13min

Risque cyber pour les secteurs sensibles : comment protéger l'espace de travail

Cybersecurity Platform MITRE Evaluations

Les menaces qui pèsent sur l’espace de travail des secteurs sensibles sont multiples et sophistiquées : espionnage et vol de données, attaques visant l’interruption de services essentiels...

L’intelligence artificielle rend aussi ces attaques accessibles à des acteurs moins avancés, et elle facilite le traitement des données collectées à la suite d’opération de vol ou d’espionnage.

Comment détecter et répondre aux menaces visant l’espace de travail pour les secteurs sensibles (services essentiels, aérospatial, défense, santé, télécommunication, banque et assurance...) ?

Nos experts font le point et vous donnent les clés pour protéger efficacement vos postes de travail et vos serveurs contre les attaques basiques comme sophistiquées.

Etat de la menace et perspectives dans les secteurs sensibles 

Etat de la menace cyber 

Le contexte cyber des secteurs sensibles est marqué par les phénomènes suivants : 

  • La balkanisation du web liée aux conflits et à la fragmentation géopolitique et au techno-nationalisme – certaines zones du monde voient par exemple leurs accès internet coupés (Iran, Ukraine...)
  • L’accroissement des attaques visant la supply chain, déplaçant la cible des attaques vers les fournisseurs tiers –par exemple, Shai-Hulud (ver informatique intelligent qui cherchait de manière automatisée à corrompre les dépendances logicielles)
  • Le développement des attaques utilisant l’IA, marquant l’avènement des “malwares autonomes” et de l’automatisation offensive, tels qu’observé avec Promptflux (attaque s’appuyant sur Gemini AI pour faire évoluer dynamiquement des malwares)
  • L’empoisonnement des données via les outils reposant sur des LLM qui sont particulièrement vulnérables – comme c’est le cas avec Pravda (campagne menée début 2025 par un réseau lié à l’état Russe qui a inondé internet d’articles pro-Kremlin, avec un impact significatif sur les LLM populaires) 

Les différents exemples mentionnés font référence à des attaques cyber menées avec succès (pour les attaquants) qui cherchent continuellement de nouvelles failles à exploiter, tandis que les équipes IT visent une amélioration continue de leur posture de sécurité. C'est un jeu sans fin du chat et de la souris, et dont les règles évoluent au fil du temps.

Contexte cyber : les perspectives d’évolution 

Les acteurs du cybercrime comme les auteurs d'attaques avancées font évoluer leurs techniques en se tournant vers de nouveaux outils et de nouvelles cibles.

IA et cybercrime  

Avec l’intelligence artificielle, les barrières tombent pour les attaquants peu avancés qui peuvent facilement lancer des campagnes de phishing ou de ransomware automatisées - répondre rapidement devient crucial face à l’accélération des attaques !

Exposition et corruption des données 

Le modèle Assume Leak s’impose avec un nouvel objectif de faire en sorte que les données ne soient pas exploitables. Autrement dit, sachant que le risque d’exfiltration des données ne peut pas être totalement évité, si elles sont correctement segmentées et chiffrées, les dégâts peuvent être considérablement limités.

Enjeux d’autonomie et de gouvernance 

La dépendance aux outils de protection s’accroit et les actifs et les données les plus critiques sont dorénavant gérés et hébergés chez des acteurs privés qui ont de plus en plus de poids sur le cadre législatif.

L’amplification des impacts physiques  

Les attaques ont des conséquences opérationnelles réelles, pouvant interrompre des services, des unités de production, voire une organisation complète. Par ailleurs, les agents IA intégrés aux systèmes industriels constituent un nouveau point d’entrée pour les attaquants, rendant la frontière IT/OT de plus en plus floue. En effet les machines OT sont de plus en plus connectées à l’IT, augmentant alors la surface d’attaque avec des impacts critiques étant donné la sensibilité des actifs.


Focus sur le secteur aérospatial  

Le secteur de l’aérospatial a connu en 2025 : 

  • +600% des ransomwares visant sa chaîne d’approvisionnement, incluant de nouvelles cibles (industriels, opérationnels, infrastructures de communication, maintenance, fournisseurs, satellites...)
  • +118% d’incidents par rapport à l'année précédente 

Cette industrie est visée par des groupes de ransomware spécialisés, et 16 pays sont particulièrement ciblés. 

Par exemple, le groupe Scattered Spider vise les fournisseurs tiers de l’industrie aérospatiale, notamment JAXA en 2024. L’agence spatiale japonaise a subi une intrusion majeure via un équipement réseau (VPN) jusqu’à la compromission d’un contrôleur de domaine Active Directory. Cette compromission a exposé les données personnelles des employés, des e-mails, et surtout des documents techniques de recherche partagés avec des partenaires comme la NASA ou Toyota, forçant l'agence à une déconnexion d'urgence de larges pans de son infrastructure.   

A noter également pour ce secteur sensible : Lazarus (Corée du Nord), spécialisé sur le vol de propriété intellectuelle missiles et satellites ; Fancy Bear (Russie) qui a cherché à compromettre des industries aérospatiales de l’OTAN ; TA455 (Iran) qui a envoyé des offres d’emploi prometteuses à des ingénieurs du secteur aérospatial contenant des fichiers malveillants aboutissant à du DLL Sideloading.

Face au niveau de sophistication des attaques, les entreprises de secteurs sensibles disposent de solutions de détection et de protection plus avancées que d’autres marchés. Elles sont aussi confrontées à des défis qui leur sont propres. Lesquels ?

Maturité cyber dans les secteurs sensibles 

Protection de l’espace de travail : les défis de l’industrie 

Les secteurs sensibles tels que la défense, l’aérospatial, la santé, les télécommunications, ou encore la banque et l’assurance, traitent des données particulièrement sensibles, avec des contraintes de conformité croissantes (NIS 2, DORA...) et elles s'appuient sur des infrastructures opérationnelle complexes avec de nombreuses interdépendances. Néanmoins, la continuité des activités est critique.

Pour revenir à un secteur sensible comme l’aérospatial, en 2025, Collins Aerospace a été la victime collatérale d’une intrusion chez un MSSP, qui a permis le déploiement d’un ransomware sur la plateforme qui portait le système des terminaux de différents aéroports (enregistrement, cartes d’embarquement, étiquettes bagages…). Plusieurs aéroports majeurs ont été touchés (Londres, Berlin, Bruxelles…) avec des dégâts estimés à plus d’1 milliard d’€.

Dans l’industrie, les innovations technologiques entraînent une convergence accrue entre IT et OT, élargissant la surface d’attaque comme nous l’avons vu plus tôt.

Pour limiter les risques, les solutions On-Premises apportent une réponse aux défis propres aux secteurs sensibles, notamment en matière de souveraineté, confidentialité et protection des données... mais nous allons voir que le cloud n’a pas dit son dernier mot.

Sécurisation de l’espace de travail : le retour de l'On-Premises 

Les solutions On-Premises permettent un contrôle complet de la donnée, de limiter la surface d’attaque et d’être en conformité avec certaines réglementation ou législations qui impliquent des environnements isolés.

Néanmoins un déploiement On-Premises nécessite la maintenance d’une infrastructure dédiée, et donc des compétences en interne.

Si les ressources et les expertises de l’organisation ne le permettent pas – même des petites entreprises peuvent appartenir à un secteur sensible – le cloud peut répondre aux besoins de détection et de remédiation, notamment avec des versions sécurisées répondant à des standards tels que SecNumCloud.
 

Cybersécurité : pourquoi le cloud reste pertinent 

Le déploiement de plateformes cyber dans le cloud permet une gestion simplifiée, et notamment la possibilité pour l’éditeur ou le partenaire MSSP de réagir plus rapidement en cas d’événement puisqu’ils ont une visibilité sur l’infrastructure de l’utilisateur.

En termes de scalabilité, comme le cloud ne nécessite aucune infrastructure en interne, l'augmentation du périmètre à protéger peut être plus rapide à gérer. Par ailleurs, en réponse au Cloud Act, les acteurs du cloud se sont organisés pour proposer des solutions souveraines répondant aux besoins des secteurs sensibles. Ils se positionnent ainsi comme fournisseurs de confiance pour répondre aux contraintes de structures qui n’ont pas les ressource pour gérer une infrastructure cyber en interne. 
 

L’enjeu pour les secteurs sensibles : personnaliser la protection 

Comme nous l’avons vu, les entreprises de secteurs sensibles ont des obligations qui leur sont propres, notamment en termes de protection des données et de conformité réglementaire. En outre, les environnements techniques peuvent être fortement personnalisés avec des configurations spécifiques. Plus précisément, certaines équipes métiers peuvent avoir des besoins spécifiques en termes d’application et de gestion des données propres à leur activité, qu’elles sont les seules à gérer. Au sein même d’une organisation, la granularité peut être importante.  

Ainsi, le déploiement et la configuration des outils de sécurité doivent pouvoir s’adapter exactement à ce contexte, au risque de proposer une détection imprécise et une protection trop partielle.

Les entreprises de secteurs sensibles doivent donc s’assurer que leur plateforme cyber propose bien :  

  • Des options de déploiement sur mesure 
  • Une intégration à l’écosystème existant
  • Des règles de détection personnalisées (par exemple, des binaires ou des exécutables dans langages de programmation inhabituels, des authentifications douteuses, des conventions de nommage inhabituelles...)
  • Un système de whitelisting (seuls les usages prévus sont autorisés) 

HarfangLab répond à ces prérequis, proposant un déploiement cloud et On-Prem avec les mêmes fonctionnalités, de nombreux connecteurs pour s’intégrer sans friction aux infrastructures en place, des règles de détection 100% ouvertes, personnalisables et transparentes, et un système de whitelists pour limiter les faux positifs et donc l’alert-fatigue.

Malgré les moyens déployés par les entreprises des secteurs sensibles pour protéger l’espace de travail, l’un des maillons faibles persistants reste la chaîne d’approvisionnement. Quels sont les risques et comment assurer la protection contre les attaques ciblant la Supply Chain ?

La Supply Chain, éternel maillon faible ? 

Visant des acteurs potentiellement moins matures et moins bien équipés pour répondre aux menaces cyber, les attaques Supply Chain sont évidemment très prisées parpour les acteurs de la menace. Quelques exemples de structures visées :  

  • CCleaner (nettoyage de PC) a été victime en 2017 d’une compromission de ses serveurs de mise à jour avec insertion d’une backdoor. Plus de 2 millions de cette version compromise ont été téléchargés.
  • SolarWinds (supervision IT) a été victime en 2019-2020 d’une infiltration de sa plateforme tierce de mise à jour, avec déploiement de backdoors visant les infrastructures de ministères et d’agences gouvernementales, touchant 18 000 clients dont +100 critiques. Indétecté pendant une année, cet incident marque l’avènement du Zero Trust.
  • MOVEit (transfert de fichiers) a été victime de l’exploitation une faille 0-day en 2023, touchant 2 700 organisations et entraînant le vol de 90 millions de données personnelles.
  • Notepad++ (éditeur de texte) a été victime d’une compromission de son infrastructure de mise à jour hébergée via un tiers en 2025, entraînant une redirection vers des serveurs malveillants et l'installation de backdoors - les impacts restent encore inconnus.
  • Qantas (compagnie aérienne) a été victime en 2025 d’une intrusion sur une plateforme tierce offshore utilisée par le service client grâce à une combinaison entre smishing et ingénierie sociale - 6 millions de données individuelles ont été compromises. 

Avec NIS 2, les fournisseurs de services tiers en lien avec des entreprises de secteurs sensibles doivent elles-aussi garantir un niveau de sécurité optimal contre les risques cyber. Mais comme aucun outil n’est infaillible face à des techniques d’attaque qui évoluent en continu, une bonne hygiène et des bonnes pratiques cyber s’imposent. Voici quelques conseils d’expert.

Les pistes d’amélioration face aux risques posés par la Supply Chain 

  • Evaluations : auditez vos fournisseurs, réalisez des inventaires SBOM et validez votre conformité avec lois et les règles en vigueur
  • Conception : mettez en place une approche Zéro Trust, durcissez vos politiques de sécurité, et assurez l’intégrité de vos données
  • Déploiements : prévoyez des phases de test approfondis, des déploiements par vagues, et un plan de continuité de l’activité
  • Opérations : équipez-vous d’outils pour sécuriser votre espace de travail avec un monitoring et une amélioration continue de votre posture de sécurité 

L’enjeu : mieux protéger les données

La fragmentation fait partie des difficultés que peuvent rencontrer les organisations des secteurs sensibles : multiplication des outils et des process, supply chain étendue, actifs multiples avec des niveaux de criticité variables, environnements hétérogènes...

Une plateforme de sécurité unifiée est essentielle pour une meilleure gouvernance et une meilleure maîtrise des risques cyber. Et au-delà des outils, les bonnes pratiques – sur lesquelles les acteurs de secteurs sensibles sont déjà largement matures - restent essentielles : segmentation par criticité, architectures hybrides en fonction des besoins et de la criticité des actifs et des données à protéger, réduction de la surface d’attaque, process de sécurisation...

En somme, la sécurité active et passive sont cruciales - comme en voiture, ce qui n’évite pas totalement les incidents mais réduit l’impact.


Les secteurs sensibles, fers de lance de la réponse cyber 

Au-delà des enjeux industriels et business, dans un climat global marqué par les conflits géopolitiques, la cybersécurité fait partie intégrante de l’arsenal de défense des organisations sensibles et critiques. Ce sont des cibles à la fois par intérêt pour les données et pour l’impact potentiel des attaques, mais aussi parce que, par opportunisme pour les attaquants, leur surface d’attaque est particulièrement étendue.

Ainsi, la sécurité informatique devient aussi importante que la sécurité physique dans ce contexte où les secteurs sensibles et leurs fournisseurs tiers sont plus que jamais visés par les acteurs de la menace !

Défense, aérospatial, santé, banque et assurance, télécommunication... L’ensemble des secteurs sensibles ont un rôle moteur majeur à jouer en faveur de la protection des espaces de travail.
 

Et pour votre organisation, avec quels outils protéger efficacement votre espace de travail ?
Découvrez comment unifier votre bouclier cyber : 

Toutes les offres HarfangLab

Plus d'articles

Cybersecurity Platform

Cyber Threat Research : le bilan 2025

Gamaredon, SadFuture, vulnérabilités Ivanti CSA, UAC-0057... qu'a découvert l'équipe CTR de HarfangLab en 2025 ?

En savoir plus
6min
Stratégie cyber
Cybersecurity Platform

Le Cloud Sovereignty Framework : un premier pas pour l’évaluation de la souveraineté

En octobre 2025, la Commission européenne a publié un document intitulé Cloud Sovereignty Framework. Il définit les critères de souveraineté,…

En savoir plus
4min
Stratégie cyber
Cybersecurity Platform feature

Ransomware : étude du paysage de la menace

Techniques, groupes et nombre d’attaques : le ransomware (ou rançongiciel en français) ne cesse d'évoluer. Les cartes sont rebattues en permanence, et dans ce contexte,…

En savoir plus
13min
Stratégie cyber
On-Premises and Cloud Cybersecurity - Solution - Workspace Security Platform

EDR On-Premises : guide pour choisir le bon outil

Un EDR On-Premises n’est pas toujours une option. Ce choix peut être orienté par des enjeux de confidentialité des données,…

En savoir plus
7min
Stratégie cyber