Lotus Wiper : une nouvelle menace visant le secteur de l'énergie au Venezuela

Kaspersky analyse Lotus Wiper, un malware destructeur ciblant le secteur énergie/utilities au Venezuela fin 2025, dans un contexte de tensions géopolitiques dans la région des Caraïbes. À la différence d’un ransomware, l’attaque ne vise pas l’extorsion mais l’effacement pur des systèmes : modification aléatoire des mots de passe utilisateurs, désactivation des comptes locaux et des interfaces réseau, suppression des points de restauration, écrasement des disques, effacement des journaux et suppression massive de fichiers. À l’image de NotPetya ou d’HermeticWiper, Lotus Wiper rappelle que toutes les attaques destructrices ne poursuivent pas un objectif financier : certaines s’inscrivent dans des logiques géopolitiques où la finalité est la destruction des systèmes et la perturbation durable de l’activité.

https://securelist.com/tr/lotus-wiper/119472/

NIST/NCCoE : mieux voir l’OT pour mieux le protéger

Le secteur manufacturier, cible prioritaire d'une menace ransomware qui se concentre

Publié par Resilience (assureur cyber), ce rapport croise des données de sinistralité internes (mars 2021 – février 2026) corélées avec des sources sectorielles externes pour dresser un état des lieux de la cybersécurité dans l'industrie manufacturière. Le secteur est la cible la plus attaquée au monde pour la cinquième année consécutive : les incidents ransomware y ont bondi de 61 % en 2025. Sur le portefeuille analysé, le ransomware représente 90 % des pertes totales, alors qu'il ne constitue que 12 % du volume de sinistres. Le principal facteur de perte n'est pas l'absence de protection, mais sa mauvaise configuration : les défauts de paramétrage du MFA (authentification multifacteur) sont responsables de 26 % des pertes, soit davantage que l'absence totale de MFA (8 %). La convergence IT/OT, l'ancienneté des systèmes industriels et la sous-dotation chronique des budgets sécurité constituent les vulnérabilités structurelles sous-jacentes.

https://4526209.fs1.hubspotusercontent-na1.net/hubfs/4526209/Manufacturing%20Report.pdf

RDP/VNC exposés sur internet : l'accès distant, angle mort de la sécurité des systèmes cyber-physiques

Les chercheurs du Vedere Labs de Forescout recensent plus de 1,8 million de serveurs RDP et 1,6 million de serveurs VNC exposés sur internet, dont 18 % des serveurs RDP tournent sur des versions Windows en fin de vie, et plus de 19 000 restent vulnérables à la faille BlueKeep (CVE-2019-0708). Près de 60 000 serveurs VNC n'ont aucune authentification activée, dont 670 donnent un accès direct à des panneaux de contrôle OT/ICS. Sur le plan des acteurs de la menace cyber, des groupes tels que  Cyber Army of Russia Reborn (CARR), NoName057(16), Z-Pentest (composé de plusieurs groupes d'hacktivistes et Sector16) utilisent des outils de scan ciblant spécifiquement RDP, VNC et les protocoles OT, tandis que le botnet Redheberg a infecté près de 40 000 serveurs VNC exposés depuis février.

https://www.forescout.com/blog/rdp-security-cps-threats-spark-need-for-secure-remote-access/

Adapter le Zero Trust aux environnements OT : contraintes spécifiques et recommandations pratiques

Ce guide interagences (CISA, DOE, FBI) pose un constat fondamental : le Zero Trust (ZT) ne peut être transposé tel quel des environnements IT vers l'OT, en raison des exigences de disponibilité continue, des systèmes legacy non patchables et des capacités de journalisation souvent inexistantes. Structuré selon le cadre NIST CSF 2.0 (Gouverner, Identifier, Protéger, Détecter, Répondre, Récupérer), il détaille des mesures concrètes : segmentation réseau et microsegmentation, gestion des identités et accès adaptée aux protocoles propriétaires OT, sécurisation des accès distants via jump hosts avec MFA, et surveillance passive pour ne pas perturber les systèmes. Un point saillant : l'IT et l'OT ne doivent pas partager de domaines ou annuaires Active Directory, leur convergence étant précisément le vecteur exploité par des acteurs comme Volt Typhoon pour pivoter vers les réseaux industriels.

https://www.cisa.gov/sites/default/files/2026-04/joint-guide-adapting-zero-trust-principles-to-operational-technology_508c.pdf

Cyber-Process Hazard Analysis (PHA) par KPMG comme méthode structurée pour bâtir la résilience des systèmes industriels 

Face à une menace ransomware qui a quintuplé sur les réseaux industriels entre 2018 et 2020, le secteur industriel reste largement sous-préparé, malgré une prise de conscience croissante des dirigeants. Le document distingue la cyber-résilience de la cybersécurité classique : là où la seconde vise à bloquer les attaques, la première garantit la continuité des fonctions critiques même après compromission. La méthode porposé par la cabinet KPMG désignée par cyber-PHA (Process Hazard Analysis), est une transposition au domaine cyber d'une démarche d'analyse de risques industriels en six phases, de la définition du périmètre jusqu'au plan de remédiation priorisé. Cette approche est particulièrement adaptée aux environnements IT/OT convergents, où les vulnérabilités de PLCs, HMIs et systèmes SCADA peuvent entraîner des conséquences physiques réelles. L'étude de cas illustre son déploiement concret dans une organisation multi-sites sans référentiel de sécurité unifié, aboutissant à une architecture réseau segmentée et un programme cyber standardisé sur le périmètre industriel.

Une méthode qui rapelle la démarche de classification des actifs industriels publiées par l'ANSSI.

https://assets.kpmg.com/content/dam/kpmgsites/my/pdf/2022/08/pathway_to_industrial_cyber_resilience.pdf.coredownload.inline.pdf

Sur le volet offreurs de solutions (nouvelle section)

Sennin, la plateforme de TXOne pour transformer l'évaluation des risques OT en protection opérationnelle concrète

TXOne Networks a lancé la famille de produits Sennin, une suite d'outils d'évaluation et d'orchestration conçue pour combler le fossé récurant entre l'identification des risques OT et leur traitement effectif. SenninRecon est un capteur réseau passif qui surveille plus de 180 protocoles industriels et produit une vue des risques priorisée selon la méthodologie VSAR de TXOne, intégrant exploitabilité réelle et contexte opérationnel ; SenninOne est la plateforme de gouvernance d'entreprise qui traduit ces résultats en politiques de sécurité actionnables, liées aux produits de protection réseau, endpoint et inspection de TXOne. L'enjeu central est structurel : la plupart des organisations savent déjà identifier leurs risques industriels, mais peinent à les corriger sans interrompre la production, Sennin est précisément conçu pour rendre cette transition opérationnellement acceptable

https://www.txone.com/news/sennin-ot-strategic-governance/

Tenable intègre nativement la découverte OT à sa plateforme d'exposition pour unifier la visibilité IT/OT sans déploiement matériel

Tenable a lancé un moteur de découverte d'actifs OT intégré directement à sa plateforme Tenable One, sans matériel spécialisé ni agent supplémentaire requis, permettant aux équipes de sécurité d'obtenir immédiatement une visibilité sur les systèmes cyber-physiques, OT, IoT et shadow IT. Les premiers clients en accès anticipé, dans des secteurs aussi variés que l'hôtellerie, la finance ou l'éducation, ont découvert entre 100 et 1 000 actifs OT/IoT inconnus dès le premier déploiement, certains présentant des vulnérabilités critiques. L'enjeu est direct : 45 % des compromissions OT modernes trouvent leur origine dans des environnements IT, et cette nouvelle capacité permet de consolider en une vue unifiée l'exposition cyber-physique aux côtés des domaines cloud, identité et IA.

https://www.tenable.com/press-releases/tenable-expands-exposure-management-with-instant-ot-discovery-to-secure-cyber-physical-systems

Cyber-risques 2026 par un assureur : Ce qu’il faut retenir 

Le rapport met en avant une activité cyber en hausse, avec des demandes d’indemnisation en hausse de 40%. Les incidents déclarés concernent surtout les fuites de données et les attaques par extorsion. Les ransomwares restent très présent, puisqu’ils représentent 19% des incidents déclarés entre 2022 et 2025. Même si les attaques par ransomware continuent, les paiements de rançon baissent d’environ 44%. Cette baisse s’explique par de meilleures sauvegardes, une réponse plus rapide et des négociations mieux encadrées. Le rapport montre aussi que le facteur humain reste un point faible majeur. Le phishing, les fraudes par email, l’usurpation d’identité, les SMS frauduleux et les appels piégés restent des moyens simples et efficaces pour contourner les protections. Certains groupes ransomware ressortent particulièrement, comme Akira, lié à 38,8% des cas identifiés, et Qilin, lié à 14,2%. Cela montre qu’une partie importante des attaques est concentrée autour de quelques acteurs. Un autre point important concerne les incidents en chaîne : une faille chez un fournisseur ou un prestataire peut rapidement toucher plusieurs entreprises en même temps.

https://cowbell.insure/wp-content/uploads/pdfs/CB-US-Media-CyberRoundup-2026ClaimsReport.pdf

Analyse du malware ZionSiphon

L’article analyse ZionSiphon, un malware visant les environnements OT liés au traitement de l’eau et au dessalement en Israël.

Il se distingue en recherchant des protocoles industriels comme Modbus, DNP3 et S7comm et en ciblant uniquement des plages d’IP israéliennes. Néanmoins, le malware reste inoffensif : 

• L’un des contrôles renvoie toujours faux et le malware finit par s’autodétruire.
• Les paquets DNP3 et S7comm ne sont pas correctement formés

Malgré ces limites, il illustre une tendance préoccupante, les acteurs malveillants commencent à expérimenter des attaques cyber-physiques contre des infrastructures critiques civiles.

Panorama des menaces sur l'industrie manufacturière en 2026 :

En 2025, le secteur manufacturier a été confronté à une forte augmentation des cybermenaces, les incidents liés aux ransomwares visant ce secteur ont augmentés de 56 % par rapport à l'année précédente. Au troisième trimestre, l'Europe a enregistré 162 incidents, se positionnant derrière les Etats Unis en nombre d'attaques subies par ransomware. En revanche, d’autres régions comme le Brésil, l’Inde et la Chine sont moins touchées par ce type d’attaque (25 cas), mais davantage par des actions de défacement de sites publics, qui ont atteint environ 190 incidents. Ces tendances montrent que la menace cyber évolue différemment selon les régions

https://checkpoint.cyberint.com/manufacturing-threat-landscape

L'enjeu de la centralisation des achats pour la cybersécurité :

Dans cet article, l'éditeur Meritalk explique la difficulté de protéger à la fois les réseaux informatiques et les systèmes opérationnels. Ce problème vient de l'organisation des budgets, et non d'un manque de solution technologique. Aujourd'hui, les budgets sont répartis entre différents départements qui achètent leurs outils de sécurité de leur côté. Le regroupement des financements via des contrats globaux est la condition nécessaire pour standardiser efficacement la sécurité de tous les équipements.

 https://www.meritalk.com/eliminating-silos-in-it-ot-cybersecurity-is-a-funding-challenge-not-a-technical-one/