DELMIA Apriso : Quand un logiciel pilote toute une chaîne de production, la moindre faille devient une porte d’entrée vers le chaos. C’est exactement ce qui se passe avec DELMIA Apriso, le logiciel de fabrication de Dassault Systèmes, aujourd’hui au cœur d’une alerte de la CISA. Trois vulnérabilités critiques – dont certaines déjà exploitées activement – permettent à des attaquants de prendre le contrôle des systèmes industriels, d’exécuter du code arbitraire et d’obtenir des privilèges administrateur. Autrement dit : un ticket d’entrée direct dans la salle des machines.
Les failles CVE-2025-5086, CVE-2025-6204 et CVE-2025-6205 touchent les versions de DELMIA Apriso de 2020 à 2025, et exposent les entreprises manufacturières à des risques majeurs : sabotage, espionnage industriel et arrêt de production.
Et pendant que certains rêvent encore d’« usines 4.0 », d’autres patchent en urgence leurs serveurs SOAP pour éviter de finir en usine 0.0.
🏭 Contexte — DELMIA Apriso : le cerveau (fragile) de l’usine
DELMIA Apriso, c’est l’un de ces logiciels MES/MOM qui savent tout de votre chaîne de production : qui fait quoi, sur quelle machine, avec quelle pièce, et à quel moment. Autrement dit, c’est la télécommande d’une usine — et comme toute télécommande, si un inconnu appuie sur les mauvais boutons, la machine fait un breakdance imprévu. Les dernières alertes montrent que plusieurs vulnérabilités critiques touchant DELMIA (releases 2020→2025) ont été corrigées par Dassault, mais — surprise — elles sont déjà exploitées en production. Dassault Systèmes
🔓 Quelles failles ? Résumé technique (sans baratin)
Trois dossiers se démarquent :
- CVE-2025-5086 — désérialisation d’objets non fiables → RCE (score ~9.0). Cette vulnérabilité permet d’envoyer un payload sérialisé malveillant via un endpoint et d’exécuter du code à distance. Dassault Systèmes
- CVE-2025-6204 — code injection (improper control of code generation) → exécution arbitraire. Patch publié début août. Dassault Systèmes
- CVE-2025-6205 — missing authorization → création/élévation de comptes privilégiés sans checks. Patch publié début août. Dassault Systèmes
La combinaison est ce qui fait peur : missing-auth (6205) pour obtenir un compte privilégié, puis code-injection (6204) pour déposer et lancer du code. Si tu trouves cette stratégie « créative », attends de voir les conséquences. CISA
🧨 Exploitation en cours — comment ça se passe “in the wild”
Les agences (CISA en tête) ont ajouté CVE-6204/6205 à leur catalogue Known Exploited Vulnerabilities parce qu’elles ont vu des attaques réelles — pas des PoC gentilles sur GitHub, mais des intrusions ciblées. Pour CVE-5086, des équipes de sécurité ont observé des tentatives d’exploitation via endpoints SOAP avec payloads sérialisés malveillants. En clair : des machines industrielles converties en chevaux de Troie pour attaquer des usines. CISA
⚠️ Risque concret pour l’industriel — spoiler : c’est cher
Ce n’est pas de la théorie universitaire — c’est :
- Production altérée : modification de paramètres de process, non-conformité des lots, pertes de traçabilité.
- Arrêt de chaîne : sécurité physiques ou automates rendus inopérants, arrêt d’usine.
- Espionnage & exfiltration : plans, recettes, listes fournisseurs.
- Persistance & latéralité : web-shells, backdoors, pivot vers ERP/PLM/OT.
Conséquence pratique : coût direct (réparations, pertes production), coût réglementaire (alerte clients, audits), et réputationnel (bon courage pour expliquer ça en comité). govinfosecurity.com
🛡️ Recommandations opérationnelles — checklist actionnable (immédiat)
Oui, tu peux faire mieux que prier.
Patch & vérif
- Applique immédiatement les patches officiels fournis par Dassault (CVE pages & KB). Si tu as des environnements en production, priorise les segments exposés. Dassault Systèmes
Si tu ne peux pas patch tout de suite
- Ferme l’exposition réseau : bloque les endpoints SOAP/API depuis l’extérieur, limite l’accès au réseau management.
- Ajoute une règle WAF/IDS pour détecter patterns SOAP/Invoke suspect.
- Forcer la rotation des comptes administrateurs et invalider tokens/sessions potentiellement compromis.
Détection & hunt
- Rechercher : création de comptes inattendues, uploads/exécutables nouveaux dans répertoires web, requêtes SOAP inhabituelles (volumes / méthodes “Invoke”), connexions hors horaires.
- Activer audit/logging applicatif, centraliser les logs et faire corrélation avec SIEM. SecurityWeek
Segmentation IT/OT
- Si ce n’est pas déjà fait, isole MES/MOM dans un VLAN OT strictement contrôlé. Empêche le mouvement latéral vers ERP/AD/PLM. (Oui, on sait que c’est pénible et que ça coûte — mais payer une intégrité, ça coûte moins qu’un arrêt de ligne.)
Plan & exercice
- Intégrer ce scénario (MES compromis) dans ton plan de réponse à incident. Simule l’impact production + supply chain + clients.
🧾 Pour les décideurs — message clair et sans langue de bois
Produits industriels = points d’impact majeurs. Avoir un MES vulnérable, c’est comme confier la centrale électrique à un stagiaire qui a trouvé StackOverflow — un risque opérationnel qui doit être budgété et gouverné, pas patché en mode panique. La CISA l’a d’ailleurs classé KEV : deadlines et pression réglementaire sont réelles.
✍️ Conclusion — en deux phrases (et sans bisou)
Les vulnérabilités DELMIA ne sont pas un mauvais rêve de pentesteur : elles sont exploitées, elles permettent RCE et élévation de privilèges, et elles peuvent transformer une usine en gros post-it « à réparer en urgence ». Patch, segmente, hunt, et cesse d’attendre le jour où tu diras « on ne savait pas ». Sources principales citées ci-dessous.
Sources clés : Dassault Systèmes Security Advisories; CISA KEV alert; SecurityWeek; The Hacker News; NVD. Dassault Systèmes
