Les attaques contre les systèmes de contrôle industriel (ICS) et les réseaux opérationnels (OT) s'accélèrent à mesure que l'activité malveillante s'intensifie
Au cours des deux dernières années, les attaques visant les systèmes de contrôle industriels et les technologies opérationnelles sont passées du statut de risque théorique à celui de réalité opérationnelle. Les États ne se contentent plus de se positionner au sein des infrastructures critiques ; ils passent à l'action. Les programmes de suppression de données ont supplanté les ransomwares comme arme de prédilection des acteurs soutenus par des États qui ciblent les environnements OT. Un seul et même schéma relie presque tous les incidents majeurs : un fichier malveillant a franchi une frontière de confiance que personne ne surveillait.
Cet article passe en revue le paysage des menaces pesant sur les systèmes ICS et OT de 2024 au début de l'année 2026, non pas sous la forme d'un simple répertoire de noms d'APT et de numéros CVE, mais sous la forme d'un récit. Nous commencerons par une vue d'ensemble : ce qui s'est passé et à quel moment. Nous examinerons ensuite qui se cache derrière ces attaques, comment elles ont été menées, puis nous analyserons en détail un incident particulier afin de montrer à quoi ressemble, de l'intérieur, une attaque moderne visant à effacer les données d'un système ICS.
Chiffres clés
- En 2025, 119 groupes de ransomware ont activement pris pour cible des environnements OT, soit une hausse de 49 % par rapport aux 80 groupes recensés en 2024
- Plus des deux tiers des victimes de ransomware dans le secteur des technologies de l'opération (OT) étaient des fabricants, ce qui en fait le secteur le plus ciblé
- Volt Typhoon a opéré sans être détecté au sein du réseau OT d'un fournisseur d'électricité américain pendant plus de 300 jours
- Rien qu'entre 2024 et 2025, six campagnes de piratage ont visé des systèmes ICS/OT, soit plus que durant toute autre période comparable
Aperçu chronologique des incidents ICS/OT
Avant d'analyser qui se cache derrière ces attaques ou comment elles fonctionnent, il est utile de les replacer dans leur contexte chronologique. Le tableau ci-dessous répertorie tous les incidents majeurs liés aux systèmes ICS/OT survenus au cours de cette période — classés par secteur, acteur malveillant et zone géographique — afin que vous puissiez vous repérer avant d'approfondir le sujet.
Date | Incident | Secteur | Acteur | Géographie |
Avril 2026 | Un groupe de piratage iranien exploite les automates Rockwell — perturbant les opérations dans l'ensemble de l'infrastructure critique américaine | Énergie Eau Gouvernement | Groupe IRGC-CEC / CyberAv3ngers | États-Unis |
mars 2026 | Le virus Handala met Stryker hors service — plus de 200 000 appareils auraient été effacés dans 79 pays | Soins de santé | Handala / Manticore du Vide (MOIS) | À l'échelle mondiale (79 pays) |
2025 | DynoWiper vise le réseau électrique polonais et les ressources énergétiques décentralisées (RED) issues des énergies renouvelables | L'énergie | Sandworm / ELECTRUM (GRU) | Pologne (OTAN) |
2025 | PathWiper déployé contre des infrastructures critiques ukrainiennes | Infrastructures critiques | Lien avec la Russie | Ukraine |
2025 | BAUXITE / Campagne de promotion des lingettes BlueWipe-SewerGoo | Stockage d'énergie | BAUXITE (IRGC-CEC) | Israël |
2025 | PYROXENE vise les administrations publiques et les infrastructures critiques | Gouvernement Infrastructures critiques | PYROXENE (IRGC-CEC / APT35) | Israël, Albanie |
2025 | SYLVANITE → VOLTZITE : intrusions dans la chaîne d'approvisionnement | Énergie Eau | Lié à l'État chinois | États-Unis |
2025 | KAMACITE passe au crible les cibles industrielles américaines | Fabrication | Russie (liée au GRU) | États-Unis |
2025 | Z-PENTEST compromet l'interface homme-machine d'un barrage norvégien | Eau/Barrage | Z-PENTEST (pro-russe) | Norvège |
Janvier 2024 | FrostyGoop perturbe le réseau de chauffage urbain de Lviv via Modbus TCP | Énergie/Chauffage | lié à la Russie | Ukraine |
2024 | Volt Typhoon / VOLTZITE — Plus de 300 jours au sein d'un service public américain | Énergie Eau | RPC (Volt Typhoon) | États-Unis |
2024 | Le logiciel malveillant AcidPour cible les infrastructures de télécommunications ukrainiennes | Télécommunications | Sandworm (GRU) | Ukraine |
2024 | Sandworm Spring — Attaque de la chaîne d'approvisionnement visant les secteurs de l'énergie et de l'eau | Énergie Eau | Sandworm (GRU) | Ukraine |
Août 2024 | Halliburton victime de RansomHub — un préjudice de 35 millions de dollars | Pétrole et gaz | RansomHub | États-Unis |
2024 | Fuxnet détruit l'infrastructure de capteurs des services publics de Moscou | Utilitaires | BlackJack (lié à l'Ukraine) | Russie |
Septembre 2024 | Ransomware visant le service de traitement des eaux d'Arkansas City (Kansas) | L'eau | Ransomware Hazard | États-Unis |
2023-2024 | CyberAv3ngers / IOCONTROL — Plus de 75 appareils compromis dans des installations de distribution d'eau aux États-Unis | L'eau | Garde révolutionnaire islamique (Iran) | États-Unis, Israël |
Janvier 2024 | Débordement d'un réservoir d'eau à Muleshoe (Texas) via un IHM accessible | L'eau | CyberArmyofRussia_Reborn | États-Unis |
Multiplication des campagnes de suppression de données et élargissement des cibles d'attaques par temps d'arrêt
Le rythme s'accélère. À elle seule, l'année 2025 a vu se multiplier les campagnes de radeaux de malwares ciblant les systèmes ICS/OT, plus que lors de toutes les années précédentes. La couverture géographique s'est élargie, dépassant le théâtre des opérations Ukraine-Russie pour s'étendre aux États membres de l'OTAN tels que la Pologne, à l'Europe occidentale (y compris la Norvège) et au Moyen-Orient (y compris Israël). La diversité des secteurs touchés s'est également étendue, dépassant les domaines de l'énergie et de l'eau pour inclure les soins de santé, les télécommunications et l'industrie manufacturière.
Ces attaques touchent différents pays, secteurs et victimes, mais elles commencent toutes de la même manière : par un fichier qui a échappé à la vigilance de tous. Il suffit d'en déclencher un seul pour comprendre immédiatement qu'il est conçu pour causer des dégâts.
Les États-nations et les groupes hacktivistes Drive des attaques visant les systèmes Drive
La chronologie ci-dessus est dense, mais elle n'est pas aléatoire. Les incidents se concentrent autour d'un petit nombre de groupes d'acteurs, chacun ayant des motivations, des capacités et des cibles privilégiées qui lui sont propres.
La Russie — toujours la source la plus importante de menaces pour les systèmes de contrôle industriel (ICS)
Les acteurs liés à la Russie représentent la plus grande part des activités visant les systèmes de contrôle industriel (ICS) au cours de cette période, agissant par l'intermédiaire de plusieurs groupes assumant des rôles différents.
Sandworm (ELECTRUM) reste l'acteur malveillant le plus compétent au monde en matière de systèmes de contrôle industriel (ICS). Sa campagne menée en décembre 2025 contre le réseau électrique polonais a visé une trentaine de sites d'énergie décentralisée, notamment des installations de cogénération et des systèmes de gestion des énergies renouvelables, tels que l'éolien et le solaire. Il s'agissait de la première cyberattaque coordonnée d'envergure visant des ressources énergétiques décentralisées à grande échelle.
Le logiciel malveillant DynoWiper utilisé lors de cette attaque était un programme de destruction de données de type Windows PE qui visait les infrastructures énergétiques. Il a effacé les données des machines Windows sur les sites de ressources énergétiques décentralisées (DER) et a rendu certains équipements de technologie opérationnelle (OT) et de systèmes de contrôle-commande (ICS) irréparables. Bien qu'aucune coupure de courant ne se soit produite, les attaquants ont réussi à accéder à des systèmes de technologie opérationnelle essentiels au fonctionnement du réseau électrique.
Auparavant, leur campagne « PathWiper » avait pris pour cible des infrastructures critiques ukrainiennes à l'aide d'un dropper VBScript associé à un wiper PE qui détruit le MBR et MFT écrase les fichiers sur tous les disques. En 2024, ils ont déployé « AcidPour », un wiper ELF sous Linux, contre les infrastructures de télécommunications ukrainiennes et ont orchestré une attaque visant la chaîne d'approvisionnement des systèmes énergétiques et d'approvisionnement en eau.
KAMACITE fait office de couche d'infrastructure de base. En 2025, ce groupe lié au GRU a été observé en train de mener des opérations de reconnaissance sur des cibles industrielles américaines, ce qui correspond à des activités de préparation qui, historiquement, précèdent les opérations destructrices d'ELECTRUM.
La Chine : une nation patiente, profonde et en pleine expansion
L'approche de la Chine est fondamentalement différente de celle de la Russie. Là où les acteurs russes détruisent, les acteurs chinois persévèrent.
La présence de VOLTZITE (Volt Typhoon) a été confirmée au sein du réseau OT d'un fournisseur d'électricité américain pendant plus de 300 jours, où il a exfiltré des données SIG et des configurations du système OT. Il ne s'agissait pas d'espionnage pour l'espionnage. Le schéma de prépositionnement correspond à la préparation d'une future perturbation de l'infrastructure électrique américaine.
En 2025, le courtier d'accès initial SYLVANITE a rapidement exploité des vulnérabilités dans les appliances VPN Ivanti, les équipements F5 et d'autres infrastructures périphériques. Ces points d'ancrage ont ensuite été intégrés au pipeline VOLTZITE afin de mener des intrusions plus approfondies dans les réseaux OT. Les cibles se sont élargies pour inclure à la fois les services publics d'électricité et d'eau.
AZURITE, un groupe récemment identifié en 2025, marque une intensification des attaques ciblant les réseaux opérationnels (OT) liées à la Chine. AZURITE cible activement les postes de travail des ingénieurs OT dans les secteurs de l'industrie manufacturière, de la défense et de l'automobile aux États-Unis, en Australie et en Europe. Le groupe s'attache principalement à exfiltrer des schémas de réseau, des données d'alarme et des configurations de processus.
Iran — franchir la ligne rouge et en venir aux mains
Les acteurs soutenus par l'État iranien ont opéré un tournant décisif au cours de cette période, passant d'une approche opportuniste à une ciblage délibéré des processus physiques.
Le groupe CyberAv3ngers (BAUXITE / IRGC) a compromis plus de 75 appareils dans plusieurs installations de distribution d'eau aux États-Unis entre 2023 et 2024, notamment en prenant directement le contrôle d'un automate programmable (PLC) dans une station de surpression en Pennsylvanie. Leur logiciel malveillant IOCONTROL, un binaire Linux doté d'un système de commande et de contrôle basé sur MQTT intégré dans les paquets de mise à jour du micrologiciel des appareils, a été spécialement conçu pour compromettre les appareils OT. En 2025, le groupe BAUXITE a déployé des variantes du wiper BlueWipe-SewerGoo contre des infrastructures énergétiques et de stockage israéliennes.
En 2025, le groupe PYROXENE (IRGC-CEC, dont les activités recoupent celles d’APT35) a pris pour cible des infrastructures critiques et des réseaux gouvernementaux en Israël et en Albanie. Le groupe a combiné des techniques d’ingénierie sociale et la compromission de la chaîne d’approvisionnement pour déployer des charges utiles de type « wiper » au format PE.
Handala incarne la frontière floue entre le hacktivisme et la destruction orchestrée par un État. Considéré par plusieurs agences de renseignement sur les menaces comme une façade pour un acteur malveillant appelé Void Manticore, soutenu par le ministère iranien du Renseignement et de la Sécurité, ce groupe a fait son apparition fin 2023 et mène depuis lors des opérations de destruction massive contre des cibles israéliennes.
Leur boîte à outils est techniquement sophistiquée. Des e-mails de phishing, souvent rédigés dans un hébreu courant, transmettent un programme d'installation NSIS qui lance un script AutoIT afin d'injecter le programme de destruction de données dans un processus Windows légitime. La charge utile finale écrase les fichiers avec des données aléatoires, élève les privilèges à l'aide d'un pilote vulnérable et exfiltre des informations système via API de Telegram API détruire les données.
Cet installateur comporte de nombreux éléments mobiles : des fichiers fractionnés, dotés de faux noms, et des commandes assemblées au fur et à mesure de son exécution. Mais chaque étape n'est en réalité que l'ajout et le lancement d'un fichier supplémentaire. L'analyse de l'échantillon révèle l'ensemble de la séquence avant que le programme de suppression ne commence à effacer quoi que ce soit.
En mars 2026, Handala a frappé Stryker, un fabricant de dispositifs médicaux figurant au classement Fortune 500, effaçant les données de terminaux dans 79 pays en exploitant Microsoft Intune, la plateforme de gestion des terminaux de l'entreprise. Aucun logiciel malveillant sur mesure n'a été nécessaire pour la phase destructrice. L'accès à Intune avec des droits d'administrateur a permis de déclencher un « kill switch » centralisé sur les terminaux enregistrés.
En avril 2026, un avis conjoint publié par six agences américaines a signalé que ce même groupe iranien perturbait activement les automates programmables Rockwell connectés à Internet au sein d'infrastructures gouvernementales, de distribution d'eau et d'énergie depuis au moins mars 2026. Les pirates ont utilisé des logiciels d'ingénierie Rockwell légitimes pour altérer les fichiers de projet des automates et manipuler les écrans des opérateurs en exploitant une faille connue permettant de contourner l'authentification (CVE-2021-22681). Il s'agissait d'une perturbation active des processus industriels sur le sol américain.
Les hacktivistes — jusqu’à la couche physique
Les groupes de hacktivistes pro-russes ont franchi un cap décisif au cours de cette période. En 2025, Z-PENTEST a piraté une interface homme-machine (IHM) connectée à Internet sur un barrage norvégien en exploitant un mot de passe faible, ce qui lui a permis de prendre le contrôle des systèmes physiques de régulation du débit d'eau. CyberArmyofRussia_Reborn a quant à lui accédé à une IHM à Muleshoe, au Texas, provoquant le débordement d'un réservoir d'eau avant que le personnel ne passe en mode manuel.
Il ne s'agit pas d'attaques sophistiquées. Elles sont simples, opportunistes et ont des conséquences de plus en plus graves. Il est plus facile de provoquer des perturbations physiques dans les environnements OT que ne le pensent de nombreux opérateurs.
Les attaques par suppression de fichiers, les programmes de destruction de données et les manœuvres de pivotement entre les réseaux informatiques et opérationnels caractérisent les intrusions dans les systèmes ICS/OT
Au-delà de tous ces incidents impliquant différents acteurs, secteurs et zones géographiques, on observe un ensemble de schémas récurrents.
Les essuie-glaces sont devenus l'outil de destruction par excellence
Il s'agit de la tendance la plus marquante en matière de menaces pesant sur les systèmes ICS et OT. Rien qu'en 2024-2025, au moins six campagnes distinctes de wiper ont ciblé des environnements industriels et des infrastructures critiques : DynoWiper visant le secteur énergétique polonais, PathWiper visant les infrastructures critiques ukrainiennes, AcidPour visant les télécommunications ukrainiennes, BAUXITE ou BlueWipe-SewerGoo visant le secteur énergétique israélien, PYROXENE visant les infrastructures gouvernementales et critiques en Israël et en Albanie, et Handala visant le secteur mondial de la santé.
Ces programmes de suppression de données sont de plus en plus ciblés. DynoWiper a été déployé spécifiquement contre des infrastructures énergétiques en Pologne, effaçant les machines fonctionnant sous Windows sur des sites énergétiques décentralisés et rendant certains équipements OT irrécupérables. PathWiper détruit le MBR et MFT réécrire les fichiers, rendant ainsi la récupération aussi difficile que possible. AcidPour cible les appareils Linux embarqués, effaçant les volumes UBI et les partitions Device Mapper utilisés dans les équipements OT.
L'attaque Stryker menée par Handala a mis en évidence un autre type d'évolution. Au lieu de déployer à grande échelle des logiciels malveillants sur mesure, les pirates ont détourné un outil de gestion d'entreprise légitime, Microsoft Intune, pour lancer simultanément une commande d'effacement massif sur tous les appareils enregistrés. Cela a eu pour effet de transformer l'infrastructure même de l'organisation en arme. Il ne s'agit pas ici d'outils polyvalents réutilisés pour les systèmes OT. Ces outils sont spécialement conçus ou détournés pour les environnements qu'ils affectent.
Les logiciels malveillants ciblant les systèmes de contrôle-commande (ICS) gagnent en sophistication
FrostyGoop mérite une attention particulière en tant qu’étape décisive. Déployé contre le réseau de chauffage urbain de Lviv en janvier 2024, il s’agit du premier logiciel malveillant à avoir directement exploité le protocole Modbus TCP dans un environnement de production. Écrit en Go et compilé sous forme de fichier binaire PE Windows, il a été introduit via le réseau d’ingénierie, passant du domaine informatique (IT) au domaine opérationnel (OT) par le biais d’un transfert de fichiers. L’attaque a privé de chauffage plus de 600 immeubles d’habitation pendant deux jours, alors que les températures étaient inférieures à zéro.
FrostyGoop revêt une importance particulière car le protocole Modbus TCP est largement utilisé dans les environnements industriels à travers le monde. Ce logiciel malveillant a démontré que les pirates ne se contentent plus de cibler les postes de travail Windows situés à proximité des systèmes OT. Ils développent désormais des programmes capables de communiquer directement avec les protocoles industriels.
La raison d'être de FrostyGoop réside dans le code qu'il charge : les bibliothèques qu'il importe n'ont qu'un seul but, à savoir communiquer avec des contrôleurs industriels
Chaque intrusion dans un réseau OT correspond à un maillon de la chaîne d'attaque
C'est là le dénominateur commun. Dans tous les incidents répertoriés dans la chronologie, quels que soient les acteurs, le secteur ou la zone géographique concernés, un fichier malveillant a franchi une barrière de confiance à un moment donné de la chaîne d'attaque :
- Les programmes malveillants ont été diffusés sous forme de fichiers exécutables PE, de droppers VBScript et de binaires ELF pour Linux.
- Les failles de la chaîne d'approvisionnement ont été exploitées à l'aide de paquets d'installation et de mises à jour logicielles infectés par des chevaux de Troie.
- Le spearphishing a permis de diffuser des documents malveillants, notamment des fichiers Excel contenant des macros VBA et des fichiers OneNote intégrant des charges utiles.
- Les logiciels malveillants ciblant les systèmes ICS se sont présentés sous la forme de binaires Go compilés, tels que FrostyGoop, de charges utiles Python, telles que Triton et COSMICENERGY, et de binaires PE personnalisés, tels que Industroyer2 et DynoWiper.
- Même les campagnes de type « living-off-the-land » comme Volt Typhoon ont laissé des traces, notamment des shells Web, des scripts de déplacement latéral et des outils de collecte d'identifiants, sur les systèmes compromis.
- Les charges utiles des ransomwares qui ont touché des environnements liés aux technologies opérationnelles (OT), comme ceux de Halliburton et d'Arkansas City, ont été diffusées par le biais de pièces jointes de hameçonnage et de compromissions de serveurs.
Les types de fichiers varient. Les vecteurs d'attaque varient. Les acteurs varient. Le schéma reste le même : un fichier pénètre dans l'environnement, franchit une zone de confiance, puis s'exécute directement ou déclenche la phase suivante de l'attaque.
Les appareils en périphérie et les interfaces homme-machine (IHM) exposées constituent le nouveau périmètre
Tant l'attaque contre le barrage Z-PENTEST en Norvège que le débordement du barrage de Muleshoe au Texas ont exploité la même faille : des interfaces homme-machine (IHM) exposées à Internet et dotées d'identifiants faibles ou par défaut. La campagne CyberAv3ngers contre des installations hydrauliques américaines visait les automates programmables Unitronics utilisant des identifiants par défaut. Il ne s'agit pas d'exploits « zero-day ». Ce sont des erreurs de configuration à la frontière entre les systèmes OT et Internet.
C'est à la frontière entre les réseaux informatiques et opérationnels que les attaques s'orientent
Incident après incident, le point d'entrée des attaques se situe à la frontière entre les réseaux informatiques (IT) et opérationnels (OT). Les postes de travail d'ingénierie, qui se trouvent dans ces deux environnements et relient les réseaux d'entreprise aux automates de production (PLC), constituent le point d'entrée le plus courant. AZURITE les cible directement. Volt Typhoon s'est propagé par leur intermédiaire. Triton a nécessité un accès physique à l'un d'entre eux. FrostyGoop a été introduit via le réseau d'ingénierie. Protéger ces postes de travail, c'est protéger les fichiers qui y sont stockés.
La prédiction avant exécution et l'analyse comportementale permettent de bloquer les attaques OT avant qu'elles ne causent des dommages
Détection comportementale des menaces « zero-day » avec MetaDefender
Les schémas observés dans les attaques visant les systèmes de contrôle industriel (ICS) et les infrastructures opérationnelles (OT) mettent en évidence une réalité constante : des menaces inconnues et insaisissables s'introduisent dans les environnements sous forme de fichiers, franchissent les barrières de confiance et s'exécutent avant que les défenses traditionnelles ne puissent réagir. Pour contrer ces attaques, il faut à la fois une analyse comportementale approfondie et la capacité de détecter les intentions malveillantes avant l'exécution.
MetaDefender est la solution unifiée de détection des menaces « zero-day » OPSWAT, conçue pour mettre au jour les menaces inconnues et furtives dissimulées dans les fichiers. Elle combine le sandboxing adaptatif, les renseignements sur les menaces, la notation des menaces et la recherche de similitudes par apprentissage automatique au sein d'un pipeline de détection unique qui fournit un verdict fiable pour chaque fichier.
En exécutant des fichiers dans un environnement émulé, Aether met au jour des comportements cachés, tels que la logique des ransomwares, l'injection de code, les techniques anti-analyse et les charges utiles en plusieurs étapes, que les outils statiques ne peuvent pas détecter. Il met en corrélation ces résultats avec des milliards d'indicateurs de menaces afin d'identifier les risques, de découvrir des variantes et de relier ces activités aux techniques connues des cybercriminels.
Cette approche permet aux organisations de détecter les menaces de type « zero-day » dans les fichiers exécutables, les scripts, les archives et les fichiers de correctifs qui ne peuvent être ni nettoyés ni modifiés. Elle répond également aux exigences de conformité des secteurs réglementés où l'analyse dynamique est obligatoire et où l'intégrité des fichiers doit être préservée.
Prévision des menaces avant exécution grâce à l'IA prédictive d'Alin
En complément, Predictive Alin AI intègre une couche de détection pré-exécution qui opère au niveau du périmètre. Au lieu d'attendre que les fichiers se déclenchent, elle analyse des indicateurs structurels et comportementaux pour détecter les intentions malveillantes en quelques millisecondes. Cela permet aux entreprises de bloquer les fichiers à haut risque avant qu'ils ne pénètrent dans leur environnement ou n'atteignent leurs systèmes critiques.
Le système prédictif Alin AI est constamment réentraîné à l'aide des menaces « zero-day » identifiées par MetaDefender . Chaque menace confirmée renforce la capacité du modèle à détecter des attaques similaires à un stade plus précoce de la chaîne. Cela crée une boucle de rétroaction entre l'analyse approfondie et la détection prédictive, dans laquelle Aether met au jour des menaces inconnues et Alin utilise ces informations pour bloquer la prochaine génération d'attaques avant même qu'elles ne se concrétisent.
Déployés conjointement, MetaDefender et Predictive Alin AI offrent à la fois une analyse approfondie et une grande rapidité. Predictive Alin AI fournit des verdicts instantanés avant l'exécution au niveau du périmètre, tandis que MetaDefender effectue une analyse comportementale complète des fichiers nécessitant un examen plus approfondi. Cette approche multicouche réduit les faux positifs, accélère la réponse du SOC et garantit que les menaces connues et inconnues sont identifiées avant qu'elles ne puissent affecter les environnements OT.
Pour contrer les attaques OT basées sur des fichiers, il faut mettre en place une détection multicouche des vulnérabilités « zero-day »
Le paysage des menaces pesant sur les systèmes de contrôle-commande (ICS) et les technologies opérationnelles (OT) n'est plus caractérisé par des incidents isolés. Il est désormais marqué par des schémas récurrents. Les programmes de destruction de données sont de plus en plus ciblés, les attaquants agissent plus rapidement et les attaques s'articulent systématiquement autour des limites de confiance. Dans tous les cas, une constante demeure : un fichier pénètre dans l'environnement et permet à l'attaque de se dérouler.
Les outils d'inspection statique et ceux basés sur les signatures ne permettent pas de détecter ce que ces attaques ont en commun : un fichier qui franchit une frontière de confiance avec une intention qui n'a pas encore été répertoriée. Pour les bloquer, il faut inspecter ce fichier avant son exécution et anticiper ce qu'il fera une fois lancé.
C'est précisément pour cela que MetaDefender et Predictive Alin AI ont été conçus. Predictive Alin AI rend son verdict au niveau du périmètre en quelques millisecondes ; MetaDefender neutralise les éléments nécessitant un examen plus approfondi et réinjecte chaque vulnérabilité « zero-day » confirmée dans le modèle prédictif. Il en résulte une défense multicouche qui gagne en précision à chaque fichier analysé, exactement à la frontière où commencent les attaques visant les systèmes ICS et OT.
Découvrez comment MetaDefender et Predictive Alin AI bloquent les attaques par fichier visant votre environnement OT.
