Imaginez un pays plongé dans le froid glacial de fin décembre, avec des températures négatives et des tempêtes de neige, quand soudain une attaque invisible menace de couper le chauffage pour des centaines de milliers de personnes. C’est exactement ce qui s’est produit en Pologne fin 2025 : une cyberattaque coordonnée visant des infrastructures énergétiques critiques. Des hackers liés à la Russie ont exploité des failles incroyablement basiques pour tenter de paralyser des parcs éoliens, solaires et une centrale de chauffage. Heureusement, aucun black-out n’a eu lieu, mais l’incident révèle une vulnérabilité alarmante… et ouvre un immense champ d’opportunités pour les startups spécialisées en cybersécurité.

Une Attaque qui Révèle les Failles des Infrastructures Modernes

Le 29 décembre 2025, alors que la Pologne affrontait un hiver rigoureux, des acteurs malveillants ont lancé une série d’attaques destructrices contre plus de trente sites énergétiques. Selon le rapport détaillé publié par le CERT Polska en janvier 2026, les cibles incluaient des fermes éoliennes et photovoltaïques, une entreprise manufacturière privée et une importante centrale combinée chaleur-électricité alimentant près de 500 000 habitants.

Les attaquants n’ont rencontré quasiment aucune résistance. Les systèmes compromis utilisaient des identifiants et mots de passe par défaut, sans aucune authentification multifacteur. Des appareils exposés sur Internet, comme des dispositifs FortiGate configurés en VPN, ont servi de porte d’entrée royale. Une fois à l’intérieur, ils ont déployé un malware wiper baptisé DynoWiper, capable d’effacer des données et de corrompre le firmware des équipements industriels.

Toutes les attaques étaient purement destructrices — par analogie avec le monde physique, elles peuvent être comparées à des actes d’incendie criminel délibérés.

Rapport CERT Polska, janvier 2026

Malgré ces efforts, l’impact fut limité : pas de coupure d’électricité ni de chauffage. Mais les systèmes de monitoring et de contrôle de nombreux parcs renouvelables ont été rendus inopérants, et certains équipements ont subi des dommages permanents. Cet événement pose une question cruciale : comment des infrastructures aussi stratégiques peuvent-elles rester si vulnérables en 2026 ?

Le Contexte Géopolitique : Pourquoi la Pologne ?

La Pologne est en première ligne face aux tensions avec la Russie, notamment depuis le conflit en Ukraine. Soutien majeur à Kyiv, Varsovie accueille des réfugiés, fournit des armes et accueille des troupes de l’OTAN. Cette position en fait une cible privilégiée pour des opérations hybrides : sabotages physiques, désinformation… et désormais cyberattaques contre des cibles civiles.

L’attaque de décembre 2025 s’inscrit dans cette logique de déstabilisation. Elle survient en période de grand froid, juste avant le Nouvel An, maximisant potentiellement les conséquences humaines. Même si elle a échoué, elle démontre une volonté de tester les défenses et d’envoyer un message clair.

Attribution : Le Débat entre Experts

Le CERT Polska pointe du doigt le groupe Berserk Bear (aussi appelé Dragonfly, Static Tundra ou Ghost Blizzard), lié au FSB russe (service de sécurité intérieure). Historiquement focalisé sur l’espionnage énergétique, ce groupe semble avoir franchi un cap vers des actions destructrices.

Pourtant, des entreprises comme ESET et Dragos attribuent l’attaque à Sandworm (lié au GRU, renseignement militaire), connu pour avoir plongé l’Ukraine dans le noir en 2015, 2016 et 2022. Cette divergence illustre la complexité de l’attribution en cybersécurité : infrastructures partagées, chevauchements d’outils… Mais tous s’accordent : il s’agit d’un acteur étatique russe.

Les Startups au Cœur de la Défense des Infrastructures Critiques

Face à ces menaces sophistiquées, les grandes entreprises et gouvernements ne suffisent plus. Les startups innovent à une vitesse inégalée, proposant des solutions adaptées aux environnements OT (technologie opérationnelle) et ICS (systèmes de contrôle industriel). Ces jeunes pousses combinent IA, segmentation réseau, détection comportementale et visibilité en temps réel pour combler les lacunes criantes révélées par l’incident polonais.

  • Spécialisation OT/ICS : Contrairement aux solutions IT classiques, elles comprennent les protocoles industriels (Modbus, DNP3, IEC 61850).
  • Rapidité d’innovation : Mises à jour fréquentes face à l’évolution rapide des menaces.
  • Approche cloud-native ou hybride : Permettant une scalabilité pour couvrir des milliers de sites distribués comme les fermes renouvelables.
  • Focus sur la détection précoce : Identifier les mouvements latéraux avant le déploiement de malware destructeur.

Voici quelques startups qui se distinguent dans ce domaine stratégique :

Dragos : Le Leader de la Visibilité OT

Dragos est souvent cité comme référence en cybersécurité industrielle. Leur plateforme collecte des données depuis les réseaux OT pour cartographier les actifs, détecter les anomalies et modéliser les menaces. Lors de l’attaque polonaise, Dragos a publié une analyse rapide, démontrant leur expertise. Leur approche « threat intelligence » intégrée aide les opérateurs à prioriser les risques.

En 2026, Dragos continue d’étendre ses capacités avec l’IA pour prédire les attaques sur les ressources énergétiques distribuées (DER), précisément le type de cibles touchées en Pologne.

Nozomi Networks : La Détection par Comportement

Nozomi excelle dans la surveillance passive des réseaux industriels. Leur solution Guardian identifie les comportements anormaux sans perturber les processus critiques. Face à des intrusions via des VPN mal sécurisés, comme en Pologne, Nozomi aurait pu alerter sur les connexions inhabituelles avant l’exécution du wiper.

La startup investit massivement dans l’IA pour réduire les faux positifs, un défi majeur dans les environnements OT où chaque alerte compte.

Claroty : La Protection des Appareils Exposés

Claroty s’est spécialisée dans la découverte et la sécurisation des actifs IoT/OT. Leur plateforme xDome protège les appareils connectés, souvent oubliés dans les grandes infrastructures. Dans le cas polonais, des dispositifs de communication exposés ont été compromis ; Claroty propose une segmentation automatique et une gestion des vulnérabilités ciblée.

En misant sur le cloud et l’automatisation, Claroty permet aux opérateurs de petites et moyennes fermes renouvelables de se protéger sans budgets colossaux.

Xage Security : Zero Trust pour l’OT

Xage applique les principes Zero Trust aux réseaux industriels. Leur solution élimine les comptes par défaut et impose une authentification forte, exactement ce qui manquait aux systèmes polonais. Grâce à une identité décentralisée et à la micro-segmentation, même si un appareil est compromis, le mouvement latéral devient quasi impossible.

Cette approche est particulièrement adaptée aux environnements distribués comme les parcs éoliens et solaires, où les sites sont nombreux et souvent distants.

Les Leçons à Retenir pour les Opérateurs Énergétiques

  • Désactiver immédiatement les accès par défaut et activer la MFA partout où c’est possible.
  • Segmenter les réseaux IT et OT pour limiter la propagation.
  • Surveiller activement les appareils exposés sur Internet (Shodan est votre ennemi).
  • Mettre en place une threat hunting proactive plutôt que réactive.
  • Investir dans des solutions OT-spécifiques plutôt que des outils IT généralistes.
  • Former les équipes à reconnaître les signes d’une attaque hybride.

Ces mesures simples auraient probablement bloqué l’attaque avant qu’elle ne cause des dommages.

L’Avenir : Vers une Cybersécurité Énergétique Collaborative

L’incident polonais marque un tournant. Les ressources énergétiques distribuées (DER) se multiplient avec la transition verte : plus de sites, plus de connexions, plus de surfaces d’attaque. Les États et régulateurs (comme la CISA aux États-Unis) appellent à renforcer les standards de sécurité pour ces infrastructures.

Les startups jouent un rôle central dans cette évolution. Elles proposent des solutions abordables, rapides à déployer et adaptées aux réalités des petits opérateurs renouvelables. En parallèle, des partenariats public-privé émergent : partage de threat intelligence, exercices conjoints, subventions pour l’adoption de technologies innovantes.

En Europe, des initiatives comme le NIS2 Directive poussent les opérateurs critiques à hausser leur niveau de protection. Les startups qui sauront combiner conformité réglementaire et innovation technique seront les grandes gagnantes de cette course contre les menaces étatiques.

Conclusion : Une Opportunité pour l’Innovation

L’attaque de décembre 2025 en Pologne est un avertissement sévère, mais aussi un catalyseur. Elle démontre que même les États les plus avancés peuvent être vulnérables face à des erreurs basiques. Dans le même temps, elle met en lumière le rôle crucial des startups en cybersécurité industrielle.

Dragos, Nozomi, Claroty, Xage et bien d’autres construisent les défenses de demain. Elles transforment une menace géopolitique en opportunité d’innovation, protégeant non seulement des infrastructures, mais aussi des vies humaines. Dans un monde où l’énergie est à la fois vitale et numérique, ces jeunes entreprises ne sont plus une option : elles sont une nécessité.

Alors que les tensions internationales persistent, une chose est sûre : la cybersécurité énergétique ne sera plus jamais la même. Et les startups seront en première ligne pour relever ce défi majeur du XXIe siècle.

avatar d’auteur/autrice
Steven Soarez
Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.
Voir la biographie complète

Tags:

, , , ,