Iran cible les PLC US : alerte CISA-FBI-NSA pour l'OT

Ce qui s'est passé

Le 1er mai 2026, six agences fédérales américaines ont publié un avis de cybersécurité conjoint d'une rare gravité. CISA, le FBI, la NSA, l'EPA, le DOE et US Cyber Command alertent sur une campagne d'exploitation en cours visant des dispositifs de technologie opérationnelle (OT) connectés à Internet, en particulier des automates programmables industriels (PLC) du fabricant Rockwell Automation/Allen-Bradley. L'avis est diffusé dans le format CSA habituel, accompagné d'un PDF technique et d'une publication parallèle de l'IC3 sous la référence 260407, qui donnent les indicateurs de compromission et la liste des actifs concernés.

Les agences attribuent cette activité à un groupe d'APT affilié à l'Iran, dont les opérations s'inscrivent dans une logique de perturbation directe des opérations industrielles américaines. Selon le document, les acteurs visent à provoquer des effets perturbatifs sur le territoire des États-Unis, ce qui marque un saut qualitatif par rapport aux campagnes habituelles de reconnaissance ou d'exfiltration. Plusieurs secteurs critiques sont concernés : eau et assainissement, traitement des eaux usées, énergie, alimentation et agriculture, fabrication critique, santé et services médicaux. Les agences ne nomment pas les victimes mais confirment des cas réels de perturbation observés dans plusieurs États.

Le mode opératoire est désormais bien documenté. Les attaquants identifient les automates Allen-Bradley exposés directement sur Internet, souvent via le protocole de programmation propriétaire ou via des interfaces web embarquées laissées ouvertes par négligence. Une fois l'accès obtenu, ils interagissent avec les fichiers projet stockés sur l'automate, modifient les programmes ladder ou structured text, et altèrent les valeurs affichées sur les interfaces homme-machine (HMI) et les supervisions SCADA. L'objectif est double : tromper l'opérateur sur l'état réel du procédé et déclencher des conditions de fonctionnement anormales sans déclencher d'alarme immédiate.

Plusieurs scénarios documentés sont particulièrement préoccupants. Sur des stations de traitement d'eau, des PLC compromis ont continué à afficher des valeurs de débit normales pendant que les pompes étaient désactivées. Sur des installations énergétiques, des automates ont vu leurs setpoints modifiés à la marge, suffisamment pour dégrader les performances sans déclencher les seuils de protection. Sur des chaînes de production agroalimentaire, des opérations critiques de pasteurisation ont été modifiées dans le programme de l'automate, créant un risque sanitaire latent. La signature commune est la persistance des modifications dans les sauvegardes effectuées après la compromission, ce qui complique la restauration.

L'avis liste des indicateurs techniques : connexions sortantes vers des serveurs C2 hébergés majoritairement en Asie centrale et en Europe de l'Est, utilisation de tunnels IPsec opportunistes, modifications de fichiers .ACD côté Rockwell, et apparition de comptes administrateur non documentés sur les SCADA Windows associés. Les agences recommandent une recherche rétroactive sur les six derniers mois minimum, et préconisent de comparer les fichiers projet en production avec les sauvegardes antérieures à novembre 2025 pour détecter les écarts.

Les recommandations opérationnelles sont strictes. Première priorité : retirer immédiatement de l'Internet public tout PLC ou HMI accessible directement, en imposant un point d'accès VPN dédié à l'OT, idéalement avec authentification multifacteur et journalisation centralisée. Deuxième priorité : changer tous les mots de passe par défaut, en particulier sur les comptes Rockwell admin et engineering. Troisième priorité : segmenter strictement le réseau OT du réseau IT, avec des diodes ou des firewalls industriels gérés par des équipes dédiées. Quatrième priorité : auditer les fichiers projet et restaurer les versions de référence en cas de doute, avec validation manuelle ligne à ligne pour les programmes critiques.

L'avis recommande également de déployer des solutions de monitoring spécifiques OT, capables de détecter les commandes anormales sur les protocoles industriels comme EtherNet/IP, Modbus TCP ou OPC UA. Les outils de détection IT classiques sont insuffisants, car ils ne comprennent pas la sémantique des protocoles d'automatisme et ne savent pas distinguer une lecture légitime d'une écriture malveillante. Plusieurs éditeurs spécialisés, dont Claroty, Nozomi Networks ou Dragos, ont déjà publié des règles de détection alignées sur les indicateurs de l'avis.

La portée internationale de l'alerte ne fait aucun doute. Bien que centrée sur des cibles américaines, la campagne iranienne reprend des techniques observées en 2024 contre des opérateurs israéliens et des installations européennes. Le CERT-FR n'a pas encore publié de bulletin spécifique, mais les agences britanniques NCSC et néerlandaises NCSC-NL relaient l'avis et invitent les opérateurs locaux à mener des vérifications similaires. Plusieurs opérateurs critiques européens, en particulier dans le secteur de l'eau, ont d'ores et déjà lancé des campagnes d'audit de leurs PLC Allen-Bradley exposés.

Pourquoi c'est important

L'avis du 1er mai 2026 confirme la bascule stratégique amorcée depuis 2023 : les groupes APT étatiques ne se contentent plus de campagnes d'espionnage, ils visent désormais la perturbation directe des opérations industrielles. La sophistication technique reste modérée, ce qui rend la menace encore plus inquiétante : les vulnérabilités exploitées ne sont pas des zero-days, mais bien des configurations laissées par défaut, des automates exposés sans firewall, des mots de passe constructeur jamais modifiés. La plupart des intrusions s'expliquent par une absence d'hygiène basique sur des actifs déployés avant l'ère des menaces cyber-physiques.

Le secteur de l'eau est emblématique de cette fragilité. Aux États-Unis, plus de 50 000 opérateurs publics ou privés exploitent des stations de pompage et de traitement avec des effectifs réduits, des budgets limités et un parc d'automates parfois âgé de plus de quinze ans. La même réalité existe en France et en Europe, où la directive NIS2 impose désormais à ces opérateurs des obligations de sécurité comparables à celles des grandes industries, avec une montée en compétence à organiser dans des délais courts. La directive REC (Critical Entities Resilience) et le règlement CER ajoutent une couche de gouvernance qui responsabilise directement les dirigeants.

Les conséquences potentielles d'une attaque réussie sur l'OT dépassent largement la sphère cyber. Un automate manipulé peut générer un risque industriel majeur : pollution, surpression, déclenchement intempestif de vannes, contamination chimique. La frontière entre incident de sécurité et catastrophe sanitaire devient ténue. Plusieurs incidents passés, dont l'épisode d'Oldsmar en Floride en 2021, ont déjà démontré la faisabilité d'une compromission à fort impact via une simple session TeamViewer. L'avis du 1er mai 2026 documente la même classe de scénarios, mais avec un acteur étatique outillé et persistant.

Pour les RSSI et les directeurs industriels, ce signal renforce la nécessité d'investir dans une stratégie OT sécurisée intégrée à la gouvernance globale du SI. Les bonnes pratiques sont connues : inventaire exhaustif, segmentation, journalisation, monitoring spécialisé, gestion stricte des accès distants, plan de continuité incluant la restauration des fichiers projet. Mais leur mise en œuvre demande des compétences hybrides, mêlant automatisme et cybersécurité, qui restent rares sur le marché. Les organisations qui n'ont pas commencé cette transformation s'exposent à des sanctions réglementaires et à des risques opérationnels majeurs.

Ce qu'il faut retenir

• Un APT iranien manipule activement des automates Rockwell/Allen-Bradley exposés sur Internet aux États-Unis, avec des perturbations opérationnelles documentées.
• Retirer tous les PLC et HMI de l'Internet public, changer les mots de passe par défaut et auditer les fichiers projet sur six mois minimum.
• Le risque s'étend à l'Europe : les opérateurs NIS2 doivent vérifier leur exposition et déployer des outils de monitoring OT spécialisés sans tarder.