Le 29 avril 2026 – Cato Networks, fournisseur de la principale plateforme de sécurité réseau pour l’ère de l’IA, annonce que ses chercheurs en threat intelligence ont identifié une campagne mondiale d’activité suspecte ciblant des automates industriels (PLC) exposés sur Internet via le protocole Modbus/TCP. Observée entre septembre et novembre 2025, cette activité a concerné 14 426 adresses IP distinctes dans 70 pays, avec une forte concentration aux États-Unis, en France et au Japon, qui représentent à eux seuls 61 % des adresses IP ciblées. La France se positionne à la deuxième place des pays les plus touchés par la campagne.
Cette campagne combine des opérations de reconnaissance automatisées à grande échelle et des comportements plus ciblés suggérant des tentatives de profilage avancé, de perturbation et, dans certains cas, de manipulation directe des systèmes industriels. Certains flux proviennent d’infrastructures géolocalisées en Chine, sans que cela ne constitue une attribution formelle.
Les chercheurs ont observé plus de 235 000 requêtes de lecture de registres, traduisant une activité de reconnaissance massive, ainsi que des tentatives de déni de service via des requêtes volumineuses envoyées à haute fréquence. Ils ont également identifié plus
de 3 200 requêtes d’écriture provenant d’une seule source, susceptibles de modifier directement le comportement des systèmes industriels.
Les organisations ciblées couvrent de nombreux secteurs, avec une prédominance du secteur manufacturier (18 %), mais aussi la santé, la construction, les transports et les collectivités locales, ce qui suggère une approche opportuniste basée sur l’exposition des systèmes.
Le protocole Modbus, conçu pour des environnements industriels de confiance, n’est pas adapté à une exposition sur Internet. Lorsqu’un PLC est accessible publiquement, un attaquant peut identifier l’équipement, lire ses données et, dans certains cas, en modifier les paramètres, avec un impact potentiel sur les processus industriels.
Face à ces observations, Cato Networks recommande de ne pas exposer les services Modbus sur Internet, de segmenter les environnements IT et OT, de restreindre strictement les accès et de bloquer par défaut les requêtes d’écriture non sollicitées.
Plus d’informations disponibles dans l’article de blog dédié.
À propos de Cato Networks
Cato Networks, leader du SASE et de la sécurité de l’IA, fournit un accès sécurisé zero trust partout à des milliers de clients dans le monde. Conçue pour les organisations opérant dans tous les environnements cloud et hybrides, la plateforme Cato SASE unifie les réseaux, la sécurité et les accès, en les proposant sous forme de capacités élastiques et modulaires que les organisations peuvent adopter facilement et faire évoluer au fil du temps. Cato Networks associe le Cato Cloud, un réseau mondial conçu à cet effet, à une expérience opérationnelle simplifiée, le tout au sein d’une plateforme robuste pilotée par l’IA. Avec Cato, les organisations modernisent en toute confiance, gagnent en résilience et innovent plus rapidement, sans complexité ni risques supplémentaires. Vous souhaitez découvrir pourquoi des milliers d’organisations sécurisent leur avenir avec Cato ? Rendez-vous sur www.catonetworks.com.