Selon le cabinet Forrester, 30 % des décideurs français dans la sécurité - dont l’entreprise a déjà subi une attaque externe - ont claré que les appareils IoT internes avaient été pris pour cible, les pirates profitant souvent dexploitations de vulnérabilités non corrigées, dun manque total de fonctions de sécurité embarquées (security by design), de labsence de politique de sécurité autour de lIoT ou encore de lobsolescence de ces objets. Eric Antibi, directeur technique de Palo Alto France, alerte sur tous ces risques tout en rappelant la grande diversité des objets connectés existants sur le marché entre les devices (smartphones, PC portables, etc.), lIoT grand public qui se retrouve aussi parfois sur le réseau de lentreprise et les systèmes industriels dans les environnements OT. Dans le dernier rapport intitulé Device Security Threat Report 2025 et publié par l’éditeur, on y apprend que près de 42 % des organisations industrielles françaises déclarent subir mensuellement une attaque ou un incident de sécurité sur leur environnement OT. En outre, sur plus de 27 millions dappareils provenant de la télémétrie de 1803 réseaux dentreprises clientes de Palo Alto, 23 millions proviennent de lIT et 4 millions de lIoT. Et les résultats de l’étude font froid dans le dos puisque 21 % des appareils IoT présentent au moins une vulnérabilité connue, et 2 % sont me exposés à des failles activement exploitées. De plus, pour Emmanuel Serrurierdirecteur des ventes chez Armis France, les entreprises ne connaissent parfois même pas le nombre dassets connectés sur leur réseau et le découvrent en déployant un outil capable de faire un inventaire précis 

Beaucoup de comportements à risques  

« Aujourdhui, dans le monde de lOT/IoT, tous les automates mis sur le marché depuis les années 2010 disposent dun port USB et sont donc vulnérables à partir dune simple clé USB suspecte. Durant mes expériencesjai pu observer tous ces comportements problématiques comme la box Internet reliée à lautomate pour lui donner un accès au web sans aucune autorisation préalablejappelle cela du shadow OTou encore des switches configurés avec les mots de passe par défautJai même découvert chez lun de nos clients que le téléphone portable dun prestataire était connecté à distance à un serveur de supervision, et aussi vu, dans le domaine de la santé cette fois-ci, des soignants qui jouaient sur des machines servant normalement aux rayons X », donne en exemple Arnaud Masson, directeur technique OT/XIoT chez lintégrateur Nomios. Face à ce constat, toutes les agences et autres consortiums nationaux et internationaux salarment. Récemment, le Centre canadien pour la cybersécurité (Canadian Centre for Cyber Security) en a remis une couche en exhortant les responsables de sécurité (RSSI) à prendre des mesures aux trèvulnérables systèmes de contrôle industriel (ICS) connectés à Internet (comme les automates programmables ou encore les Scada) qui sont des cibles faciles pour les groupes de menace affiliés à un gouvernement et les hacktivistes. Cette agence met en avant quelques exemples dont des pirates qui ont réussi à accéder à une jauge de réservoir automatisée connectée à Internet appartenant à une société trolière et gazière canadienne et ont pu ainsi manipuler ses valeursdéclenchant de fausses alarmesCes jauges sont utilisées pour surveiller le niveau, la pression et la température du carburant à l'intérieur des réservoirs et pour détecter les fuites potentielles et déclencher des contre-mesuresL'an dernier, des chercheurs ont révélé des vulnérabilités critiques et très graves dans six modèles de jauges provenant de cinq fabricants et ont alerté à ce moment- contre le défaut dauthentification de plus de 6000 dentre elles directement exposées à Internet. Par le passé, on peut citer plusieurs autres exemples comme celui du groupe de cybercriminels lié à l'Iranconnu sous le nom de Cyber Av3ngers, qui avait pris la main en 2023 sur un système de contrôle industriel appartenant à la Municipal Water Authority of Aliquippa en Pennsylvanie. Ce système était également utilisé pour réguler la pression de l'eaumais l'intrusion a été tectée avant que l'approvisionnement en eau ne soit affectéSouvenons-nous aussi du malware Triton qui ciblait les équipements SIS de la marque Schneider Electric en 2017 et qui avait permis à des pirates de prendre le contrôle du système de sécurité d'un site pétrochimique en Arabie saoudite. 

Des mises en garde répétées des autoritécompétentes 

L'année dernière, l'augmentation des activités de cybercriminalité contre les ICS a également incité l'Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA), ainsi que d'autres agences gouvernementales, à émettre une alerte à l'intention des propriétaires d'actifs technologiques opérationnels. Les entreprises ont un besoin légitime de gérer et de surveiller à distance leurs systèmes de contrôle industrielCependantelles doivent le faire à l'aide de protocoles sécurisés et testéscomme les VPN avec authentification multifactorielleplutôt quen exposant directement les interfaces de contrôle à Internet. En France, lAnssi émet aussi régulièrementauprès des entreprises, des alertes, guides et recommandations. Le Clusif a également pris cette problématique à bras le corps en publiant des guides de bonnes pratiques autour de lOT/IoT comme le mentionne Arnaud Masson, directeur technique OT/XIoT chez lintégrateur Nomios. 

Il faut bien se rappeler quauparavant, les systèmes industriels et lIT étaient construits de manière disjointe, les interactions entre ces deux mondes nexistaient pas ou étaient limitées et maîtrisées. Lautomate programmable, qui navait pas ou peu de fonctions de sécurisation embarquéesfonctionnait en vase clos. Aujourdhuice me automate dispose dun accès à distance créant ainsi un pont vers lextérieur souvent peu voire pas sécurisé du tout. De plus, la généralisation des capteurs IIoT (Industrial Internet of Things) faiquil est obligatoire de repenser sa politique SSI (sécurité des systèmes dinformationen sécurisant les réseaux OT aussi bien que les réseaux IT.