Points clés
- Les incidents qui combinent vecteur physique et conséquence numérique représentent certaines des compromissions les plus graves documentées : Stuxnet, Ukraine grid 2015, Colonial Pipeline, Bangladesh Bank.
- L'attaque Stuxnet (2010) a été introduite dans des installations nucléaires iraniennes air-gapped via des clés USB — un vecteur physique qui a contourné l'intégralité des défenses réseau.
- La prise de contrôle de la station de traitement des eaux d'Oldsmar (Floride, 2021) a impliqué un accès à distance non sécurisé à des systèmes de contrôle industriel physiquement connectés.
- CISA et l'ENISA publient des guides spécifiques sur la convergence sécurité physique / sécurité des systèmes industriels (ICS/SCADA) qui définissent les contrôles requis pour ces environnements hybrides.
La distinction entre incidents physiques et incidents numériques est de moins en moins opérante dans les environnements industriels et critiques. Les systèmes de contrôle industriel (ICS), les automates programmables (SCADA), les équipements médicaux connectés et les infrastructures de transport sont des environnements où le vecteur d'attaque peut être physique et la conséquence numérique — ou inversement. Cette hybridation des menaces est l'une des évolutions les plus significatives du paysage des risques depuis 2010.
Pour la direction générale d'une organisation gérant des infrastructures critiques ou des systèmes industriels, ignorer la dimension physique de la sécurité informatique expose à des scénarios d'incident dont les conséquences dépassent la perte de données : arrêt de production, mise en danger physique des personnes, impacts sur des infrastructures publiques.
Vecteurs physiques d'attaques numériques
L'introduction de supports physiques (clés USB, disques durs, cartes SD) dans des systèmes isolés du réseau (air-gapped) est le vecteur physique d'attaque numérique le plus documenté. Stuxnet (2010) a ainsi atteint les centrifugeuses d'enrichissement d'uranium de Natanz sans jamais passer par une connexion internet. L'investigation a établi que le logiciel malveillant avait été introduit par un agent — ou un prestataire compromis — via un support amovible. Ce scénario reste pertinent pour tous les environnements industriels où des supports physiques sont utilisés lors des maintenances.
L'accès physique non autorisé à des équipements de réseau — commutateurs, routeurs, équipements de contrôle industriel — permet l'installation de dispositifs d'écoute, de modification de configuration ou d'introduction de malware directement sur le matériel. L'affaire Vodafone Grèce (2004) illustre comment un accès physique à des équipements de commutation téléphonique a permis l'installation d'un logiciel d'écoute ayant ciblé des membres du gouvernement grec.
La manipulation physique des interfaces de contrôle industriel (ICS/SCADA) représente un troisième vecteur. Dans l'incident d'Oldsmar (Floride, 2021), un opérateur de la station de traitement d'eau a observé en temps réel le curseur de sa souris se déplacer et modifier le niveau de soude caustique à un niveau dangereux. L'accès avait été obtenu via TeamViewer, un outil d'accès à distance installé sur les postes de contrôle physiques de la station, protégé par un mot de passe faible partagé entre plusieurs employés.
Conséquences numériques des incidents physiques
L'attaque sur le réseau électrique ukrainien de décembre 2015 a combiné un malware (BlackEnergy) avec des actions physiques : les opérateurs des sous-stations ont été verrouillés hors de leurs systèmes, et les disjoncteurs ont été ouverts à distance. La phase physique — l'ouverture des disjoncteurs — a été le mécanisme de coupure finale, après que la phase numérique avait désactivé les protections. La restauration du service a nécessité des interventions physiques manuelles sur des dizaines de sous-stations.
En 2016, le hold-up de la Bangladesh Bank (81 millions USD détournés via le réseau SWIFT) a inclus une composante physique : des imprimantes reliées aux terminaux SWIFT avaient été préalablement sabotées pour empêcher l'impression des confirmations de transactions. Le personnel de nuit qui aurait pu détecter les transactions frauduleuses n'a reçu aucune alerte imprimée, retardant la détection.
CISA a publié plusieurs avis techniques sur la convergence des risques physiques et numériques dans les infrastructures critiques, notamment pour les secteurs eau, énergie et transport. Ces avis recommandent une approche intégrée qui traite la sécurité physique et la cybersécurité comme des composantes d'un seul système de gestion des risques.
Gouverner les risques hybrides physico-numériques
La gouvernance des risques hybrides nécessite une coordination entre le RSSI, le responsable sécurité physique, le directeur industriel et le risk manager. Ces fonctions, souvent organisées en silos, doivent partager une cartographie des risques commune qui intègre les vecteurs physiques et les conséquences numériques — et inversement.
NIST SP 800-82 (Guide to ICS Security) et IEC 62443 (sécurité des systèmes d'automatisation industrielle) fournissent des cadres de référence pour sécuriser les environnements où systèmes physiques et numériques convergent. Ces normes définissent des zones de sécurité, des contrôles d'accès physique aux équipements ICS, et des procédures de gestion des supports amovibles adaptées aux contraintes industrielles.
L'attaque par ransomware DarkSide qui a paralysé Colonial Pipeline, premier pipeline de carburant de la côte Est américaine, a démarré par la compromission d'un compte VPN via un mot de passe exposé. Mais la décision d'arrêt opérationnel a été prise par la direction elle-même, par crainte que les systèmes OT (opérationnels, physiques) aient été compromis. Cette décision illustre comment une cyberattaque sur des systèmes IT peut conduire à un arrêt physique d'infrastructures critiques, y compris en l'absence de compromission directe des systèmes de contrôle industriel. La rançon de 4,4 millions USD a été partiellement récupérée par le DOJ.
Les deux attaques sur le réseau électrique ukrainien (décembre 2015 et décembre 2016) représentent les premiers cas documentés de coupure de courant causée par une cyberattaque. L'attaque de 2015 a coupé l'électricité à 230 000 foyers pendant plusieurs heures. L'attaque de 2016 (Industroyer/Crashoverride) ciblait directement les protocoles de communication des équipements physiques de contrôle du réseau. Ces incidents ont conduit l'ENISA et l'ANSSI à publier des guides spécifiques sur la sécurisation des systèmes industriels dans le secteur de l'énergie, intégrant explicitement la dimension physique.
CERT-In, l'agence indienne de cybersécurité, a confirmé en 2019 la compromission d'un système administratif de la centrale nucléaire de Kudankulam par le malware Dtrack, associé au groupe Lazarus. L'enquête a établi que le système compromis n'était pas directement connecté aux systèmes de contrôle de la centrale, mais que la compromission avait mis en évidence des lacunes dans la segmentation entre systèmes administratifs et systèmes de contrôle physique. Cet incident a conduit à une révision des procédures d'accès physique aux systèmes informatiques dans les installations nucléaires indiennes.