Vingt mille convertisseurs série-IP exposés. Vingt-deux failles critiques. Et en France, des dizaines d'hôpitaux, de stations de pompage et de sous-stations électriques qui continuent de tourner derrière des équipements qui n'ont pas vu un firmware depuis cinq ans. BRIDGE:BREAK n'est pas la catastrophe. La catastrophe, c'est qu'on la voyait venir depuis 2019.

Le problème ne vient pas des équipementiers

Quand Forescout publie 22 CVE sur des convertisseurs Lantronix et Silex, la tentation est immédiate : accabler les constructeurs pour des mots de passe vides par défaut et des clés codées en dur. C'est facile, et c'est à côté du sujet. Ces équipements ont été conçus il y a dix ou quinze ans pour un monde où on ne les mettait pas sur Internet. Ils faisaient le pont entre un bus RS-485 d'automate et un réseau industriel isolé, c'était leur mission. Le problème, c'est que les intégrateurs et les exploitants les ont raccordés à des VPN d'accès distant, à des passerelles 4G de télémaintenance, à des réseaux d'entreprise avec une route vers Internet « juste pour les mises à jour ». Progressivement, sans décision consciente, l'infrastructure critique française est devenue adressable depuis Varsovie, Shanghai ou Saint-Pétersbourg.

Ce que BRIDGE:BREAK révèle du terrain français

Depuis dix-huit mois, je vois passer dans les audits industriels trois constats qui reviennent avec une régularité déprimante. D'abord, l'absence quasi totale d'inventaire OT à jour : la plupart des sites industriels que j'audite ne savent pas, à la référence près, quels convertisseurs, quels automates, quels IHM ils ont en production. Ensuite, la dilution des responsabilités : le parc OT est géré par l'automatisme, la sécurité réseau par la DSI, la gestion des accès distants par le fournisseur, et personne n'est titulaire du risque. Enfin, une incompréhension structurelle du modèle de menace : on pense à la vulnérabilité sur l'automate critique, on oublie la passerelle poussiéreuse qui est le vrai point d'entrée.

BRIDGE:BREAK coche les trois cases. Les équipements concernés sont massivement déployés en France dans l'eau, les réseaux de transport, l'énergie et la santé. La moitié des exploitants que j'ai consultés cette semaine n'ont pas d'inventaire capable de répondre en moins d'une journée à la question « avons-nous des Lantronix EDS3000PS exposés ? ».

La NIS2 n'est pas la réponse suffisante

La directive NIS2 a élargi le périmètre des entités concernées et renforcé les obligations, c'est une bonne nouvelle. Mais transposer NIS2 en « on achète un outil de segmentation et on remplit un DUERP cyber » rate complètement le point. Ce qui manque, ce n'est pas de la conformité, c'est de l'exécution opérationnelle sur trois piliers simples : un inventaire OT tenu à jour au quotidien, une gouvernance unique avec un propriétaire du risque identifié par site, et un processus de patch management qui intègre les équipements legacy sans fenêtre de maintenance trimestrielle.

Mon avis d'expert

Je le dis sans détour : 80 % des sites industriels français ne pourront pas répondre correctement à une alerte comme BRIDGE:BREAK dans les 72 heures. Pas par manque de budget, mais par manque d'organisation. Tant qu'on continuera à traiter la sécurité OT comme un projet de fin d'année, les CERT continueront à publier des advisories que personne ne traite à temps. Le jour où un attaquant fera le lien entre BRIDGE:BREAK et un groupe ransomware avec une vraie capacité industrielle, la facture sera humaine, pas seulement financière.

Ce qu'il faut faire cette semaine

Si vous dirigez une SSI industrielle ou une DSI avec périmètre OT, voici la liste courte : lancer un scan passif de votre parc pour identifier les convertisseurs Lantronix et Silex, croiser avec votre cartographie réseau pour repérer ceux exposés au-delà du VLAN OT, prioriser le patch sur les équipements connectés à des actifs à forte criticité (santé, production continue, sécurité des personnes), et mettre en place une règle simple : aucun convertisseur série-IP ne doit être joignable depuis une interface avec un accès Internet direct ou indirect.

C'est basique. C'est ce qu'on dit depuis des années. Et pourtant, dans la majorité des environnements industriels français, ce n'est toujours pas fait.

Conclusion

BRIDGE:BREAK va générer ses victimes dans les semaines qui viennent. L'attaque la plus probable n'est pas un 0-day spectaculaire, c'est un scan opportuniste sur port 80 et port 443, suivi d'une exploitation triviale sur des équipements avec mot de passe vide. Ce qui fera la différence entre les organisations qui passent au travers et celles qui se retrouvent en cellule de crise, ce n'est pas le budget cyber. C'est la discipline opérationnelle. Et elle se construit maintenant, pas après l'incident.

Auditer votre parc OT avant l'alerte CERT-FR

Inventaire, cartographie des expositions, priorisation des correctifs : discutons de la réalité de votre environnement industriel.

Prendre contact