Réponse : Stuxnet (2010) — première cyberarme OT connue, attribuée publiquement aux USA/Israël. Cible : centrifugeuses iraniennes via automates Siemens S7. Propagation par clé USB, 4 0-day Windows, signature Realtek volée.

Réponse : ~ 10 Md$ — la cyberattaque la plus coûteuse de l'histoire. Attribuée au groupe russe Sandworm (GRU). Propagation via supply chain (M.E.Doc en Ukraine) + EternalBlue + Mimikatz. C'est un wiper déguisé, pas un vrai ransomware.

Réponse : Première attaque OT visant les SIS — première fois qu'un malware essaye explicitement de provoquer un accident pouvant tuer. Découvert par chance après un shutdown intempestif causé par une erreur dans le code malveillant.

Réponse : USB. Conséquence de l'air gap : tout passe par USB. Mesures : stations de décontamination (kiosques) en entrée de site, whitelisting, USB d'entreprise uniquement, USB en lecture seule pour les transferts critiques.

Réponse : ~ 24-72 h en 2024. Les attaquants industrialisent leurs procédés et exploitent rapidement les accès vendus par des Initial Access Brokers (IAB). Conséquence : la détection précoce est devenue vitale (vs détection ex post). À ne pas confondre avec la durée moyenne d'un APT non détecté (~ 200 jours, Mandiant M-Trends).