Cyberattaque sur le secteur électrique polonais : comment le malware DynoWiper a visé l'infrastructure critique
Lysandre Beauchêne
Une tentative d’attaque informatique d’une ampleur inédite visant le système électrique polonais a été déjouée fin décembre 2025. Selon les autorités, il s’agirait de l’attaque cyber la plus importante ciblant l’énergie en Pologne depuis des années, orchestrée par le groupe de hackers russes Sandworm. Ce dernier aurait déployé un nouveau malware destructeur, baptisé DynoWiper, dans une tentative de perturber les opérations des centrales. Si l’attaque a échoué, elle souligne une fois de plus la vulnérabilité des infrastructures critiques européennes face aux cybermenaces géopolitiques.
L’alerte a été donnée par le ministre polonais de l’Énergie, Milosz Motyka, qui a confirmé que la commandance des forces cyber du pays avait diagnostiqué “l’attaque la plus forte sur l’infrastructure énergétique en années” durant les derniers jours de l’année 2025. Cette tentative, survenue le 29 et 30 décembre, visait spécifiquement deux centrales de cogénération (CHP) ainsi qu’un système de gestion de l’électricité produite à partir de sources renouvelables, notamment des parcs éoliens et photovoltaïques.
L’identité de l’attaquant et la menace DynoWiper
Les investigations menées par la société de cybersécurité ESET ont permis d’attribuer l’attaque au groupe Sandworm, une entité associée aux services de renseignement russes. Cette attribution repose sur des chevauchements techniques avec des activités de wipers (logiciels de destruction de données) précédemment observées chez ce même adversaire, en particulier dans le sillage de l’invasion de l’Ukraine par la Russie en février 2022. Le malware utilisé, DynoWiper, est un wiper de données jusqu’alors inconnu, conçu pour effacer les systèmes informatiques et paralyser les opérations.
L’analyse d’ESET révèle que l’attaque ciblait deux types d’infrastructures distinctes : les systèmes informatiques (IT) et les systèmes de contrôle industriel (OT) des centrales. Bien que les tentatives aient été bloquées, la méthodologie employée rappelle des tactiques éprouvées par Sandworm, notamment l’utilisation de wipers comme BlackEnergy (2015) et HermeticWiper (2022). Un fait notable a été relevé par les chercheurs : l’attaque est intervenue exactement à la date anniversaire de la première cyberattaque majeure de Sandworm contre le réseau électrique ukrainien en décembre 2015, qui avait provoqué une coupure de courant de 4 à 6 heures pour près de 230 000 personnes.
“Tout indique que ces attaques ont été préparées par des groupes directement liés aux services russes,” a déclaré le Premier ministre polonais, Donald Tusk, soulignant la dimension géopolitique de l’incident.
Un contexte de menaces persistantes contre les infrastructures critiques
L’incident polonais s’inscrit dans une stratégie plus large de cyberattaques contre les infrastructures critiques européennes, particulièrement depuis 2022. Sandworm ne cible pas seulement l’Ukraine ; son champ d’action s’étend aux entités opérant dans des secteurs critiques variés. En juin 2025, Cisco Talos avait signalé qu’une entité d’infrastructure critique ukrainienne avait été visée par un nouveau wiper nommé PathWiper, partageant des fonctionnalités avec HermeticWiper.
Par ailleurs, le groupe a été observé déployant d’autres malwares destructeurs, comme ZEROLOT et Sting, contre une université ukrainienne, puis multipliant les attaques contre des entités actives dans les secteurs gouvernemental, énergétique, logistique et agricole entre juin et septembre 2025. Cette persistance démontre une capacité d’adaptation et une volonté constante de perturber les activités de l’adversaire.
Les cibles : de l’IT à l’OT
Les infrastructures énergétiques modernes reposent sur une convergence croissante entre les systèmes informatiques traditionnels (IT) et les systèmes de contrôle industriel (OT). Cette convergence, bien qu’efficace pour la gestion, crée de nouvelles surfaces d’attaque. Les wipers comme DynoWiper exploitent cette vulnérabilité en visant potentiellement les deux couches.
- Systèmes IT : Gestion des données, réseaux d’entreprise, communications.
- Systèmes OT : Contrôle des équipements physiques (turbines, disjoncteurs, vannes).
Une attaque réussie sur les systèmes OT pourrait, dans le pire des cas, provoquer des dommages physiques aux équipements ou des arrêts d’usine prolongés.
Les conséquences et la réponse polonaise
Heureusement, dans le cas de l’attaque de décembre 2025, l’efficacité des systèmes de défense polonais a permis de prévenir toute perturbation réelle. L’agence nationale de sécurité informatique (NASK) et les forces cyber polonaises ont activé leurs protocoles de réponse aux incidents, isolant les systèmes ciblés et bloquant le déploiement du malware.
Cependant, cet incident a servi de réveil pour le gouvernement polonais. Le Premier ministre Donald Tusk a annoncé la préparation de mesures de sécurité supplémentaires, notamment une législation clé en matière de cybersécurité. Des failles comme celles de Zendesk, qui ont déclenché une vague de spam mondiale, rappellent l’urgence de protéger les infrastructures critiques. Cette future loi imposera des exigences strictes en matière de :
- Gestion des risques : Évaluation et traitement systématiques des vulnérabilités.
- Protection des systèmes IT et OT : Mise en place de contrôles de sécurité spécifiques.
- Réponse aux incidents : Plans de continuité d’activité et procédures de communication.
Cette démarche s’aligne sur les bonnes pratiques internationales, comme le référentiel de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) en France ou les normes ISO 27001, qui soulignent l’importance d’une sécurité intégrée pour les infrastructures critiques.
Tableau comparatif : Évolution des wipers de Sandworm
| Année | Nom du Malware | Cible Principale | Impact Documenté |
|---|---|---|---|
| 2015 | BlackEnergy + KillDisk | Réseau électrique ukrainien | Coupure de courant pour 230 000 personnes |
| 2022 | HermeticWiper (Industroyer2) | Réseau électrique ukrainien | Tentative de perturbation majeure |
| 2025 | PathWiper | Infrastructure critique ukrainienne | Non divulgué |
| 2025 | DynoWiper | Secteur électrique polonais | Attaque bloquée |
Mesures de protection et bonnes pratiques pour les infrastructures critiques
Face à des menaces sophistiquées comme DynoWiper, une défense pérenne repose sur une approche multicouche. L’abandon récent du programme de bug bounty par curl montre l’importance de maintenir des initiatives de sécurité robustes. Voici les étapes clés pour renforcer la résilience des systèmes énergétiques.
1. Segmentation des réseaux (IT/OT)
La séparation stricte entre les réseaux informatiques et les réseaux industriels est fondamentale. Utilisez des pare-feux industriels et des systèmes de supervision (SCADA) sécurisés pour limiter la propagation d’une attaque.
2. Surveillance et détection proactive
La mise en place de solutions de détection et de réponse étendues (XDR) permet d’identifier les comportements anormaux. Des outils spécifiques aux environnements OT, comme les systèmes de détection d’intrusion pour réseaux industriels (IDS), sont essentiels.
3. Politiques de sauvegarde et de récupération robustes
Les wipers visent la destruction de données. Des sauvegardes régulières, hors ligne (air-gapped) ou dans un environnement immuable, sont cruciales. Testez régulièrement vos plans de restauration.
4. Formation et sensibilisation du personnel
Les employés sont souvent la première ligne de défense. Des formations régulières sur les menaces comme le phishing, qui peut être une porte d’entrée pour des malwares, sont indispensables. Des solutions comme 1Password bloque désormais les tentatives de phishing par IA, renforçant ainsi la sécurité des accès.
5. Mise en conformité avec les cadres réglementaires
Respecter des normes comme l’ISO 27001 ou les directives de l’ANSSI garantit une base solide. La future législation polonaise servira de cadre contraignant pour les opérateurs d’infrastructures critiques.
“La cybersécurité n’est plus une option, mais une condition sine qua non pour la souveraineté énergétique,” a souligné un expert en sécurité industrielle lors d’un récent forum sur les infrastructures critiques en Europe.
Conclusion : Une alerte pour l’Europe
L’attaque au DynoWiper contre le secteur électrique polonais, bien que non couronnée de succès, est un signal d’alarme clair pour toute l’Europe. Elle démontre que les acteurs étatiques comme Sandworm possèdent la capacité et la volonté de cibler directement les infrastructures vitales de pays membres de l’UE. La géopolitique et la cybersécurité sont désormais inextricablement liées.
La réponse polonaise, combinant une défense technique efficace et une nouvelle réglementation, offre un modèle pertinent. Pour les opérateurs d’infrastructures critiques, l’impératif est clair : investir dans une sécurité résiliente, former les équipes et adopter une posture proactive. L’expérience montre que la prévention est toujours moins coûteuse que la gestion d’une crise majeure.
La prochaine étape pour les organisations concernées est de réaliser un audit de sécurité complet de leurs systèmes IT et OT, en se concentrant sur la détection des malwares de type wiper et la robustesse de leurs plans de reprise après sinistre.