En bref

  • Des hackers liés à l'Iran exploitent des automates programmables (PLC) Rockwell/Allen-Bradley exposés sur Internet pour perturber des infrastructures critiques américaines.
  • Le FBI, la CISA, la NSA et plusieurs agences fédérales ont publié un avis conjoint alertant les secteurs de l'eau, de l'énergie et des services gouvernementaux.
  • Les organisations concernées doivent isoler leurs PLC d'Internet et auditer immédiatement leurs accès réseau industriels.

Ce qui s'est passé

Un groupe de hackers affilié à l'Iran mène depuis mars 2026 une campagne ciblant les automates programmables industriels (PLC) de marque Rockwell Automation et Allen-Bradley déployés dans les réseaux d'infrastructures critiques aux États-Unis. L'alerte provient d'un avis conjoint publié par le FBI, la CISA, la NSA, l'EPA, le département de l'Énergie et le Cyber National Mission Force (CNMF) du United States Cyber Command.

Les attaquants utilisent des infrastructures louées auprès de fournisseurs tiers et des logiciels de configuration industrielle, notamment Rockwell Automation Studio 5000 Logix Designer, pour établir des connexions légitimes vers les PLC des victimes. Une fois connectés, ils manipulent les données affichées sur les interfaces homme-machine (HMI) et les systèmes SCADA, provoquant des perturbations opérationnelles et des pertes financières.

Les secteurs visés incluent les systèmes d'eau et d'assainissement (WWS), l'énergie et les services gouvernementaux. Selon l'avis, ces attaques s'inscrivent dans une escalade des cyberopérations iraniennes contre des organisations américaines, dans le contexte des tensions géopolitiques impliquant l'Iran, les États-Unis et Israël.

Pourquoi c'est important

Les attaques contre les systèmes de contrôle industriel (ICS) représentent l'une des menaces les plus critiques en cybersécurité, car elles peuvent avoir des conséquences physiques directes : perturbation de la distribution d'eau potable, instabilité des réseaux électriques, ou dysfonctionnement d'équipements industriels. Le fait que les attaquants exploitent des PLC directement exposés sur Internet révèle des lacunes fondamentales dans la segmentation réseau de nombreuses organisations.

Cette campagne démontre également la sophistication croissante des acteurs étatiques, capables d'utiliser des outils de configuration industrielle légitimes pour passer sous les radars des défenses traditionnelles. Pour les entreprises françaises et européennes opérant dans les mêmes secteurs, c'est un signal d'alarme : les mêmes types d'automates sont largement déployés en Europe.

Ce qu'il faut retenir

  • Ne jamais exposer de PLC ou de systèmes SCADA directement sur Internet — utiliser des VPN industriels et une segmentation réseau stricte.
  • Auditer les accès aux logiciels de configuration industrielle (Studio 5000, etc.) et surveiller les connexions inhabituelles.
  • Appliquer les recommandations du guide ANSSI sur la sécurité des systèmes industriels et mettre à jour les firmwares des automates.

Comment savoir si mes automates industriels sont exposés sur Internet ?

Utilisez des outils de scan réseau comme Shodan ou Censys pour vérifier si vos PLC sont accessibles depuis l'extérieur. Effectuez également un audit de vos règles de pare-feu et de segmentation réseau OT/IT. Tout automate accessible sans VPN ou authentification forte doit être immédiatement isolé.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Articles connexes :

Prendre contact