ICS/OT

Source: Kaspersky ICS CERT — Rapport « Threat Landscape for Industrial Automation Systems, Q3 2025 ». Ce bilan mondial détaille l’évolution trimestrielle des menaces visant les environnements industriels (ICS/OT), par catégories, régions, secteurs et vecteurs d’infection. • Chiffres clés 📊: la part d’ordinateurs ICS ayant vu des objets malveillants bloqués baisse à 20,1 % (plus bas depuis 2022). Les menaces depuis Internet reculent à 7,99 % (plus bas depuis 2022), mais les scripts malveillants et pages de phishing progressent à 6,79 % (+0,3 pp), et le spyware atteint 4,04 % (+0,2 pp), prenant la 2e place des catégories. Les ressources internet sur liste noire chutent à 4,01 % (plus bas depuis 2022). Ransomware: 0,17 % (+0,03 pp). Par région, l’éventail va de 9,2 % (Europe du Nord) à 27,4 % (Afrique); le pic de blocages a eu lieu en août, et septembre est au plus bas depuis deux ans. ...

Selon Dragos, ce rapport de menace couvre le T3 2025 (juillet-septembre) et analyse les tendances ransomware visant les environnements ICS/OT et les systèmes IT qui soutiennent les opérations industrielles. • Volume et cibles : Dragos recense 742 incidents ransomware (+) touchant des entités industrielles, avec l’Amérique du Nord en tête, suivie de l’Europe puis de l’Asie (hausse en Thaïlande). Le secteur manufacturier concentre 72% des cas (532), dont la construction (142) comme sous-secteur le plus affecté. D’autres secteurs en hausse incluent gouvernement (35) et électrique/renouvelables (16). Les impacts montrent comment des intrusions IT peuvent perturber la production et la logistique sans toucher directement les réseaux ICS. ...

Selon Socket (Threat Research Team), neuf paquets NuGet publiés entre 2023 et 2024 sous l’alias « shanhai666 » contiennent du code malveillant à activation temporisée visant des applications .NET et des systèmes industriels; 9 488 téléchargements sont recensés et, bien que signalés à NuGet le 5 novembre 2025, les paquets étaient encore accessibles au moment de la publication. • Nature de l’attaque: campagne de supply chain utilisant des méthodes d’extension C# pour intercepter de façon transparente les opérations BD/PLC. Les packages sont 99% fonctionnels pour inspirer confiance et masquer ~20 lignes de charge malveillante. Les déclencheurs rendent l’attaque probabiliste (20% par opération) et temporellement différée (2027–2028 pour BD), compliquant la détection et l’attribution. ...

Selon BleepingComputer, le Centre canadien pour la cybersécurité a alerté que des hacktivistes ont à plusieurs reprises compromis des systèmes d’infrastructures critiques au Canada, parvenant à modifier des contrôles industriels d’une manière qui aurait pu conduire à des conditions dangereuses. ⚠️ Points clés: Type d’attaque: intrusions par des hacktivistes. Cibles: systèmes d’infrastructures critiques à l’échelle du Canada. Impact: modification de contrôles industriels avec risque de conditions dangereuses. Fréquence: incidents survenus à plusieurs reprises. TTPs (si mentionnés): ...

CYFIRMA publie un rapport sectoriel sur 90 jours détaillant l’activité cyber dans l’énergie & utilities. Panorama sectoriel 📈 Le secteur se classe 12e-13e sur 14 en volume d’activité malveillante. Des campagnes APT ont touché 3 opérations sur 22 observées (14%), dans 17 pays et via des vecteurs variés. Les incidents de ransomware ont augmenté de 54% pour atteindre 43 victimes, le secteur restant toutefois relativement moins prioritaire pour les attaquants en raison de sa dépendance à l’OT. L’activité souterraine liée au secteur est restée stable (2,27% de part), dominée par les sujets fuites de données et exfiltrations. ...

SecurityWeek publie un récapitulatif des avis Patch Tuesday d’août 2025 pour l’ICS/OT, avec des correctifs et mitigations émis par Siemens, Schneider Electric, Honeywell, Aveva, ABB et Phoenix Contact, ainsi que des avis de la CISA. Plusieurs failles sont critiques ou à haute sévérité, exposant à l’exécution de code, à l’accès non autorisé, à la fuite de données et aux DoS. • Siemens a publié 22 nouveaux avis, dont un pour la faille critique CVE-2025-40746 dans Simatic RTLS Locating Manager, exploitable par un attaquant authentifié pour une exécution de code avec privilèges Système ⚠️. Des failles à haute sévérité touchent aussi Comos (exécution de code), Siemens Engineering Platforms (exécution de code), Simcenter (crash ou exécution de code), Sinumerik (accès distant non autorisé), Ruggedcom (contournement d’authentification avec accès physique), Simatic (exécution de code), Siprotect (DoS) et Opcenter Quality (accès non autorisé). Des vulnérabilités issues de composants tiers sont également traitées (OpenSSL, Linux kernel, Wibu Systems, Nginx, Nozomi Networks, SQLite). Des correctifs existent pour beaucoup de failles, tandis que seules des mitigations ou contournements sont disponibles pour d’autres. Des problèmes de sévérité moyenne/faible sont résolus dans Simotion Scout, Siprotec 5, Simatic RTLS Locating Manager, Ruggedcom ROX II et Sicam Q. ...

SecurityWeek rapporte que Rockwell Automation a publié plusieurs avis de sécurité détaillant des vulnérabilités de sévérité critique et élevée affectant divers produits industriels, et que la CISA a relayé ces informations. 🛠️ Correctifs critiques FactoryTalk Linx Network Browser — CVE-2025-7972 : faille permettant de désactiver la validation de jeton FTSP, pouvant être utilisée pour créer, mettre à jour et supprimer des pilotes FTLinx. Micro800 (PLCs) — correction de trois vulnérabilités plus anciennes liées à Azure RTOS (open source RTOS) pouvant mener à de la prise de contrôle à distance (RCE) et à de l’élévation de privilèges, ainsi qu’un correctif pour une vulnérabilité de déni de service (DoS) distincte. ControlLogix — correctif pour une RCE identifiée sous CVE-2025-7353. ⚠️ Vulnérabilités de sévérité élevée ...