Le secteur manufacturier, cible prioritaire d'une menace ransomware qui se concentre

Publié par Resilience (assureur cyber), ce rapport croise des données de sinistralité internes (mars 2021 – février 2026) corélées avec des sources sectorielles externes pour dresser un état des lieux de la cybersécurité dans l'industrie manufacturière. Le secteur est la cible la plus attaquée au monde pour la cinquième année consécutive : les incidents ransomware y ont bondi de 61 % en 2025. Sur le portefeuille analysé, le ransomware représente 90 % des pertes totales, alors qu'il ne constitue que 12 % du volume de sinistres. Le principal facteur de perte n'est pas l'absence de protection, mais sa mauvaise configuration : les défauts de paramétrage du MFA (authentification multifacteur) sont responsables de 26 % des pertes, soit davantage que l'absence totale de MFA (8 %). La convergence IT/OT, l'ancienneté des systèmes industriels et la sous-dotation chronique des budgets sécurité constituent les vulnérabilités structurelles sous-jacentes.

https://4526209.fs1.hubspotusercontent-na1.net/hubfs/4526209/Manufacturing%20Report.pdf

RDP/VNC exposés sur internet : l'accès distant, angle mort de la sécurité des systèmes cyber-physiques

Les chercheurs du Vedere Labs de Forescout recensent plus de 1,8 million de serveurs RDP et 1,6 million de serveurs VNC exposés sur internet, dont 18 % des serveurs RDP tournent sur des versions Windows en fin de vie, et plus de 19 000 restent vulnérables à la faille BlueKeep (CVE-2019-0708). Près de 60 000 serveurs VNC n'ont aucune authentification activée, dont 670 donnent un accès direct à des panneaux de contrôle OT/ICS. Sur le plan des acteurs de la menace cyber, des groupes tels que  Cyber Army of Russia Reborn (CARR), NoName057(16), Z-Pentest (composé de plusieurs groupes d'hacktivistes et Sector16) utilisent des outils de scan ciblant spécifiquement RDP, VNC et les protocoles OT, tandis que le botnet Redheberg a infecté près de 40 000 serveurs VNC exposés depuis février.

https://www.forescout.com/blog/rdp-security-cps-threats-spark-need-for-secure-remote-access/

Adapter le Zero Trust aux environnements OT : contraintes spécifiques et recommandations pratiques

Ce guide interagences (CISA, DOE, FBI) pose un constat fondamental : le Zero Trust (ZT) ne peut être transposé tel quel des environnements IT vers l'OT, en raison des exigences de disponibilité continue, des systèmes legacy non patchables et des capacités de journalisation souvent inexistantes. Structuré selon le cadre NIST CSF 2.0 (Gouverner, Identifier, Protéger, Détecter, Répondre, Récupérer), il détaille des mesures concrètes : segmentation réseau et microsegmentation, gestion des identités et accès adaptée aux protocoles propriétaires OT, sécurisation des accès distants via jump hosts avec MFA, et surveillance passive pour ne pas perturber les systèmes. Un point saillant : l'IT et l'OT ne doivent pas partager de domaines ou annuaires Active Directory, leur convergence étant précisément le vecteur exploité par des acteurs comme Volt Typhoon pour pivoter vers les réseaux industriels.

https://www.cisa.gov/sites/default/files/2026-04/joint-guide-adapting-zero-trust-principles-to-operational-technology_508c.pdf

Cyber-Process Hazard Analysis (PHA) par KPMG comme méthode structurée pour bâtir la résilience des systèmes industriels 

Face à une menace ransomware qui a quintuplé sur les réseaux industriels entre 2018 et 2020, le secteur industriel reste largement sous-préparé, malgré une prise de conscience croissante des dirigeants. Le document distingue la cyber-résilience de la cybersécurité classique : là où la seconde vise à bloquer les attaques, la première garantit la continuité des fonctions critiques même après compromission. La méthode porposé par la cabinet KPMG désignée par cyber-PHA (Process Hazard Analysis), est une transposition au domaine cyber d'une démarche d'analyse de risques industriels en six phases, de la définition du périmètre jusqu'au plan de remédiation priorisé. Cette approche est particulièrement adaptée aux environnements IT/OT convergents, où les vulnérabilités de PLCs, HMIs et systèmes SCADA peuvent entraîner des conséquences physiques réelles. L'étude de cas illustre son déploiement concret dans une organisation multi-sites sans référentiel de sécurité unifié, aboutissant à une architecture réseau segmentée et un programme cyber standardisé sur le périmètre industriel.

Une méthode qui rapelle la démarche de classification des actifs industriels publiées par l'ANSSI.

https://assets.kpmg.com/content/dam/kpmgsites/my/pdf/2022/08/pathway_to_industrial_cyber_resilience.pdf.coredownload.inline.pdf

Sur le volet offreurs de solutions (nouvelle section)

Sennin, la plateforme de TXOne pour transformer l'évaluation des risques OT en protection opérationnelle concrète

TXOne Networks a lancé la famille de produits Sennin, une suite d'outils d'évaluation et d'orchestration conçue pour combler le fossé récurant entre l'identification des risques OT et leur traitement effectif. SenninRecon est un capteur réseau passif qui surveille plus de 180 protocoles industriels et produit une vue des risques priorisée selon la méthodologie VSAR de TXOne, intégrant exploitabilité réelle et contexte opérationnel ; SenninOne est la plateforme de gouvernance d'entreprise qui traduit ces résultats en politiques de sécurité actionnables, liées aux produits de protection réseau, endpoint et inspection de TXOne. L'enjeu central est structurel : la plupart des organisations savent déjà identifier leurs risques industriels, mais peinent à les corriger sans interrompre la production, Sennin est précisément conçu pour rendre cette transition opérationnellement acceptable

https://www.txone.com/news/sennin-ot-strategic-governance/

Tenable intègre nativement la découverte OT à sa plateforme d'exposition pour unifier la visibilité IT/OT sans déploiement matériel

Tenable a lancé un moteur de découverte d'actifs OT intégré directement à sa plateforme Tenable One, sans matériel spécialisé ni agent supplémentaire requis, permettant aux équipes de sécurité d'obtenir immédiatement une visibilité sur les systèmes cyber-physiques, OT, IoT et shadow IT. Les premiers clients en accès anticipé, dans des secteurs aussi variés que l'hôtellerie, la finance ou l'éducation, ont découvert entre 100 et 1 000 actifs OT/IoT inconnus dès le premier déploiement, certains présentant des vulnérabilités critiques. L'enjeu est direct : 45 % des compromissions OT modernes trouvent leur origine dans des environnements IT, et cette nouvelle capacité permet de consolider en une vue unifiée l'exposition cyber-physique aux côtés des domaines cloud, identité et IA.

https://www.tenable.com/press-releases/tenable-expands-exposure-management-with-instant-ot-discovery-to-secure-cyber-physical-systems

1 × Linux

        Kernel (CVE-2021-22555)

1 × Juniper

        ScreenOS (CVE-2015-7755)

1 × Jenkins

        Jenkins (CVE-2017-1000353)

1 × IGEL

        IGEL OS (CVE-2025-47827)

1 × Grafana Labs

        Grafana (CVE-2021-43798)

1 × GNU

        GNU Bash (CVE-2014-6278)

1 × Broadcom

        VMware Aria Operations and VMware Tools (CVE-2025-41244)

1 × Apple

        Multiple Products (CVE-2022-48503)

À date, 1406 KEV sont référencées.

🎆 L'objectif de cette liste est de permettre aux organisations de prioriser leurs actions de patching. Afin de se rendre compte de l'importance des nouvelles entrées dans cette liste : toutes les agences de l’administration américaine doivent corriger ces vulnérabilités dans les 21 jours qui suivent l'ajout dans la liste !

☣️ KEV exploitées par un ransomware :

N/A

🔥 Liste des autres KEV :

3 x D-Link DCS-2530L and DCS-2670L Devices (CVE-2020-25078, CVE-2020-25079), DNR-322 (CVE-2022-40799)

3 x Citrix NetScaler (CVE-2025-7775), Session Recording (CVE-2024-8068, CVE-2024-8069)

2 x N-ableN-Central (CVE-2025-8875, CVE-2025-8876)

2 x Microsoft Internet Explorer (CVE-2013-3893), Office (CVE-2007-0671)

1 x Trend Micro Apex One (CVE-2025-54948)

1 x SangomaFreePBX (CVE-2025-57819)

1 x RARLABWinRAR (CVE-2025-8088)

1 x Git Git (CVE-2025-48384)

1 x Apple iOS, iPadOS, and macOS (CVE-2025-43300)