La France figure parmi les pays les plus exposés à une récente campagne mondiale de piratage visant des systèmes industriels, selon une analyse publiée par Cato Networks. L’Hexagone arrive en deuxième position des territoires les plus touchés, derrière les États Unis, dans une vague d’activités suspectes observée entre septembre et novembre 2025.
Au total, 14 426 adresses IP distinctes réparties dans 70 pays ont été ciblées. Les États Unis, la France et le Japon concentrent à eux seuls 61 % des adresses concernées, ce qui illustre l’ampleur et la concentration géographique de cette opération. Les systèmes visés reposent sur des automates programmables industriels, ou PLC, accessibles via le protocole Modbus TCP, encore largement utilisé dans les environnements industriels.
D’après les chercheurs, cette campagne mêle des actions automatisées de reconnaissance à grande échelle et des comportements plus précis, laissant entrevoir des tentatives de profilage des systèmes, voire des opérations de perturbation. Dans certains cas, des manipulations directes des équipements auraient été envisagées. Une partie des flux identifiés provient d’infrastructures localisées en Chine, sans qu’une attribution formelle ne soit établie à ce stade.
Les données recueillies témoignent d’une activité soutenue. Plus de 235 000 requêtes de lecture de registres ont été observées, traduisant une phase de cartographie approfondie des équipements exposés. Parallèlement, des tentatives de déni de service ont été détectées, via l’envoi massif de requêtes à haute fréquence. Plus préoccupant encore, plus de 3 200 requêtes d’écriture émanant d’une même source ont été identifiées, avec la capacité potentielle de modifier le comportement des systèmes ciblés.
Les organisations concernées appartiennent à des secteurs variés. Si l’industrie manufacturière représente 18 % des cas, la santé, la construction, les transports et les collectivités locales figurent également parmi les cibles. Cette diversité suggère une stratégie opportuniste, reposant avant tout sur la visibilité des systèmes sur Internet plutôt que sur une sélection sectorielle précise.
Au cœur du problème, le protocole Modbus, conçu à l’origine pour des environnements fermés et de confiance. Son exposition directe sur Internet ouvre la voie à des intrusions relativement simples. Un attaquant peut identifier les équipements, accéder aux données et, dans certains cas, en modifier les paramètres, avec des conséquences potentiellement critiques sur les processus industriels.
Face à cette situation, les experts insistent sur la nécessité de renforcer les mesures de protection. La non exposition des services Modbus, la segmentation stricte entre les environnements informatiques et industriels, ainsi qu’un contrôle rigoureux des accès apparaissent comme des mesures essentielles. Le blocage par défaut des requêtes d’écriture non sollicitées constitue également une recommandation clé pour limiter les risques.
Cette campagne met en lumière la vulnérabilité persistante de nombreux systèmes industriels encore connectés sans protections adaptées, dans un contexte où la convergence entre IT et OT continue de s’accélérer.
