Bulletin cybersec indus hebdo 25.S50

14.12.25 21:34 - Par Chantal

Les news relatives à la cybersécurité des installations industrielles

Augmentation des attaques par rançongiciels contre les systèmes industriels en 2025
Selon l'étude de Dragos, entre juillet et septembre 2025, les attaques de rançongiciels contre les systèmes industriels ont augmenté, avec 742 incidents par ransomware. Les régions les plus touchées sont l'Amérique du Nord et l'Europe. Le secteur manufacturier est le plus visé avec 72 % des incidents. Le sous-secteur manufacturier le plus affecté par les rançongiciels était la construction, avec 142 incidents. Le groupe Quilin était le plus actif avec 138 incidents. Ce groupe a exploité des vulnérabilités de Fortinet, notamment la CVE-2024-55591 et la CVE-2024-21762, permettant un accès non authentifié et l'exécution de code à distance sur les équipements FortiGate et FortiProxy. Ainsi, d'autres groupes comme Lapsus$ Hunters qui a ciblé Jaguar Land Rover (JLR), en provoquant des arrêts de production de plusieurs jours dans les usines. 
https://www.dragos.com/blog/dragos-industrial-ransomware-analysis-q3-2025#conclusion 
NIST : segmentation du réseau pour protéger le secteur manufacturier 
Le document NIST "Security Segmentation in a Small Manufacturing Environment" montre comment le secteur manufacturier peut protéger ses systèmes en mettant en œuvre la segmentation des réseaux pour limiter la propagation des acteurs de menaces. Il recommande de séparer les environnements IT et les systèmes industriels, de contrôler les accès et de créer des zones de sécurité, regroupant des actifs qui partagent les mêmes fonctions opérationnelles et le même niveau de protection, pouvant communiquer entre eux. Par exemple, la zone de sécurité "système de gestion des infrastructures", contient les applications et systèmes utilisés pour la configuration, la mise à jour et la surveillance, tandis qu’une autre zone, "services de connectivité", inclut les routeurs et le VPN.  
Les ransomwares dans l'indutrie
Sophos (société de logiciel américaine) publie son 5ème rapport sur le ransomware manufacturier en 2025, sondant 332 responsables informatiques sur les vecteurs d'attaque et tendances financières. Il révèle un coût de recouvrement de 1,3M$ et une rançon moyenne de 1 M$ (baisse de 20 % liée au recul de la tranche 1-5M$). L'étude met en lumière les progrès en matière de détection et les défis comme le manque d'expertise interne. L'objectif est de fournir des données et des recommandations pour aider à implémenter leurs stratégies de défense et de réponse aux incidents.
Menaces des hacktivistes pro-russes sur les infrastructures critiques
Dans cet article, l'agence américaine de cybersécurité CISA , alerte les opérateurs d'infrastructures critiques sur la menace des hacktivistes pro-russes ciblant les technologies opérationnelles et les systèmes de contrôle industriels aux États-Unis et dans le monde. Dans cette publication, l'agence détaille les méthodes d'intrusion, notamment l'exploitation des accès VNC (virtual network computing), afin d'inciter les organisations à adopter des mesures pour prévenir les dommages physiques et les interruptions de service.
Storm-0249 : Exploitation des EDR tout en restant invisibles
Storm-0249, un broker d’accès initial, a fortement fait évoluer ses méthodes en passant du phishing de masse à des attaques plus ciblées. Le groupe abuse désormais de processus légitimes d’EDR, SentinelOne en l'occurrence, pour exécuter du code malveillant. Grâce à des techniques comme le DLL sideloading et l’exécution fileless, leurs actions ressemblent à de l’activité normale des outils de sécurité. Cette approche leur permet de rester invisibles plus longtemps, de déployer des ransomwares et de rendre les actions de remédiation classiques inefficaces. Ces techniques peuvent affecter d'autres solutions d'EDR.
https://reliaquest.com/blog/threat-spotlight-storm-0249-precision-endpoint-exploitation/  


Vulnerability Corner : 

Liste des Known Exploited Vulnerabilities (KEV) publiés par l'agence de cybersécurité américaine CISA la semaine dernière :  

CVE 

Vendor 

Product 

Liens 

D-Link 

Routers 

OSGeo 

GeoServer 

RARLAB 

WinRAR 

Microsoft 

Windows 

Array Networks  

ArrayOS AG 


Vulnérabilités de composants de systèmes industriels :  

Vendor 

Product 

Critical 

High 

Medium 

Low 

Total 

Siemens 

Building X - Security Manager Edge Controller (ACC-AP),COMOS V10.6,Energy Services,Gridscale X Prepay,SINEMA Remote Connect Server 

AzeoTech 

DAQFactory 

Johnson Controls Inc. 

iSTAR Ultra 

Johnson Controls 

iSTAR Ultra 

Grassroots 

Grassroots DICOM (GDCM) 

OpenPLC_V3 

OpenPLC_V3 

D-Link (India Limited) 

DCS-F5614-L1 

U-Boot 

U-boot 

Varex Imaging 

Panoramic Dental Imaging Software 



Liste complète triée par CVSSv3 Score : 

Vendor 

Product 

CVE 

CVSSv3 Score 

CVSSv3 Severity 

EPSS 

Percentile 

CWE 

D-Link (India Limited) 

DCS-F5614-L1 

9.4 

CRITICAL 

0.042% 

12.674% 

Johnson Controls 

iSTAR Ultra 

8.8 

HIGH 

N/A 

N/A 

Johnson Controls 

iSTAR Ultra 

8.8 

HIGH 

N/A 

N/A 

Johnson Controls Inc. 

iSTAR Ultra 

8.8 

HIGH 

N/A 

N/A 

Johnson Controls Inc. 

iSTAR Ultra 

8.8 

HIGH 

N/A 

N/A 

U-Boot 

U-boot 

8.4 

HIGH 

0.020% 

4.391% 

Siemens 

COMOS V10.6 

8.1 

HIGH 

0.020% 

4.595% 

OpenPLC_V3 

OpenPLC_V3 

8.0 

HIGH 

N/A 

N/A 

AzeoTech 

DAQFactory 

7.8 

HIGH 

N/A 

N/A 

AzeoTech 

DAQFactory 

7.8 

HIGH 

N/A 

N/A 

AzeoTech 

DAQFactory 

7.8 

HIGH 

N/A 

N/A 

AzeoTech 

DAQFactory 

7.8 

HIGH 

N/A 

N/A 

AzeoTech 

DAQFactory 

7.8 

HIGH 

N/A 

N/A 

AzeoTech 

DAQFactory 

7.8 

HIGH 

N/A 

N/A 

AzeoTech 

DAQFactory 

7.8 

HIGH 

N/A 

N/A 

Varex Imaging 

Panoramic Dental Imaging Software 

7.8 

HIGH 

3.913% 

87.889% 

Siemens 

COMOS V10.6 

7.4 

HIGH 

0.015% 

2.163% 

Siemens 

Energy Services 

6.8 

MEDIUM 

0.026% 

6.345% 

Grassroots 

Grassroots DICOM (GDCM) 

6.6 

MEDIUM 

N/A 

N/A 

Siemens 

Gridscale X Prepay 

6.3 

MEDIUM 

0.043% 

13.206% 

Siemens 

Building X - Security Manager Edge Controller (ACC-AP) 

6.2 

MEDIUM 

0.016% 

2.824% 

Siemens 

Gridscale X Prepay 

5.3 

MEDIUM 

0.029% 

7.669% 

Siemens 

SINEMA Remote Connect Server 

4.3 

MEDIUM 

0.028% 

7.136% 

Siemens 

SINEMA Remote Connect Server 

3.3 

LOW 

0.008% 

0.533% 


----- 

Actualité Fortress Cybersecurity  

- 8 janvier 2026 : Définir sa stratégie de détection en environnement industriel, inscription lien 

- 6 février 2026 : Construire le plan de protection de ses installations industrielles, inscription lien 

- 5 mars 2026 : Sécuriser les échanges de fichiers entre les zones industrielles et IT, inscription lien 

- 9 avril 2026 : NIS 2 pour l’industrie​, inscription lien 

- 7 mai 2026 : Segmenter les réseaux industriels​, inscription lien 

- 4 juin 2026 : Gérer les incidents cyber en environnement industriel​, inscription lien 

- 2 juillet 2026 : Gérer les vulnérabilités en environnement industriel​​, inscription lien 

- 3 septembre 2026 : Mettre en place le plan de contrôle cyber de ses installations industriels​​, inscription lien 

- 1 octobre 2026 : Sécuriser les accès à distance et de télémaintenance des actifs industriels, inscription lien 

- 5 novembre 2026 : Protéger les endpoints dans les zones industrielles, inscription lien 

- 3 décembre 2026 : Protéger les réseaux mobiles privés 5G, inscription lien 

Catégories -
newsletter
Balises -