Cyberattaques sur les automates programmables Rockwell Automation : comment 4 000 dispositifs industriels américains ont été exposés en 2026
L'automatisation industrielle confrontée à un risque cyber inédit
Près de 4 000 dispositifs américains d'automatisation industrielle — principalement des PLCs Rockwell Automation/Allen‑Bradley — ont été exposés à des cyberattaques soutenues par l'État iranien à partir de mars 2026. Ces incidents ont perturbé les opérations, forcé le contrôle manuel et causé des pertes financières dans des secteurs critiques. De plus, plusieurs agences fédérales ont confirmé que des groupes APT iraniens ont exploité des systèmes de contrôle accessibles via internet, manipulé les affichages HMI/SCADA et tenté des actions destructrices à l'aide de malwares wiper. En conséquence, les opérateurs américains doivent impérativement sécuriser leurs actifs d'automatisation d'usine.
Les attaquants exploitent EtherNet/IP et l'infrastructure PLC exposée
La campagne ciblait des PLC communiquant via EtherNet/IP, un protocole largement utilisé dans l'automatisation industrielle et les industries de procédés. Selon les données de Censys, 5 219 hôtes mondiaux identifiés comme des dispositifs Rockwell Automation/Allen‑Bradley, dont 74,6 % situés aux États-Unis. De nombreux PLC fonctionnaient sur des réseaux cellulaires, indiquant un déploiement sur le terrain avec une sécurité physique limitée. Par ailleurs, les attaquants ont utilisé des techniques MITRE ATT&CK telles que Exploit Public‑Facing Application (T1190) et External Remote Services (T1133) pour accéder, extraire des fichiers projets et manipuler des données opérationnelles.
Manipulation des affichages HMI/SCADA perturbant le contrôle des processus
Une fois dans l'environnement PLC, les attaquants ont altéré les affichages HMI et SCADA, réduisant la visibilité des processus et contraignant les opérateurs à passer en mode manuel. Cette activité correspond aux techniques Impair Process Control (T0813) et Stored Data Manipulation (T1565.001). Par conséquent, les installations affectées ont connu une augmentation des risques de sécurité et une instabilité opérationnelle. D'après mon expérience en mise en service DCS et PLC, des valeurs de processus manipulées peuvent induire en erreur les opérateurs et provoquer des interventions manuelles incorrectes, notamment dans les systèmes de traitement de l'eau et d'énergie.
Les tentatives de malwares wiper révèlent une intention destructrice
La campagne comprenait des tentatives de déploiement de malwares wiper conçus pour supprimer les données opérationnelles. Bien que le succès de ces tentatives reste incertain, des attaques similaires ont eu lieu quelques semaines plus tôt, notamment l'incident de mars 2026 chez Stryker, où environ 80 000 dispositifs ont été effacés. Ce schéma montre que les acteurs de la menace disposent à la fois des capacités et de l'intention de provoquer des dégâts dans les environnements industriels. De plus, leur connaissance des configurations PLC suggère une familiarité approfondie avec les protocoles industriels et la logique de sécurité.
Chronologie montrant une escalade rapide des menaces cyber industrielles
La séquence des attaques a rapidement escaladé :
-
Mars 2026 : Ciblage à grande échelle des PLC Rockwell exposés sur internet.
-
7 avril 2026 : Avis conjoint fédéral émis par CISA, FBI, NSA, DOE, EPA et U.S. Cyber Command.
-
10 avril 2026 : Rapports publics confirmant l'exposition généralisée et l'activité persistante de la menace.
Des campagnes antérieures ont ciblé les PLC Unitronics entre 2023 et 2024, compromettant les systèmes d'eau potable et d'eaux usées. Ainsi, les attaques de 2026 représentent une continuité de l'intérêt iranien à long terme pour les environnements ICS.
L'activité de la menace révèle une connaissance approfondie des ICS
Les agences fédérales attribuent avec une grande confiance les attaques à des groupes APT iraniens. Leurs tactiques incluent la recherche de PLC exposés, l'exploitation des protocoles d'accès à distance, l'extraction de fichiers projets, la manipulation des données de processus et la tentative de déploiement de malwares destructeurs. La campagne est opportuniste, ciblant tout dispositif accessible plutôt que des organisations spécifiques. Par conséquent, tous les opérateurs avec des PLC exposés sont à risque accru. Les secteurs les plus touchés comprennent le pétrole et le gaz, l'eau et les eaux usées, l'énergie et les services gouvernementaux.
Actions d'atténuation pour les opérateurs de PLC et systèmes de contrôle
Les actions défensives critiques incluent :
-
Déconnecter les PLC d'internet public pour éliminer l'exposition directe.
-
Imposer la MFA pour tout accès au réseau OT.
-
Mettre à jour le firmware des PLC et désactiver les services inutilisés.
-
Surveiller en continu les journaux pour détecter les connexions distantes suspectes.
-
Renforcer les plans de réponse aux incidents pour une contention rapide.
-
Former le personnel OT sur le déploiement sécurisé des PLC et les risques liés à l'exposition internet.
Ces recommandations sont conformes aux directives fédérales et aux meilleures pratiques pour sécuriser les systèmes de contrôle industriels.
Scénarios d'application — Renforcer la sécurité ICS dans les environnements d'automatisation
-
Déploiement sécurisé des PLC via des pare-feux et des réseaux OT segmentés.
-
Surveillance continue du trafic EtherNet/IP pour détecter les anomalies.
-
Contrôles d'intégrité HMI/SCADA pour détecter les valeurs de processus manipulées.
-
Planification de la reprise après sinistre en cas d'incidents liés aux malwares wiper.
-
Contrôle d'accès zero-trust pour la maintenance à distance des actifs PLC et DCS.
À propos de l'auteur
Chen Yuhang est un spécialiste senior de l'automatisation industrielle avec plus de 15 ans d'expérience pratique en PLC, DCS, TSI et systèmes de protection électrique. Son travail porte sur la mise en œuvre technique, le renforcement de la cybersécurité OT et la documentation technique pour des fabricants mondiaux d'automatisation et des médias industriels.