22 exercices de cybersécurité prêts à l'emploi — scénarios de menaces ICS/OT, guides de discussion au niveau stratégique, scénarios d'injection sectoriels et boîtes à outils de facilitation. Alimentés par les cadres CISA CTEP et le renseignement OT/ICS.
Un acteur de menace affilié à un État-nation mène une campagne d'hameçonnage ciblé contre le personnel de convergence IT/OT. Le mouvement latéral vers les réseaux OT aboutit à un accès adversarial au SCADA HMI. Une manipulation physique des processus est tentée sur les systèmes de production critiques.
Une activité de reconnaissance VOLTZITE est détectée ciblant le sous-secteur de l'électricité. L'intrusion dans les systèmes de gestion de l'énergie via un fournisseur tiers compromis escalade vers une perturbation potentielle des contrôles de stabilité du réseau et des systèmes d'automatisation des sous-stations.
Une intrusion informatique dans une installation de fabrication chimique exploite la frontière de convergence IT/OT. L'accès adversarial aux systèmes de contrôle distribués (DCS) crée un risque de manipulation non intentionnelle des procédés chimiques, de contournement des systèmes de sécurité et de rejet de matières dangereuses.
Des acteurs de menace exploitent des vulnérabilités d'accès à distance dans le SCADA d'une installation hydroélectrique pour prendre le contrôle des systèmes de gestion du débit d'eau. La manipulation non autorisée des vannes et de la gestion des turbines présente des conséquences catastrophiques en aval.
Un acteur de menace obtient un accès à distance au réseau de technologie opérationnelle d'une installation de traitement des eaux. Les systèmes de dosage chimique sont ciblés — la modification non autorisée des niveaux de chlore présente un risque immédiat pour la santé publique et active des protocoles d'intervention d'urgence multi-agences.
Une cyberattaque coordonnée ciblant les systèmes de gestion de fret et de technologie opérationnelle d'un grand port perturbe l'automatisation des grues, le suivi des navires (AIS) et les systèmes de portes. La convergence IT/OT dans l'infrastructure portuaire crée des impacts simultanés physiques et cyber.
Une attaque sophistiquée contre l'infrastructure Industrie 4.0 d'une installation de fabrication critique compromet le SCADA de production, les contrôleurs robotiques et les systèmes de gestion de la qualité. L'adversaire pivote depuis une connexion VPN d'un fournisseur OEM pour obtenir un accès OT persistant.
Un affilié RansomHub déploie un rançongiciel qui commence sur le SI d'entreprise mais se propage à travers la frontière IT/OT. Les systèmes de production s'arrêtent. Les opérateurs sont confrontés à un choix : poursuivre les opérations manuelles avec risque sécurité ou arrêter totalement pendant que les attaquants exigent une rançon de plusieurs millions.
Un fournisseur de confiance en automatisation OT est compromis. Un code malveillant intégré dans une mise à jour logicielle légitime est poussé simultanément vers 47 sites clients. La porte dérobée fournit un accès persistant aux réseaux OT dans plusieurs secteurs d'infrastructure critique avant détection.
Un ingénieur d'exploitation mécontent disposant d'un accès privilégié aux systèmes OT est recruté par un service de renseignement étranger. Sur 90 jours, l'initié exfiltre la topologie réseau, les configurations SCADA et la documentation SIS — fournissant une feuille de route pour une future attaque destructrice.
Une campagne DDoS soutenue de 96 heures cible les interfaces OT de gestion exposées sur Internet, les serveurs historiques et les portails de surveillance à distance. Combinée à un détournement sélectif de routes BGP, les adversaires coupent la visibilité de surveillance à distance des actifs d'infrastructure critique distribués.
Un paquet malveillant se faisant passer pour une bibliothèque Python légitime utilisée dans les chaînes d'outils d'automatisation industrielle est téléchargé 14 000 fois avant détection. Le paquet installe un shell inversé permettant un accès persistant aux stations de travail d'ingénierie connectées aux environnements OT.
Un contractant de défense de rang 2 est violé par hameçonnage ciblé. L'adversaire exfiltre des schémas OT, des diagrammes réseau et des données techniques contrôlées ITAR sur 6 mois. La violation n'est découverte que lorsqu'une alerte de renseignement ISAC correspond aux schémas comportementaux.
Un rançongiciel ciblant les systèmes d'entreprise hospitaliers se propage aux systèmes de gestion technique des bâtiments, HVAC et dispositifs médicaux connectés. Les systèmes de surveillance des patients en soins intensifs tombent hors ligne. Les opérations cliniques reviennent aux procédures manuelles en heures de pointe.
Une attaque coordonnée cible les systèmes de traitement des transactions et le réseau de DAB d'un grand établissement financier. Un DDoS simultané sur les portails bancaires et une compromission des messageries SWIFT crée des perturbations visibles des clients pendant que les adversaires tentent des virements internationaux frauduleux.
Un acteur étatique cible les systèmes d'agriculture intelligente et d'automatisation de production d'un grand groupe agroalimentaire. La manipulation des systèmes de dosage d'additifs chimiques et de la gestion de la chaîne du froid crée un incident de santé publique affectant des millions de produits alimentaires distribués.
Une attaque coordonnée contre des fournisseurs d'infrastructure haut débit rural coupe la connectivité de 340 000 abonnés, désactivant la surveillance SCADA des actifs OT distants dans les secteurs de l'énergie, de l'eau et de l'agriculture qui dépendent du backhaul cellulaire et fibre pour la visibilité opérationnelle.
Des acteurs de menace compromettent les systèmes de gestion technique du bâtiment (GTB) d'un complexe commercial à forte occupation — HVAC, ascenseurs, contrôle d'accès physique et suppression d'incendie sont manipulés. L'attaque cible un locataire d'infrastructure critique exploitant des systèmes OT dans l'installation.
GRAPHITE cible les systèmes SCADA d'un navire FPSO (Floating Production Storage and Offloading) via un fournisseur d'automatisation compromis. La manipulation de l'historique de processus masque les comportements de production anormaux pendant que les adversaires se pré-positionnent sur les systèmes instrumentés de sécurité pour une action destructrice potentielle.
Le PDG reçoit un appel à 2h du matin : la production est arrêtée dans deux installations. L'équipe IT confirme un rançongiciel. L'équipe OT ne peut confirmer le confinement. Le conseil veut des réponses dans 4 heures. Cet exercice teste la prise de décision exécutive, la communication de crise, la stratégie médiatique et les délais de notification réglementaire.
Une cyberattaque coordonnée cible simultanément l'eau, la gestion du trafic et l'infrastructure OT des services d'urgence d'une ville de taille moyenne. L'attaque coïncide avec un événement météorologique sévère, amplifiant la complexité de la réponse et testant la coordination inter-agences dans des conditions de double crise.
Un zero-day dans une plateforme SIEM d'entreprise largement déployée accorde aux adversaires un accès persistant au réseau d'entreprise. Sur 72 heures, l'acteur de menace pivote vers les dispositifs frontières OT. Les équipes IT et OT peinent à coordonner leur réponse à travers des chaînes de reporting séparées et des outils de sécurité distincts.