Fabricant d'équipements industriels connectés — audit d'intrusion SI, OT, hardware et physique

« On voulait savoir ce qui se passerait si quelqu'un essayait vraiment. Hexceos a essayé vraiment — on a réécrit notre roadmap sécurité après leur rapport. »

Contexte

Une ETI industrielle française de 180 collaborateurs, fabricant d’équipements de mesure et de capteurs connectés (IoT industriel) déployés dans les usines de plus de 300 clients européens. Le SI couvre un siège, une usine de production, un département R&D matériel, et un parc de produits embarqués vendus à des industriels eux-mêmes parfois opérateurs de services essentiels.

Trois déclencheurs simultanés — la directive NIS2 (entité importante au sens du décret de transposition), une demande client retail européen exigeant un audit d’intrusion indépendant en pré-contractuel, et l’inquiétude du RSSI sur des pratiques de développement firmware historiquement non auditées (interfaces de debug parfois laissées actives en production).

Périmètre confié

L’audit, mené sur 8 semaines par une équipe Hexceos de 4 consultants, a couvert quatre périmètres distincts. Chaque périmètre a fait l’objet d’un rapport autonome et d’une synthèse exécutive consolidée.

1. SI bureautique et infrastructure

• Pentest externe boîte noire sur les services exposés (messagerie, VPN, portails clients, applicatifs partenaires).
• Pentest interne post-compromission simulée depuis un poste utilisateur standard.
• Audit Active Directory complet — chemins de privilèges (Bloodhound), comptes de service, mots de passe faibles, GPO sensibles.
• Audit de la configuration cloud (AWS sur la R&D, Microsoft 365 sur le siège, supervision OT déportée).

2. Réseau OT et ligne de production

• Cartographie passive des protocoles industriels présents (Modbus, OPC-UA, PROFINET, MQTT sur certains capteurs).
• Pentest des passerelles IT/OT et des serveurs SCADA.
• Audit de la segmentation entre réseau bureautique, réseau de supervision et réseau de commande.
• Test de propagation contrôlée d’un ransomware simulé, depuis le bureautique vers la ligne de production, avec capacité d’arrêt immédiat.

3. Hardware des produits commercialisés

• Analyse de la chaîne d’approvisionnement matérielle (composants critiques, fournisseurs tiers, supply chain firmware).
• Reverse engineering du firmware sur 4 modèles de capteurs représentatifs du catalogue.
• Exploitation des interfaces de debug exposées (UART, JTAG, SWD) sur les cartes électroniques.
• Audit cryptographique des communications produits (présence de certificats hardcodés, clés statiques, faiblesse des protocoles de mise à jour).
• Fuzzing des protocoles propriétaires de configuration.

4. Sécurité physique des sites

• Tentatives d’accès non autorisé sur le siège et l’usine de production (test red team physique sur deux jours par site).
• Tests de manipulation de badges, tailgating, social engineering en réception et zones de livraison.
• Branchement d’implants matériels sur les prises réseau OT non surveillées (test de mise en place uniquement, sans exfiltration réelle).
• Audit des contrôles d’accès (caméras, alarmes, présence humaine, procédures visiteurs).

Résultats

• 23 vulnérabilités critiques identifiées au total, dont 7 sur la production, 9 sur les produits commercialisés et 7 sur le SI bureautique.
• 4 CVE attribuées publiquement sur les produits embarqués après procédure de divulgation responsable coordonnée (90 jours de suspension de communication pour permettre la publication des correctifs avant disclosure).
• Compromission complète de l’infrastructure Active Directory en 6 jours à partir d’un poste utilisateur simulé non privilégié.
• Bascule vers le réseau OT réussie en 2 jours supplémentaires après la compromission bureautique — défaut critique de segmentation entre les deux réseaux.
• Extraction de clés cryptographiques privées depuis 2 modèles de capteurs via les interfaces de debug laissées actives en production.
• 2 accès physiques réussis sur 2 sites testés, sans déclenchement d’alarme dans les 30 premières minutes après franchissement de la zone protégée.

Plan de remédiation et suivi à 6 mois

Plan de remédiation chiffré, priorisé et opposable livré en semaine 9 — 47 actions (12 critiques, 19 majeures, 16 mineures). Suivi mensuel en comité opérationnel mixte (client + Hexceos) sur six mois.

• Score CVSS moyen des vulnérabilités critiques réduit de 86% après la phase de remédiation (mesure à six mois).
• Segmentation IT/OT repensée avec data diode sur les flux supervision sortants et zone DMZ industrielle.
• Re-design firmware sur 3 modèles de produits — désactivation des interfaces de debug en production, signature cryptographique des mises à jour, rotation des clés.
• Politique de divulgation responsable publiée à l’attention des chercheurs en sécurité tiers (création d’un programme de bug bounty fermé en parallèle).
• Contrôles d’accès physiques durcis sur les deux sites — sas, badge multi-facteurs sur zones sensibles, formation accueil renforcée.

Ce que ça a changé

L’appel d’offres déclencheur a été remporté grâce au rapport d’audit indépendant qui a rassuré le client retail. La direction industrielle a sanctuarisé un budget cybersécurité produit sur trois ans (poste auparavant inexistant en R&D), et un ingénieur sécurité produit a été recruté en interne pour porter la suite des travaux.

Le RSSI a obtenu son audit annuel ainsi que la levée formelle de ses réserves sur la chaîne de développement firmware. La conformité NIS2 — qui était en alerte rouge avant l’audit — a été restaurée en trois mois post-livraison du plan d’action.

Cas représentatif anonymisé à la demande du client. Les chiffres présentés correspondent à des mesures réelles sur un client unique entre 2025 et 2026.