L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a émis une alerte cybersécurité pour le secteur énergétique américain à la suite d’une série de cyberattaques destructrices contre les infrastructures énergétiques en Pologne. L’alerte appelle les opérateurs à examiner les mots de passe par défaut et à renforcer les protections des appareils connectés à Internet après que l’incident de décembre a révélé des vulnérabilités dans la technologie opérationnelle et les systèmes de contrôle.
L’incident en Pologne s’est produit le 29 décembre 2025, lorsque plusieurs installations, dont plus de 30 installations éoliennes et solaires, une centrale thermique combinée et un site de fabrication, ont été ciblées dans des activités malveillantes coordonnées, selon une analyse de l’équipe polonaise d’intervention d’urgence informatique (CERT-PL). Les attaquants ont accédé à des dispositifs de bord connectés à Internet tels que des pare-feux, des passerelles de réseau privé virtuel (VPN) et d’autres systèmes avec des identifiants par défaut ou faibles.
Une fois à l’intérieur du réseau, les attaquants ont déployé des logiciels malveillants destructeurs qui corrompaient le firmware sur les unités terminales distantes (UTR), effacaient les données sur les interfaces homme-machine (HMI) et effaçaient les données des systèmes informatiques de l’entreprise, indique l’alerte. Ces actions ont perturbé la capacité des opérateurs à surveiller et contrôler les infrastructures critiques, bien que la production d’électricité sur les sites d’énergie renouvelable concernés ait continué pendant l’incident.
Dans son avis, CISA a souligné que les dispositifs de périphérie connectés à Internet restent une cible principale pour les acteurs de la menace ennemie. Ces appareils relient les systèmes de contrôle internes à des réseaux plus larges et peuvent offrir un point d’entrée aux attaquants lorsqu’ils se retrouvent avec des identifiants de connexion par défaut ou réutilisés ainsi que des protections d’authentification faibles. L’avis exhortait les organisations à remplacer les équipements en fin de vie et à faire respecter les changements de mot de passe pour tous les appareils.
Les directives ont également souligné le risque posé par une technologie opérationnelle qui manque de vérification du firmware. Dans certains cas, des appareils sans mécanismes pour valider l’intégrité du firmware peuvent être endommagés de façon permanente par du code malveillant ou des modifications de configuration corrompues. CISA a recommandé aux opérateurs de privilégier les mises à jour qui soutiennent la vérification du firmware lorsque possible et de s’assurer que les plans de réponse aux incidents prennent en compte les éventuelles défaillances OT.
L’analyse polonaise du CERT a attribué l’incident à une campagne délibérée et perturbatrice, alignée sur des tensions géopolitiques plus larges, bien qu’aucune panne majeure n’ait été signalée à l’époque. L’utilisation des identifiants par défaut pour obtenir un accès initial soulignait le risque persistant d’oublis de sécurité de base dans les environnements d’infrastructures critiques.
Dans son alerte, la CISA a encouragé les entreprises énergétiques américaines et autres opérateurs d’infrastructures critiques à examiner les résultats techniques du CERT-PL et à intégrer les mesures de sécurité recommandées dans leurs opérations. Cela inclut l’application de l’authentification multifactorielle lorsque cela est possible, la réduction de l’exposition réseau pour les systèmes OT et de contrôle industriel, ainsi que la suppression du matériel non supporté ou vulnérable du service.
L’agence s’est récemment concentrée sur la réduction des risques liés aux équipements réseau non sécurisés. Dans une directive distincte émise aux agences fédérales, la CISA a ordonné le retrait des dispositifs de périphérie non pris en charge des systèmes gouvernementaux, reflétant une volonté plus large de fermer les voies d’attaque communes exploitées lors d’incidents récents.
Cette alerte s’inscrit dans un cadre en cours des autorités de sécurité américaines visant à renforcer les protections dans l’énergie, la fabrication et d’autres secteurs reposant sur des technologies opérationnelles interconnectées. L’avis de la CISA rappelle l’importance d’une hygiène de base en cybersécurité, notamment en modifiant les mots de passe par défaut et en faisant respecter des normes de configuration sécurisées pour tous les appareils connectés à Internet.