Cybersécurité : une nécessité pour faire face aux attaques et garantir la fourniture en énergie
Eclairage signé EnergyStream, le blog des consultants Wavestone
Le secteur de l’énergie est composé d’infrastructures considérées comme vitales et assure des services essentiels pour un pays. Le secteur, marqué par une digitalisation croissante, est sans conteste une cible privilégiée des cyber-attaquants avec des conséquences qui peuvent toucher par rebond la quasi-totalité des infrastructures et services de notre société. Si l’approvisionnement en électricité était interrompu durant plusieurs jours, d’autres services tels que le transport, la santé, les communications, ne pourraient assurer leurs fonctions.
Un secteur en pleine transformation
Le secteur de l’énergie amorce une transition énergétique avec l’arrivée des énergies renouvelables. Elle s’appuie également sur de nouvelles façons de gérer l’équilibrage du réseau, essentiel au secteur et qui devient de plus en plus complexe.
À chaque instant, la quantité d’électricité injectée sur le réseau doit être égale à la quantité d’électricité soutirée. Cette transformation induit une augmentation du besoin de flexibilité pour assurer la sécurité de l’approvisionnement et des investissements importants sur le réseau. C’est l’objectif de concepts comme les Smart Grids qui rendent possible le pilotage de la consommation d’énergie et son optimisation pour le consommateur.
Pour répondre à cette transformation métier, l’industrie énergétique est en pleine transformation numérique qui bouleverse les modes de production, de transformation, de stockage, de transport et de consommation de l’énergie. Les technologies de l’information et de la communication ont permis d’optimiser la chaîne d’approvisionnement dans son ensemble.
Ainsi, on remarque le déploiement d’un grand nombre de dispositifs de l’internet industriel des objets (IIOT), avec une connectivité plus importante. Cette transition a déclenché une explosion sans précédent des données. Les entreprises du secteur de l’énergie doivent maintenant être plus agiles dans leurs décisions en exploitant efficacement ces données.
Une telle transformation expose l’industrie énergétique à des risques cyber accrus. Cette situation oblige à faire de la cybersécurité une priorité du secteur de l’énergie.
Prenons un exemple concret: pilotés à distance, les éoliennes et les panneaux solaires sont par nature des objets connectés. Ils doivent être accessible à distance et par conséquent sécurisés. Seulement, ces nouveaux projets ne prennent pas systématiquement en compte dès la phase de conceptions l’ensemble des contraintes cybersécurité et des solutions techniques associées (protocoles sécurisés, des technologies d’accès appropriés…)
Un secteur de plus en plus visé
Faisons un peu «d’archéologie» de la cybersécurité lié au secteur: la découverte de Stuxnet en 2010 a créé une onde de choc au sein de l’industrie énergétique. Cette attaque a servi de projecteur sur des vulnérabilités inconnues.
En décembre 2016, une partie des habitants de Kiev et de sa périphérie a été privée d’électricité pendant environ 1 heure dû à la déconnexion de la sous station du réseau de transport électrique de Pivnichna. L’attaque a commencé dans le cadre d’une campagne de phishing massive survenue en juillet de la même année, qui a exploité une vulnérabilité de Windows XP. La panne a été causée par la commutation à distance des disjoncteurs de manière à couper l’alimentation.
Depuis plus une année sans évènement cyber. Un autre exemple: Les énergies renouvelables sont des nouvelles cibles pour les cyberattaquants. En 2019, dans l’Utah aux Etats-Unis, un réseau éolien et solaire a subi des pertes de connexion pendant 12 heures avec le centre de contrôle de l’entreprise, ce qui a provoqué des pannes d’électricité dans les foyers aux environs. Les cyberattaquants ont exploité une vulnérabilité connue sur des pare-feu non patchés provoquant un déni de service des équipements.
En 2021, les dirigeants de Colonial Pipeline, qui relie les raffineries à travers tous les Etats-Unis, ont décidé de bloquer toutes leurs opérations de distribution suite à la propagation d’un ransomware. L’entreprise a déclaré avoir payé 4,4 millions de dollars de rançon pour que les hackeurs fournissent un outil informatique permettant de rétablir leur activité [1] .
Le secteur de l’énergie est un des secteurs les plus visés. Selon le rapport X-Force Threat Intelligence Index 2022[2] , en 2021, le secteur de l’énergie s’est classé comme le quatrième secteur le plus touché, avec 8,2% des attaques observées, derrière l’industrie manufacturière, le secteur de la finance et le secteur des services professionnels.
En 2021, les ransomwares ont été le type d’attaques le plus courant contre les organisations énergétiques avec 25% des attaques. Les entreprises pétrolières et gazières sont particulièrement touchées par ce phénomène. Les attaques de cheval de Troie (RAT), de DDoS et d’usurpation d’identité en entreprise (BEC) sont aussi fortement recensées avec 17% des attaques chacune.
Alors que les cyberattaques ont dans le cas le plus fréquent une visée lucrative et d’espionnage, l’industrie énergétique est aussi confrontée à des intentions de sabotage, parfois pour des raisons géopolitiques. Certains hacktivistes peuvent également représenter une menace en s’attaquant aux infrastructures critiques. L’actualité récente de déstabilisation majeures géopolitique en cours renforce ces risques.
Le secteur de l’énergie possède des infrastructures de biens essentielles. Dans un monde de plus en plus interdépendant, toute perturbation, même initialement limitée à une entité ou une zone géographique, peut produire des effets en cascade plus large comme présenté ci-dessous:
Chaine d’Impact-Wavestone
Afin de lutter efficacement contre ces nouvelles menaces, les états et l’Union Européenne ont adopté des règlementations contraignantes pour assurer un niveau de cybersécurité renforcé sur les installations les plus critiques
Quel rôle pour la règlementation cybersécurité ?
En France, l’autorité compétente en matière de cybersécurité est l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Pour répondre à l’accroissement des menaces, la stratégie de défense s’articule autour de la loi de programmation militaire depuis 2013 (LPM) afin de sécuriser les Opérateurs d’Importance Vitale (OIV). L’ANSSI insiste principalement sur des procédures d’homologation, de contrôle et de maintien en condition de sécurité des Systèmes d’Informations d’Importance Vitale (SIIV).
Au niveau européen, la volonté est aussi de protéger les organisations sensibles que sont les opérateurs de services essentiels (OSE) du secteur de l’énergie. Le point de référence pour la cybersécurité est actuellement la directive Network and Information System Security (Directive NIS).
Elle a pour objectifs premiers d’accroître la coopération entre les Etats membres de l’UE, en facilitant l’échange d’informations stratégiques et opérationnelles, et d’améliorer la cyber-résilience des entités publiques et privées des secteurs essentielles tel que l’énergie. Ici, pour l’énergie, l’ENISA souhaite se prémunir des menaces de grandes envergures avec des réseaux de plus en plus transfrontaliers et interdépendants.
La complexité se trouve maintenant dans l’application opérationnelle de certaines mesures dans des milieux industriels où les équipements et moyens de production sont prévus pour durer plusieurs dizaines d’années. Ainsi, modifier les processus opérationnels d’exploitation et/ou les équipements pour y intégrer plus de cybersécurité est un réel défi. Les impacts de cette transition sont importants aussi bien en terme financier qu’en terme de modification des façons de travailler.
Cela rend d’autant plus le partage entre les acteurs de l’énergie primordial pour trouver des solutions pragmatiques et adaptées: architecture réseaux adaptés, solutions techniques compatibles avec le monde industriels, processus de gestion des vulnérabilités et mises à jour construites avec les équipes opérationnelles par exemple.
Compte tenu de la criticité des infrastructures, celles-ci sont des cibles de 1er plan. Il est primordial que les acteurs métiers et cybersécurité du secteur de l’énergie communiquent sur les bonnes pratiques de cybersécurité, tirent les enseignements des précédentes attaques et contribuent à faire évoluer le niveau de protection global.
——————–
Références:
[2] X-Force Threat Intelligence Index 2022, IBM SecurityX-Force Threat Intelligence Index 2022 (ibm.com)