Points clés
- La protection des systèmes critiques échoue le plus souvent non par manque de technologie, mais par erreurs organisationnelles et de gouvernance.
- Les erreurs les plus fréquentes sont la segmentation insuffisante, les accès privilégiés mal contrôlés et les correctifs différés sur des systèmes jugés stables.
- L'attaque contre le système de traitement de l'eau d'Oldsmar (2021) a exploité un système de prise en main à distance jamais désinstallé.
- WannaCry a compromis des systèmes hospitaliers critiques via des vulnérabilités corrigées depuis deux mois, non appliquées sur des systèmes jugés trop sensibles pour être redémarrés.
- NIST SP 800-82 identifie la segmentation réseau insuffisante comme premier vecteur de compromission des environnements OT/ICS.
Les organisations qui investissent dans la protection de leurs systèmes critiques commettent souvent les mêmes erreurs structurelles. Ces erreurs ne relèvent pas de l'ignorance technique mais de compromis organisationnels : un patch différé parce que le système ne peut pas être redémarré, un accès distant maintenu par commodité, une segmentation abandonnée pour simplifier les échanges entre applications.
La direction joue un rôle direct dans ces erreurs lorsqu'elle n'impose pas de processus formels pour la gestion des environnements critiques. L'arbitrage entre disponibilité opérationnelle et sécurité doit être une décision gouvernée, documentée et assumée — non un compromis tacite laissé aux équipes techniques.
La segmentation insuffisante
La segmentation réseau est le premier mécanisme de protection des environnements critiques. Son principe est simple : limiter la capacité d'un attaquant à se déplacer latéralement d'un système compromis vers un système critique. Son application est souvent contournée par les besoins d'intégration métier, qui exigent des échanges entre systèmes industriels, de gestion et d'information.
NIST SP 800-82 et l'IEC 62443 détaillent les architectures de segmentation pour les environnements OT et ICS. Ces référentiels distinguent les zones de confiance et imposent des contrôles de flux entre chaque zone. L'erreur fréquente consiste à définir la segmentation à la conception et à l'éroder progressivement au fil des besoins opérationnels, sans réévaluation de risque formelle.
La gestion des accès privilégiés
Les systèmes critiques sont souvent administrés avec des comptes partagés, des mots de passe génériques ou des accès à distance maintenus pour des interventions de maintenance jamais désinstallés. Ces pratiques, tolérées dans les environnements de développement, sont inacceptables sur des systèmes dont la compromission peut avoir des conséquences physiques ou financières majeures.
CyberArk Privileged Access Manager et les recommandations de l'ANSSI (PA-022) convergent sur les mêmes exigences : comptes individuels, authentification forte, journalisation exhaustive, rotation régulière des secrets. Ces contrôles sont obligatoires dans le cadre de DORA pour les systèmes supportant des fonctions critiques ou importantes.
Le report des correctifs de sécurité
Le cas WannaCry de 2017 est le plus emblématique : la vulnérabilité EternalBlue était corrigée par Microsoft depuis mars 2017. WannaCry a frappé en mai 2017. Les systèmes hospitaliers touchés, notamment au NHS, n'avaient pas appliqué le correctif sur des serveurs Windows XP et Windows 7 jugés trop sensibles pour être redémarrés pendant les heures d'exploitation.
Ce compromis entre disponibilité et sécurité est légitime lorsqu'il est documenté et accompagné de mesures compensatoires. Il devient une erreur grave lorsqu'il résulte d'une inertie organisationnelle. DORA et NIS2 imposent un processus formel de gestion des correctifs, y compris pour les systèmes critiques nécessitant des fenêtres de maintenance planifiées.
Un attaquant a pris le contrôle à distance du système de traitement de l'eau de la ville d'Oldsmar, en Floride, via TeamViewer — un outil de prise en main à distance installé plusieurs années auparavant et jamais désinstallé. L'attaquant a tenté d'augmenter le taux d'hydroxyde de sodium à un niveau dangereux pour la santé. Un opérateur a détecté l'anomalie et corrigé manuellement. Cet incident illustre l'erreur classique de l'accès non contrôlé sur un système critique de type OT.
L'attaque WannaCry a paralysé 81 des 236 trusts hospitaliers du NHS anglais. 19 000 rendez-vous ont été annulés. Le coût estimé dépasse 92 millions de livres sterling. La cause identifiée par le National Audit Office : des systèmes Windows XP non patchés sur des équipements médicaux connectés au réseau principal, sans segmentation ni mesure compensatoire documentée.
Les attaquants ont exploité l'absence de segmentation entre le réseau SWIFT et les postes de travail administratifs de la Bangladesh Bank. Une fois dans le réseau, ils ont pu accéder au terminal SWIFT, installer des maliciels modifiant les logs et les confirmations, et émettre des ordres de transfert frauduleux pour 951 millions de dollars, dont 81 millions ont été confirmés. La segmentation inadéquate entre l'infrastructure SWIFT et le réseau bureautique est l'erreur primaire identifiée.