Le 29 décembre 2025, une série d’attaques coordonnées a frappé plusieurs acteurs en Pologne. Plus de 30 parcs éoliens et photovoltaïques, une grande centrale de cogénération chaleur-électricité, et une entreprise industrielle ont été touchés. Ici pas de volonté d’espionnage ni d’extorsion, mais de la destruction pure. Dans un pays confronté à des températures basses et des intempéries à l’approche du Nouvel An, l’objectif était de créer de la fragilité opérationnelle, et faire peser un risque sur l’approvisionnement, notamment en chaleur.
Contrairement à ce que laisse parfois entendre l’expression “réseau électrique mis à mal”, l’attaque n’a pas provoqué de black-out national. Sur les sites renouvelables, l’effet le plus net a été la perte de communication entre les installations et les opérateurs de distribution, ce qui a empêché certaines actions de supervision et de pilotage à distance. La production d’électricité, elle, a continué.
Mais c’est précisément ce détail qui doit inquiéter. L’attaque a montré qu’un adversaire peut priver des actifs énergétiques de leurs “yeux et mains” numériques, au moment où le système a besoin de réactivité, sans forcément couper physiquement le courant tout de suite.
Le mécanisme côté parcs éoliens et solaires
Dans son analyse, CERT Polska précise que le point d’entrée concerne des équipements FortiGate servant de concentrateur VPN et de pare-feu, avec une interface VPN exposée sur Internet et sans authentification multifacteur.
Une fois l’accès obtenu, l’attaque a visé le poste de transformation et le point de raccordement au réseau, souvent télé-gérés et non surveillés physiquement en continu. Les attaquants ont ensuite endommagé des équipements industriels clés qui assurent la téléconduite et la remontée d’informations (automates, RTU, etc.), jusqu’à casser la communication avec l’opérateur.
Ce sabotage (on peut même parler de vandalisme technique) a consisté à pousser un firmware volontairement corrompu sur certains contrôleurs, afin de les faire redémarrer en boucle et les rendre inutilisables.
Le volet “chaleur” qui aurait pu être beaucoup plus grave
Sur la centrale de cogénération, l’ambition était encore plus nette, à savoir déployer un malware de type “wiper”, c’est-à-dire un logiciel conçu pour rendre des données et des machines inutilisables, donc à l’arrêt. Là, l’attaque a été précédée par une infiltration de long terme et des mouvements latéraux facilités par des accès à privilèges.
Ce qui a fait la différence, c’est la détection et le blocage au bon moment. L’outil de détection EDR a, en effet, stoppé l’exécution du wiper grâce à un mécanisme de type “canary” (des fichiers pièges qui déclenchent une alerte dès qu’une écriture massive commence). Résultat, l’écrasement de données a été interrompu sur plus de 100 machines déjà touchées, et une seconde tentative le même jour a aussi échoué.
D’où venait la menace ?
Sur l’attribution, CERT Polska indique que l’infrastructure et certains recoupements renvoient à un cluster connu sous plusieurs noms selon les éditeurs, dont “Static Tundra” (Cisco Talos), “Berserk Bear” (CrowdStrike), “Ghost Blizzard” (Microsoft) ou “Dragonfly” (Symantec). Le rapport évoque aussi des similarités partielles avec des outils wiper associés à “Sandworm”, mais sans pouvoir conclure formellement à une implication directe de ce second cluster.
En résumé, il ne s’agit pas d’un “gamin dans un garage”, mais d’un acteur structuré, habitué aux environnements critiques et aux équipements industriels.
Pourquoi cela concerne directement la France
Plus le mix énergétique se distribue, plus la surface d’attaque s’étend. Classique. Des centaines ou milliers de sites, parfois isolés, télé-administrés, opérés par une chaîne de sous-traitance, avec des accès distants “pour la maintenance”. C’est exactement le terrain décrit par l’incident polonais.
Or la France vient de remettre en avant une trajectoire de renforcement du mix décarboné et de l’électrification via la PPE 3, avec un rôle clef des renouvelables et une relance d’investissements, notamment sur l’hydroélectricité (dont les STEP) et la poursuite de trajectoires sur l’éolien, en mer comme à terre.
Le risque réaliste, c’est une série d’incidents localisés mais simultanés avec une perte de supervision, l’indisponibilité d’équipements OT, une restauration lente (parce que des firewalls ont été réinitialisés), et des tensions opérationnelles au pire moment, par exemple en hiver pendant un pic de consommation ou un épisode météo.
Ce que l’attaque polonaise enseigne concrètement aux opérateurs français
Première leçon à retenir. Un VPN exposé sans MFA, des comptes partagés entre sites, des mots de passe réutilisés, des identifiants par défaut sur des équipements industriels, et l’attaquant gagne du temps, puis automatise la casse.
Deuxièmement. La segmentation qui empêche de rebondir du site vers le cœur réseau change la donne. Certains choix d’architecture réduisent la probabilité qu’une compromission locale devienne une attaque directe contre le réseau de l’opérateur de distribution.
Enfin, la capacité d’arrêt d’urgence côté IT compte autant que la prévention OT. Dans la centrale de cogénération, ce n’est pas un patch miracle qui a sauvé la situation, c’est la détection et le blocage du wiper au runtime.
La menace qui plane, et la bonne question à se poser
Les cybercriminels, et plus encore les acteurs étatiques ou para-étatiques, sont capables de s’attaquer à tout, y compris aux opérateurs d’énergie. L’épisode polonais rappelle que l’énergie n’est pas seulement une industrie, c’est un levier de pression sur une société entière, surtout en plein hiver.
La question, côté français, est de savoir si chaque nouveau MW raccordé s’accompagne d’un durcissement systématique des accès distants, de l’identité des machines et des humains, et d’une capacité éprouvée à reconstruire vite après sabotage. Sinon, la transition énergétique gagne en puissance… et en points faibles.
