Découvert en juin 2010 par l'éditeur biélorusse VirusBlokAda, Stuxnet reste le ver informatique le plus emblématique de l'histoire OT. Attribué publiquement aux États-Unis et Israël (opération « Olympic Games »), il visait le programme nucléaire iranien — précisément les centrifugeuses IR-1 d'enrichissement d'uranium du site de Natanz.

Caractéristiques techniques de Stuxnet :

• ~ 500 Ko de code (énorme pour un malware de l'époque).
• 4 vulnérabilités 0-day Windows exploitées (un record).
• Propagation par clés USB infectées — contournement de l'air gap.
• Recherche ciblée des automates Siemens S7-300 / S7-400 avec configuration spécifique des variateurs Vacon / Fararo Paya.
• Modification du programme de l'automate pour faire varier la vitesse de rotation des centrifugeuses, les détruisant à terme.
• Dissimulation : Stuxnet renvoyait au SCADA les valeurs normales de fonctionnement pendant qu'il sabotait — les opérateurs ne voyaient rien.
• Signature Realtek volée pour signer les drivers et passer les contrôles Windows.

Impact : ~ 1 000 centrifugeuses détruites sur 5 000 (estimation), retard significatif du programme nucléaire iranien. Mais la véritable conséquence stratégique a été la banalisation des cyberarmes étatiques et la course aux outils OT qui s'est déclenchée à partir de 2011-2012.

Leçons :

• L'air gap n'est pas une protection absolue : Stuxnet a traversé l'isolation par les clés USB.
• Les 0-day chaînés permettent de contourner toutes les défenses connues.
• Une cyberarme peut être ciblée avec une précision chirurgicale.
• La chaîne d'approvisionnement (ici, certificats Realtek volés) est un vecteur majeur.

Le 27 juin 2017, un faux ransomware nommé « NotPetya » (par analogie au ransomware Petya de 2016) se déclenche en Ukraine. Attribué à l'APT russe Sandworm (GRU), il a frappé en quelques heures des dizaines d'entreprises mondiales — sans qu'aucune d'entre elles ne soit ciblée nominativement.

Mécanisme NotPetya :

• Vecteur initial : compromission de la chaîne d'approvisionnement via M.E.Doc, un logiciel ukrainien de comptabilité utilisé par presque toutes les entreprises locales.
• Propagation latérale ultra-rapide via EternalBlue (vulnérabilité SMB, fuite Shadow Brokers) et Mimikatz (récupération d'identifiants en mémoire).
• Chiffrement du MFT (Master File Table) du disque rendant les machines inutilisables.
• Aucune clé de déchiffrement disponible — NotPetya était un wiper déguisé en ransomware, conçu pour détruire, pas extorquer.

Victimes industrielles majeures :

• Saint-Gobain (FR) : ~ 250 M€ de pertes. Tunnels Eurotunnel, usines françaises et internationales touchées.
• Maersk (DK) : ~ 300 M$ de pertes. 76 ports portant le drapeau Maersk paralysés.
• Merck (US, pharma) : ~ 870 M$ de pertes.
• FedEx / TNT : ~ 400 M$ de pertes.
• Mondelez, Reckitt Benckiser, Beiersdorf, Auchan, des dizaines d'autres ETI.
• Coût mondial total : ~ 10 Md$ selon la Maison-Blanche en 2018 — la cyberattaque la plus coûteuse de l'histoire.

Leçons NotPetya pour l'industrie :

• Une attaque « non ciblée » peut faire plus de dégâts qu'une attaque chirurgicale.
• Le risque supply chain est immense — un seul logiciel compromis chez un éditeur peut contaminer des milliers d'entreprises.
• Une attaque conçue pour l'IT peut se propager à l'OT si la segmentation est insuffisante (Saint-Gobain).
• Le patching est crucial : EternalBlue était patché par Microsoft 2 mois avant. La plupart des victimes n'avaient pas appliqué le patch.

Découverte en août 2017 dans une raffinerie pétrochimique en Arabie saoudite par les équipes de réponse à incident de Mandiant/FireEye, l'attaque Triton (aussi appelée Trisis ou Hatman) marque un seuil : c'est la première fois qu'un malware cible un Système Instrumenté de Sécurité (SIS).

Les SIS sont les systèmes de dernier recours dans une usine. Lorsqu'un capteur détecte une dérive (pression, température, niveau), le SIS coupe automatiquement les vannes et arrête les pompes pour éviter l'accident. Ils sont conçus selon la norme IEC 61511 avec un niveau de sûreté SIL2 à SIL4. Toucher au SIS = potentiellement tuer des gens.

Cible de Triton : les contrôleurs Schneider Triconex Tricon très répandus dans la pétrochimie, le nucléaire, la chimie. L'attaquant a réussi à atteindre le contrôleur via le réseau OT mal segmenté, puis à téléverser un firmware modifié dans le SIS.

Découverte : par chance. Une erreur dans le code malveillant a déclenché un shutdown intempestif de l'usine. L'équipe de maintenance, en cherchant la cause, a découvert le code modifié. Sans cette erreur, l'attaque aurait pu rester invisible jusqu'à l'incident voulu par l'attaquant.

Attribution : le groupe XENOTIME, lié à l'institut russe CNIIHM (Central Scientific Research Institute of Chemistry and Mechanics), Moscou. Sanction US contre l'institut en 2020.

Leçons Triton :

• Les SIS sont accessibles par le réseau si la segmentation est insuffisante. Norme : isoler totalement le SIS du DCS et de l'IT.
• Les firmwares OT ne sont pas signés cryptographiquement — n'importe qui avec accès peut téléverser n'importe quoi.
• Les attaquants visent désormais explicitement la sûreté fonctionnelle — sans limites éthiques.
• La défense en profondeur est vitale : aucune couche unique ne suffit.

Norsk Hydro — 19 mars 2019 : l'aluminier norvégien, l'un des plus grands au monde, est frappé par le ransomware LockerGoga. ~ 22 000 ordinateurs chiffrés en quelques heures, dans 40 pays. L'entreprise refuse de payer la rançon, communique en toute transparence dans un exemple devenu un cas d'école. Pendant 3 semaines, retour au papier-crayon dans les usines. Coût ~ 70 M€. Cyber-assurance : ~ 90 % couvert.

Colonial Pipeline — 7 mai 2021 : le plus grand oléoduc des États-Unis, qui alimente 45 % du carburant de la côte est, est frappé par DarkSide. L'attaque cible le système IT facturation, mais Colonial Pipeline arrête volontairement l'oléoduc OT par mesure de précaution (incapacité de facturer = pas de livraison). Pénurie de carburant sur la côte est pendant 6 jours, état d'urgence dans 17 États, prix du gasoil au plus haut depuis 2014. Rançon payée : ~ 4,4 M$ en bitcoin (dont 2,3 M$ récupérés ensuite par le FBI). Le PDG démissionne. Adoption d'une nouvelle directive TSA contraignante sur les pipelines US.

Autres victimes industrielles ransomware notables :

• JBS Foods (mai 2021) — le plus grand transformateur de viande mondial. 11 M$ payés (groupe REvil).
• Kaseya (juillet 2021) — attaque supply chain REvil contre l'éditeur MSP, ~ 1 500 entreprises impactées en cascade.
• Sopra Steria (octobre 2020) — ransomware Ryuk, 40-50 M€ de pertes.
• Eurofins Scientific (2019) — leader mondial des analyses pharma/agro.
• Bouygues Construction (janvier 2020) — Maze ransomware.
• CHU Rouen (novembre 2019) — Clop ransomware, retour au papier 3 semaines.
• Centre hospitalier de Dax et Villefranche-sur-Saône (2021) — séquences d'attaques sur des hôpitaux français.
• Damen Shipyards, Honda Snake, Toll Group, Pitney Bowes… la liste s'allonge chaque année.

Caractéristiques communes des ransomwares industriels :

• Le ransomware vise généralement l'IT, mais paralyse l'OT par effet de bord (impossibilité de facturer, planifier, communiquer).
• Le modèle économique ransomware-as-a-service (RaaS) a démocratisé la menace : un affilié sans grande compétence achète l'accès à un kit Conti/LockBit/REvil et lance des attaques.
• La double extorsion est généralisée depuis 2020 : chiffrement + menace de divulgation des données volées.
• La cyber-assurance a explosé (prime ×3-5 entre 2019 et 2024) puis restreint ses couvertures (exclusions ransomware croissantes).

« Quinze ans d'attaques OT nous ont appris une chose : aucun secteur n'est épargné, aucune taille d'entreprise n'est trop petite pour intéresser un attaquant, et aucune frontière géographique ne protège. La question n'est plus "si" mais "quand". »

— ANSSI, Panorama de la menace 2024