Le 1er septembre, le plus grand constructeur automobile du Royaume-Uni, Jaguar Land Rover (JLR), a révélé avoir été victime d’une cyberattaque. Peu après cette annonce, l’entreprise a dû interrompre la production dans plusieurs usines à travers le monde, tandis que les répercussions s’étendaient à l’ensemble de ses opérations.
L’un de nos partenaires de confiance, Claroty, a récemment publié une analyse approfondie de cet incident. Gerrit Neyrinck, Expert Security Engineer chez Easi, en résume les principaux enseignements et partage sa propre vision de ce que cela signifie pour la sécurité des technologies opérationnelles (OT).
L’attaque aurait été menée par un groupe de cybercriminels ayant réussi à infiltrer les systèmes de JLR plusieurs mois avant sa détection, en utilisant des campagnes de phishing et des techniques de social engineering pour obtenir un accès initial. Une fois à l’intérieur, les attaquants ont pu se déplacer latéralement entre les environnements IT et OT, compromettant des systèmes critiques ainsi que les connexions avec certains fournisseurs.
Les conséquences ont été importantes : arrêt de la production, retards de livraison et pertes opérationnelles estimées à plusieurs millions d’euros. Cet événement démontre qu’une seule compromission dans un environnement OT peut perturber toute une chaîne de production.
On entend souvent dire : « On ne peut pas protéger ce que l’on ne voit pas. » Dans de nombreux réseaux industriels, la visibilité sur l’ensemble des équipements connectés reste limitée ; des automates programmables (PLC) jusqu’aux capteurs IoT. Ce manque de visibilité crée une zone aveugle dans laquelle les attaquants peuvent évoluer sans être détectés.
Une stratégie solide de sécurité OT commence par une découverte complète des actifs et une surveillance continue. Avec notre partenaire Claroty, nous aidons les organisations à obtenir une visibilité totale sur leurs environnements IT, OT et IoT, afin de détecter plus rapidement les menaces et d’y répondre efficacement.
Un réseau plat et non segmenté est un véritable terrain de jeu pour les cybercriminels. Une fois à l’intérieur, ils peuvent se déplacer librement d’un système à l’autre. Mettre en œuvre une segmentation réseau permet de diviser l’infrastructure en zones isolées, de sorte qu’une compromission dans une partie du réseau ne se propage pas à l’ensemble de l’environnement de production.
Pour les entreprises industrielles, cela signifie séparer les lignes de production, les systèmes administratifs et les accès des prestataires externes. Une segmentation correcte réduit considérablement la portée et le coût d’un incident.
Un principe fondamental en cybersécurité, et que l’affaire JLR illustre parfaitement, est celui du Zero Trust : « Ne faites confiance à personne. Vérifiez tout. » Dans un monde toujours plus connecté, une architecture Zero Trust est devenue indispensable. Faire confiance à un utilisateur ou un appareil simplement parce qu’il se trouve “dans le réseau” n’est plus suffisant. Chaque identité, chaque appareil et chaque connexion doivent être continuellement vérifiés.
La mise en place de la multi-authentification (MFA), du principe du moindre privilège et de contrôles d’accès rigoureux permet d’éviter les mouvements latéraux non autorisés. Pour les organisations qui travaillent avec des techniciens à distance ou des fournisseurs externes, le Zero Trust est essentiel pour conserver la maîtrise et la traçabilité des accès.
Lorsqu’une cyberattaque se produit, la vitesse de récupération est aussi importante que la prévention.
La Mean-Time-to-Repair (MTTR), le temps nécessaire pour isoler, contenir et restaurer les systèmes après un incident, est un indicateur clé de la résilience cyber.
Réaliser des exercices de simulation, documenter des procédures de reprise claires et assurer une bonne coordination entre les équipes IT et OT permettent de réduire significativement les temps d’arrêt. Tester son plan de réponse est aussi crucial que d’en avoir un.
L’incident de JLR a également touché des fournisseurs et des prestataires tiers connectés à son réseau. Cela met en évidence l’importance croissante de la gestion des risques liés aux tiers, notamment dans le cadre de la directive NIS2.
Conformément à NIS2, les organisations doivent évaluer et gérer les risques cyber au sein de leur chaîne d’approvisionnement et de leurs prestataires de services. Cela implique de contrôler qui se connecte à votre réseau, dans quelles conditions, et comment ces accès sont surveillés.
La mise en œuvre de crédentiels temporaires, du principe du moindre privilège et d’une surveillance continue des fournisseurs aide à respecter les exigences de NIS2 tout en limitant l’exposition aux menaces. Même avec une posture de sécurité interne solide, un partenaire vulnérable peut suffire à interrompre vos opérations.
L’attaque contre Jaguar Land Rover rappelle que la cybersécurité n’est plus uniquement une question d’IT : c’est avant tout un enjeu de continuité d’activité.
Pour les organisations industrielles, protéger l’environnement de production revient à protéger le cœur même de l’entreprise.
Chez Easi, nous aidons les entreprises à renforcer leur résilience cyber en combinant notre expertise avec la technologie de partenaires de confiance comme Claroty. Ensemble, nous offrons une visibilité complète, une détection avancée des menaces et une défense proactive sur les environnements IT, OT et XIoT, afin que vos opérations restent sûres, fiables et ininterrompues.
👉 Découvrez comment Easi peut vous accompagner grâce à ses solutions de continuité de l'activité pour rester prêt face à l’imprévu.
Claroty protège l’Extended Internet of Things (XIoT) et fournit une visibilité, une protection et une détection des menaces inégalées sur tous les systèmes cyber-physiques ; y compris les environnements OT, IoT, BMS et IoMT.
Sa mission est d’aider les organisations à gérer et à sécuriser leurs systèmes critiques de manière sûre, continue et efficace.