Fonctionnement des automates programmables industriels (API) et raisons pour lesquelles ils sont ciblés par les pirates

Les ordinateurs invisibles qui font tourner la civilisation

Chaque fois que vous ouvrez un robinet, que vous allumez un interrupteur ou que vous passez devant une usine, il y a de fortes chances qu'un automate programmable industriel (API) travaille discrètement en coulisses. Ces ordinateurs industriels robustes contrôlent les chaînes de montage, les stations d'épuration, les sous-stations électriques et les raffineries de pétrole. Ils ouvrent les vannes, démarrent les moteurs, lisent les capteurs et assurent le fonctionnement des processus critiques 24 heures sur 24, souvent pendant des années sans redémarrage.

Pourtant, la plupart des gens n'en ont jamais entendu parler. Cette obscurité est l'une des raisons pour lesquelles les API sont l'une des cibles les plus importantes – et les plus vulnérables – en matière de cybersécurité.

Ce que fait réellement un API

Un API est un ordinateur spécialisé conçu pour survivre dans des environnements industriels difficiles : températures extrêmes, poussière, vibrations et bruit électrique qui détruiraient un ordinateur portable standard. Développés pour la première fois à la fin des années 1960 pour l'industrie automobile, les API ont remplacé les panneaux de commande volumineux à relais par des unités compactes et reprogrammables.

L'appareil fonctionne selon un cycle de balayage continu, effectuant généralement chaque boucle en quelques millisecondes. Au cours de chaque cycle, l'API lit tous les signaux d'entrée (provenant de capteurs, d'interrupteurs et de transmetteurs), exécute son programme de contrôle stocké et met à jour les dispositifs de sortie tels que les moteurs, les actionneurs et les alarmes. Cette boucle en temps réel est ce qui maintient une pompe à eau en marche à la bonne pression ou une bande transporteuse en mouvement à une vitesse précise.

Les ingénieurs programment les API à l'aide de langages spécialisés, le plus souvent la logique à relais, un format graphique qui ressemble aux anciens schémas de relais électriques. La norme de programmation, IEC 61131-3, définit également le texte structuré, les blocs fonctionnels et d'autres formats. Une fois chargé, un API peut fonctionner de manière autonome pendant des années.

Pourquoi les API sont vulnérables

Les API ont été conçus à une époque où les réseaux industriels étaient physiquement isolés d'Internet. La sécurité était à peine prise en compte : on supposait qu'aucun étranger ne pouvait atteindre ces appareils. Cette hypothèse n'est plus valable.

Alors que les usines et les services publics ont adopté l'Internet industriel des objets, les API se connectent de plus en plus aux réseaux d'entreprise et même à l'Internet public pour la surveillance et la gestion à distance. De nombreux appareils utilisent encore des protocoles de communication vieux de plusieurs décennies, sans cryptage ni authentification. Les mots de passe par défaut sont courants. Les mises à jour du micrologiciel sont rares.

Il en résulte une surface d'attaque massive. Selon les chercheurs en cybersécurité d'UpGuard, des milliers d'API restent directement exposés à Internet, souvent à l'insu des organisations qui les exploitent.

Stuxnet : L'attaque qui a tout changé

Le monde a pris conscience des vulnérabilités des API en 2010, lorsque des chercheurs ont découvert Stuxnet, un ver sophistiqué largement attribué à une opération conjointe américano-israélienne. Stuxnet ciblait le logiciel Siemens Step 7 utilisé pour programmer les API de l'installation nucléaire iranienne de Natanz. Il modifiait silencieusement la vitesse des centrifugeuses d'enrichissement d'uranium tout en affichant des lectures normales aux opérateurs. L'attaque a infecté plus de 200 000 ordinateurs et détruit physiquement environ 1 000 centrifugeuses.

Stuxnet a prouvé que les cyberattaques contre les contrôleurs industriels pouvaient causer des dommages physiques réels, une leçon qui n'a fait que devenir plus urgente depuis.

Une menace croissante

En avril 2026, six agences fédérales américaines, dont le FBI, la CISA et la NSA, ont publié un avis conjoint avertissant que des pirates affiliés à l'Iran exploitaient des API Rockwell Automation exposés à Internet dans les installations américaines de traitement de l'eau, d'énergie et gouvernementales. Les attaquants ont utilisé un logiciel de configuration légitime pour se connecter aux contrôleurs CompactLogix et Micro850, modifiant les données d'affichage SCADA et perturbant les opérations.

L'avis souligne un problème persistant : de nombreuses organisations laissent encore les API accessibles depuis Internet, violant ainsi le principe le plus élémentaire de la sécurité industrielle : l'isolation physique de la technologie opérationnelle des réseaux publics.

Comment protéger les API

Les experts en cybersécurité et les agences comme la CISA recommandent plusieurs défenses essentielles :

• Déconnecter les API d'Internet. Les appareils qui contrôlent les processus physiques ne devraient jamais être directement accessibles en ligne.
• Segmenter les réseaux. Séparer les réseaux de technologie opérationnelle (TO) des réseaux informatiques d'entreprise à l'aide de pare-feu et de zones démilitarisées.
• Modifier les identifiants par défaut et activer l'authentification lorsque cela est pris en charge.
• Surveiller les anomalies. Les modifications de configuration inhabituelles ou les connexions réseau inattendues doivent déclencher des alertes.
• Mettre à jour régulièrement le micrologiciel et appliquer les correctifs de sécurité du fournisseur.

Les API resteront l'épine dorsale de la civilisation industrielle pour les décennies à venir. Assurer leur sécurité n'est plus une simple réflexion après coup en matière d'ingénierie, c'est une question de sécurité nationale.