Les agences fédérales américaines ont publié, ce 2 juin, une alerte coordonnée concernant la sécurité de systèmes industriels connectés exposés à Internet. Huit institutions, dont la Cybersecurity and Infrastructure Security Agency (CISA), le FBI, la NSA, le département de l’Énergie, la Transportation Security Administration (TSA) et le département des Transports, appellent les opérateurs à retirer ces équipements du réseau public et à renforcer immédiatement leurs protections.
Selon la CISA, ces systèmes identifiés sous l’appellation ATG présentent des configurations largement vulnérables. Les autorités américaines recommandent de supprimer toute exposition directe à Internet, de remplacer les identifiants par défaut et d’activer une authentification multifacteur résistante au hameçonnage.
Les agences encouragent également l’application rapide des correctifs fournis par les prestataires certifiés. Les données compilées par les agences montrent que plus de 6 500 systèmes ATG resteraient accessibles en ligne sans protection suffisante, malgré des alertes répétées ces dernières années.
Exposition prolongée des systèmes connectés
Les recommandations des autorités américaines rappellent un problème récurrent dans la gestion des équipements industriels connectés : l’exposition involontaire à Internet. Dans de nombreux cas, ces systèmes restent accessibles à distance en raison de configurations par défaut jamais modifiées ou d’une maintenance insuffisante. Les agences fédérales estiment que cette situation facilite les tentatives d’accès non autorisé et l’exploitation de failles connues.
La CISA précise que les mesures de sécurité élémentaires, comme la désactivation des accès publics et la mise à jour régulière des logiciels, constituent une première barrière essentielle. Plusieurs secteurs concernés, dont les infrastructures énergétiques et de transport, figurent parmi les cibles potentielles identifiées dans les rapports de l’agence.
Des vulnérabilités qui dépassent le seul secteur industriel
Les failles mises en évidence dans les systèmes ATG trouvent un écho dans d’autres environnements connectés, notamment celui de l’automobile. Les véhicules récents intègrent une multitude de calculateurs électroniques reliés entre eux par des réseaux internes, souvent basés sur des architectures anciennes comme le CAN bus, conçu sans mécanismes de chiffrement natif.
Cette configuration a déjà permis à des chercheurs en sécurité de démontrer des scénarios d’attaque sur des véhicules connectés, notamment via des systèmes d’infodivertissement ou des interfaces sans fil. Face à ces risques, les constructeurs automobiles s’orientent progressivement vers des standards de cybersécurité dédiés, dont la norme ISO/SAE 21434, qui encadre la conception sécurisée des systèmes embarqués. L’objectif est de réduire les points d’entrée exploitables dans les architectures électroniques de plus en plus connectées.
Renforcement attendu des exigences de sécurité
Les autorités américaines indiquent que les opérateurs concernés devront prioritairement isoler leurs systèmes d’Internet et appliquer les correctifs disponibles dans les plus brefs délais. Les contrôles de conformité pourraient être renforcés dans les secteurs considérés comme critiques. Les agences n’ont pas communiqué de calendrier global de mise en conformité obligatoire, mais insistent sur une application immédiate des mesures de protection afin de limiter les risques d’exploitation active de ces vulnérabilités.
