour les personnes), l’environnement (rejets, surpression) et l’économie (arrêts, pénuries, logistique). L’effet peut se propager via des dépendances (prestataires, télécoms, énergie).
Pourquoi les environnements OT/ICS sont-ils plus difficiles à sécuriser que l’informatique classique ?
Ils combinent systèmes anciens, contraintes de disponibilité 24/7, faible tolérance aux changements et outils de supervision historiquement orientés production. Certaines pratiques IT (patching agressif, scans) peuvent être risquées en OT. La cybersécurité doit donc respecter le procédé industriel, avec une approche zonage/conduits, accès stricts et gestion du changement.
Quels types d’attaques touchent le plus souvent les infrastructures critiques (ransomware, sabotage, DDoS…) ?
Les scénarios fréquemment observés incluent le ransomware sur les fonctions support, la compromission via prestataires (attaque de supply chain), le rebond IT→OT et, selon les secteurs, des DDoS sur des services exposés. Les manipulations de procédés existent mais sont moins communes et souvent plus ciblées.
Comment une compromission du SI (IT) peut-elle se propager jusqu’aux systèmes industriels (OT) ?
La propagation se fait généralement via des passerelles, des comptes d’administration partagés, des serveurs d’historisation, ou des outils d’ingénierie accessibles depuis l’IT. Sans segmentation stricte, un attaquant peut se déplacer latéralement, récupérer des identifiants et atteindre des environnements OT/SCADA. Le zonage, les bastions et le filtrage de flux limitent ce risque.
Quelles obligations de signalement et de conformité s’appliquent aux opérateurs d’infrastructures critiques (ex. NIS2) ?
Selon le statut de l’organisation et le pays, des exigences peuvent imposer une gestion formalisée du risque et des notifications d’incident auprès des autorités compétentes. Dans l’UE, NIS2 renforce ces principes pour certaines entités essentielles et importantes. L’objectif opérationnel est d’accélérer la coordination, le partage d’alertes et l’amélioration de la résilience.
Quels sont les premiers indicateurs d’un incident cyber en environnement industriel et quoi faire en priorité ?
Les signaux incluent des connexions de télémaintenance inhabituelles, des changements non planifiés de configuration, des comptes nouveaux ou privilégiés, des ruptures de communication SCADA, ou des dérives de mesures difficiles à expliquer. La priorité est de protéger les personnes et le procédé (safety), stabiliser l’exploitation, isoler les segments touchés, préserver les journaux et activer la réponse à incident en coordination avec les équipes OT/IT et, si nécessaire, les CERT/autorités.
