Les APT (Advanced Persistent Threats) étatiques sont les attaquants les plus capables. Ils disposent de budgets illimités, de chercheurs en sécurité offensive de très haut niveau, d'accès à des outils 0-day et d'une patience de long terme (les campagnes peuvent durer plusieurs années avant le déclenchement final).

Groupes APT les plus actifs sur l'OT :

• Sandworm (Russie, GRU Unit 74455) — opérateur de BlackEnergy, Industroyer, Industroyer2, NotPetya, Cyclops Blink. Cible historiquement l'Ukraine (énergie, télécoms, finance) et étendu au monde en 2017 (NotPetya).
• XENOTIME (Russie, CNIIHM) — opérateur de Triton/Trisis. Spécialisé dans les systèmes instrumentés de sécurité (SIS). Activité OT dans le secteur pétrochimique mondial.
• Volt Typhoon (Chine, MSS) — APT révélé en 2023, présence dormante massive dans les infrastructures critiques US (énergie, eau, télécoms, transports). Préparation d'un éventuel conflit Taïwan.
• Lazarus / APT38 (Corée du Nord) — motivation économique (financement du régime nord-coréen via cryptoheist, ransomware, vol bancaire). Ciblage industriel croissant.
• APT41 (Chine) — espionnage industriel + ransomware opportuniste. Cible secteurs pharmaceutique, automobile, semi-conducteurs.
• Equation Group (USA, NSA) — historiquement attribué à des actions comme Stuxnet. Capacités OT élevées mais ciblage très précis.
• APT33, APT34 (Iran) — ciblage régional Moyen-Orient, parfois représailles contre installations Israël/Arabie saoudite.

Modes opératoires APT :

1. Reconnaissance longue durée (mois à années) : profilage de l'entreprise, employés, prestataires.
2. Compromission initiale par spear-phishing très ciblé, exploitation de vulnérabilité, supply chain.
3. Établissement de la persistance avec outils sur mesure (backdoors furtives, rootkits OS personnalisés).
4. Mouvement latéral patient — escalade de privilèges, exploration du SI.
5. Atteinte de l'objectif : exfiltration de données (espionnage), positionnement préalable (Volt Typhoon), ou destruction (Sandworm, XENOTIME).
6. Effacement des traces : suppression de journaux, anti-forensique avancé.

Durée moyenne d'un APT non détecté : ~ 200 jours (Mandiant M-Trends 2024) — soit plus de 6 mois entre la compromission et la détection.

Les cybercriminels sont aujourd'hui la menace n° 1 économique pour les industriels (ANSSI Panorama 2024). Le modèle ransomware-as-a-service (RaaS) a démocratisé la menace : un opérateur fournit le malware, l'infrastructure de paiement, le support « victimes » ; des affiliés moins compétents louent le kit et lancent les attaques, partageant le butin (~ 60-80 % pour l'affilié, le reste pour l'opérateur).

Groupes ransomware les plus actifs (rotation rapide) :

• LockBit — leader mondial 2022-2024. Démantèlement partiel en février 2024 par opération internationale « Cronos » mais reprise rapide d'activité.
• BlackCat / ALPHV — actif depuis 2021, écrit en Rust. Démantèlement partiel décembre 2023.
• Clop — spécialisé dans l'exploitation de vulnérabilités de transfert de fichiers (MOVEit 2023, ~ 2 700 entreprises victimes).
• Akira — émergent 2023, ciblage industriel et ETI.
• Conti — démantelé 2022 après fuite de code source, mais nombreux successeurs (BlackBasta, Royal, Karakurt).
• REvil / Sodinokibi — démantelé 2021 (opération Kaseya, JBS).
• Hive — démantelé janvier 2023.
• Play, Medusa, Rhysida, RansomHub — actifs en 2024.

Modes opératoires ransomware modernes :

1. Accès initial : phishing, RDP exposé, vulnérabilité non patchée, achat d'accès auprès d'un Initial Access Broker (IAB).
2. Reconnaissance interne rapide (~ 1-7 jours) : Active Directory, partages, sauvegardes, identifiants administrateurs.
3. Exfiltration des données avant chiffrement (double extorsion généralisée depuis 2020).
4. Désactivation des sauvegardes et antivirus (privilèges admin obtenus).
5. Déploiement du ransomware via PSExec, Group Policy, scripts PowerShell.
6. Communication avec la victime via leak site (TOR), négociation, paiement.

Tendances 2024 :

• Triple extorsion : chiffrement + fuite + harcèlement des clients/partenaires.
• Ciblage des ETI industrielles plus rentable que les grandes (taux de paiement plus élevé, moins de défenses).
• Vitesse : durée moyenne entre compromission et chiffrement passée de 60 jours en 2019 à ~ 24-72 heures en 2024.
• Cyber-assurance de plus en plus restrictive (exclusions ransomware, plafond bas, contrôles préalables).

Selon les études du Ponemon Institute / IBM Cost of a Data Breach 2024, les insiders représentent 15-20 % des incidents cyber, mais leur coût est en moyenne 1,5 à 2 fois supérieur aux attaques externes (durée de détection plus longue, accès privilégié, complicité possible).

Trois profils d'insiders à distinguer :

• Insider malveillant — employé ou prestataire qui agit volontairement contre l'entreprise. Motivations : revanche après licenciement, recrutement par concurrent, recrutement par État-nation, sabotage idéologique. Exemple : ingénieur Tesla qui en 2018 a modifié le code source des chaînes de production avant son départ.
• Insider négligent — employé non malveillant mais source d'incident par erreur, contournement de procédure, perte de matériel. La majorité des cas insiders.
• Insider compromis — employé légitime dont le compte a été pris par un attaquant externe (phishing, leak credentials). Difficile à distinguer d'un insider volontaire.

Risques insiders spécifiques à l'OT :

• Automaticien avec accès admin sur les automates → modification de programme.
• Opérateur HMI → manipulation volontaire des seuils, désactivation d'alarmes.
• Technicien de maintenance externe qui circule sur plusieurs sites.
• Stagiaire / alternant avec accès trop large.
• Ancien employé dont les accès n'ont pas été révoqués.

Mesures spécifiques :

• Principe du moindre privilège appliqué strictement (RBAC OT).
• Séparation des rôles : un opérateur ne peut pas modifier le programme automate (cela relève de l'ingénieur).
• Validation à 4 yeux pour les opérations sensibles.
• UEBA (User Entity Behavior Analytics) pour détecter les comportements anormaux.
• Processus offboarding rigoureux — révocation immédiate des accès en cas de départ.
• Journalisation et revue des opérations sensibles (par ex. chargement de programme).

Les hacktivistes ciblent les organisations pour des raisons idéologiques, politiques, religieuses ou environnementales. Leur niveau technique est variable (du script-kiddie au groupe semi-professionnel). Pas de motivation financière, mais une recherche d'impact médiatique.

Groupes hacktivistes notables :

• Anonymous — collectif décentralisé historique, motivations variables. Multiples campagnes contre gouvernements, entreprises perçues comme « problématiques ».
• GhostSec — émergent 2015, opérations « anti-terrorisme » initialement puis cyber-environnementalisme.
• Cyber Av3ngers — pro-iranien, ciblé sur installations israéliennes et alliés. Attaques sur stations de traitement d'eau US en 2023 (PLC Unitronics par défaut).
• Predatory Sparrow — pro-israélien présumé, ciblé sur l'Iran (stations-service, sidérurgie iranienne).
• NoName057 — pro-russe depuis 2022, attaques DDoS sur infrastructures occidentales.
• SiegedSec — actif 2022-2024, attaques contre cibles politiques.

Menaces émergentes 2024-2026 :

• IA générative au service de l'attaquant : génération de phishing personnalisé à grande échelle, scripts d'attaque, deepfakes voix/vidéo pour fraude au PDG, contournement de captchas.
• Attaques sur les chaînes d'approvisionnement logicielles open source — npm, PyPI, Maven : packages malicieux ajoutés à des bibliothèques populaires (cas xz-utils mars 2024).
• Cryptographie post-quantique : risque d'attaques « harvest now, decrypt later » — adversaires qui stockent dès aujourd'hui des données chiffrées pour les déchiffrer quand un ordinateur quantique sera disponible (horizon 2030+).
• Cyber-physique élargi : véhicules autonomes, robotique connectée, réseaux énergétiques décentralisés (EnR) — surface d'attaque croissante.
• 5G privée industrielle : nouvelle infrastructure réseau à sécuriser dans les usines.

« Une bonne défense OT n'est jamais conçue contre un seul profil d'attaquant. Elle doit ralentir l'APT, contenir le ransomware, limiter les dégâts d'un insider, et résister aux campagnes opportunistes. C'est la défense en profondeur qui permet cela. »

— ANSSI, Panorama menace 2024