Attaque par rançongiciel Lynx contre Electrica Group

Le 9 décembre 2024, Electrica Group — l'une des plus grandes entreprises roumaines de distribution et de fourniture d'électricité, desservant plus de 3,8 millions d'utilisateurs en Munténie et en Transylvanie — a révélé être la cible d'une attaque par rançongiciel en cours. La Direction nationale de la cybersécurité (DNSC) de Roumanie a ensuite attribué l'intrusion au gang de rançongiciels Lynx, ce qui en fait l'une des attaques les plus médiatisées contre le secteur électrique du pays.

Ce qui s'est passé

Electrica a annoncé le 9 décembre 2024 qu'elle faisait face à une cyberattaque et a immédiatement mis en œuvre des mesures de protection, isolant délibérément des parties de son infrastructure. Ces arrêts défensifs ont provoqué une perturbation temporaire des services clients — centres d'appels, portails en ligne et interactions clients — plutôt que des dommages dus au logiciel malveillant lui-même.

Élément crucial, le ministre roumain de l'Énergie Sebastian Burduja a confirmé que les systèmes SCADA et autres infrastructures critiques de contrôle du réseau étaient isolés et non affectés, de sorte que la fourniture et la distribution d'électricité se sont poursuivies normalement. La DNSC a identifié l'opération de rançongiciel Lynx, un groupe dont le chiffreur serait basé sur le code source divulgué d'INC Ransom et qui a revendiqué des victimes dans les secteurs de l'énergie, du pétrole et du gaz.

Impact

• Les services clients ont été temporairement perturbés à mesure que les systèmes étaient isolés par protection.
• La technologie opérationnelle critique (SCADA) et le réseau électrique n'ont pas été affectés ; la fourniture et le comptage ont continué.
• L'entreprise dessert 3,8 millions d'utilisateurs, de sorte que le périmètre d'impact potentiel était très vaste même si les opérations du réseau ont été préservées.
• Electrica, société cotée, a publiquement rassuré clients et investisseurs sur l'absence de compromission de tout service critique.

Réponse

Electrica a travaillé avec la DNSC, les autorités nationales et des spécialistes externes pour enquêter et se rétablir. L'entreprise a souligné que la séparation entre l'informatique de gestion et la technologie opérationnelle avait empêché le rançongiciel d'atteindre les systèmes de contrôle du réseau — la même leçon de segmentation OT observée dans d'autres incidents du secteur énergétique. Aucun paiement de rançon n'a été confirmé publiquement.

Pourquoi c'est important

Survenant en parallèle d'une vague plus large d'attaques contre des institutions roumaines fin 2024 (dont une élection présidentielle annulée entachée de préoccupations cyber), l'incident Electrica a souligné que les fournisseurs d'électricité sont des cibles privilégiées des rançongiciels et que la défense des infrastructures nationales critiques dépend d'une séparation rigoureuse IT/OT. Il a renforcé la valeur de l'isolement proactif — accepter une interruption du service client pour protéger la stabilité du réseau — et a ajouté de l'urgence à la mise en œuvre par la Roumanie de la directive NIS2 pour les opérateurs de services essentiels.