Secteur de l’énergie : une obligation de cybersécurité face aux attaques pour garantir la fourniture de services essentiels
Par Loïc LEBAIN, Arthur BERNARDEAU et Manon NAITMAZI, consultants de Wavestone
Le secteur de l’énergie est composé d’infrastructures considérées comme vitales et assure des services essentiels pour un pays. Le secteur, marqué par une digitalisation croissante, est sans conteste une cible privilégiée des cyberattaquants avec des conséquences qui peuvent toucher par rebond la quasi-totalité des infrastructures et services de notre société. Si l’approvisionnement en électricité était interrompu durant plusieurs jours, d’autres services tels que le transport, la santé, les communications, ne pourraient assurer leurs fonctions.
Un secteur en pleine transformation
Le secteur de l’énergie amorce une transition énergétique avec l’arrivée des énergies renouvelables. Elle s’appuie également sur de nouvelle façon de gérer l’équilibrage du réseau, essentiel au secteur et qui devient de plus en plus complexe. A chaque instant, la quantité d’électricité injectée sur le réseau doit être égale à la quantité d’électricité soutirée. Cette transformation induit une augmentation du besoin de flexibilité pour assurer la sécurité de l’approvisionnement et des investissements importants sur le réseau. C’est l’objectif de concepts comme les Smart Grids qui rendent possible le pilotage de la consommation d’énergie et son optimisation pour le consommateur.
Pour répondre à cette transformation métier, l’industrie énergétique est en pleine transformation numérique qui bouleverse les modes de production, de transformation, de stockage, de transport et de consommation de l’énergie. Les technologies de l’information et de la communication ont permis d’optimiser la chaîne d’approvisionnement dans son ensemble.
Ainsi, on remarque le déploiement d’un grand nombre de dispositifs de l’internet industriel des objets (IIOT), avec une connectivité plus importante. Cette transition a déclenché une explosion sans précédent des données. Les entreprises du secteur de l’énergie doivent maintenant être plus agiles dans leurs décisions en exploitant efficacement ces données.
Une telle transformation expose l’industrie énergétique à des risques cyber accrus. Cette situation oblige à faire de la cybersécurité une priorité du secteur de l’énergie.
Prenons un exemple concret : pilotés à distance, les éoliennes et les panneaux solaires sont par nature des objets connectés. Ils doivent être accessibles à distance et par conséquent sécurisés. Seulement, ces nouveaux projets ne prennent pas systématiquement en compte dès la phase de conceptions l’ensemble des contraintes cybersécurité et des solutions techniques associées (protocoles sécurisés, des technologies d’accès appropriés…).
Un secteur de plus en plus visé
Faisons un peu « d’archéologie » de la cybersécurité liée au secteur : la découverte de Stuxnet en 2010 a créé une onde de choc au sein de l’industrie énergétique. Cette attaque a servi de projecteur sur des vulnérabilités inconnues.
En décembre 2016, une partie des habitants de Kiev et de sa périphérie a été privée d’électricité pendant environ 1 heure dû à la déconnexion de la sous station du réseau de transport électrique de Pivnichna. L’attaque a commencé dans le cadre d’une campagne de phishing massive survenue en juillet de la même année, qui a exploité une vulnérabilité de Windows XP. La panne a été causée par la commutation à distance des disjoncteurs de manière à couper l’alimentation.
Depuis plus une année sans évènement cyber. Un autre exemple : Les énergies renouvelables sont des nouvelles cibles pour les cyberattaquants. En 2019, dans l’Utah aux Etats-Unis, un réseau éolien et solaire a subi des pertes de connexion pendant 12 heures avec le centre de contrôle de l’entreprise, ce qui a provoqué des pannes d’électricité dans les foyers aux environs. Les cyberattaquants ont exploité une vulnérabilité connue sur des pare-feu non patchés provoquant un déni de service des équipements.
En 2021, les dirigeants de Colonial Pipeline, qui relie les raffineries à travers tous les Etats-Unis, ont décidé de bloquer toutes leurs opérations de distribution suite à la propagation d’un ransomware. L’entreprise a déclaré avoir payé 4,4 millions de dollars de rançon pour que les hackeurs fournissent un outil informatique permettant de rétablir leur activité [1].
Le secteur de l’énergie est un des secteurs les plus visés. Selon le rapport X-Force Threat Intelligence Index 2022 [2], en 2021, le secteur de l’énergie s’est classé comme le quatrième secteur le plus touché, avec 8,2% des attaques observées, derrière l’industrie manufacturière, le secteur de la finance et le secteur des services professionnels.
En 2021, les ransomwares ont été le type d’attaques le plus courant contre les organisations énergétiques avec 25% des attaques. Les entreprises pétrolières et gazières sont particulièrement touchées par ce phénomène. Les attaques de cheval de Troie (RAT), de DDoS et d’usurpation d’identité en entreprise (BEC) sont aussi fortement recensées avec 17% des attaques chacune.
Alors que les cyberattaques ont dans le cas le plus fréquent une visée lucrative et d’espionnage, l’industrie énergétique est aussi confrontée à des intentions de sabotage, parfois pour des raisons géopolitiques. Certains hacktivistes peuvent également représenter une menace en s’attaquant aux infrastructures critiques. L’actualité récente de déstabilisation majeures géopolitique en cours renforce ces risques.
Le secteur de l’énergie possède des infrastructures de biens essentiels. Dans un monde de plus en plus interdépendant, toute perturbation, même initialement limitée à une entité ou une zone géographique, peut produire des effets en cascade plus larges comme présentés ci-dessous :
Afin de lutter efficacement contre ces nouvelles menaces, les états et l’Union Européenne ont adopté des règlementations contraignantes pour assurer un niveau de cybersécurité renforcé sur les installations les plus critiques.
Quel rôle pour la réglementation ?
En France, l’autorité compétente en matière de cybersécurité est l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Pour répondre à l’accroissement des menaces, la stratégie de défense s’articule autour de la loi de programmation militaire depuis 2013 (LPM) afin de sécuriser les Opérateurs d’Importance Vitale (OIV). L’ANSSI insiste principalement sur des procédures d’homologation, de contrôle et de maintien en condition de sécurité des Systèmes d’Informations d’Importance Vitale (SIIV).
Au niveau européen, la volonté est aussi de protéger les organisations sensibles que sont les opérateurs de services essentiels (OSE) du secteur de l’énergie. Le point de référence pour la cybersécurité est actuellement la directive Network and Information System Security (Directive NIS). Elle a pour objectifs premiers d’accroître la coopération entre les Etats membres de l’UE, en facilitant l’échange d’informations stratégiques et opérationnelles, et d’améliorer la cyber-résilience des entités publiques et privées des secteurs essentiels tels que l’énergie. Ici, pour l’énergie, l’ENISA souhaite se prémunir des menaces de grandes envergures avec des réseaux de plus en plus transfrontaliers et interdépendants.
La complexité se trouve maintenant dans l’application opérationnelle de certaines mesures dans des milieux industriels où les équipements et moyens de production sont prévus pour durer plusieurs dizaines d’années. Ainsi, modifier les processus opérationnels d’exploitation et/ou les équipements pour y intégrer plus de cybersécurité est un réel défi. Les impacts de cette transition sont importants aussi bien en termes financier qu’en termes de modification des façons de travailler. Cela rend le partage entre les acteurs de l’énergie d’autant plus primordial pour trouver des solutions pragmatiques et adaptées : architecture réseaux adaptés, solutions techniques compatibles avec le monde industriels, processus de gestion des vulnérabilités et mises à jour construites avec les équipes opérationnelles par exemple.
Conclusion
Compte tenu de la criticité des infrastructures, celles-ci sont des cibles de 1er plan. Il est primordial que les acteurs métiers et cybersécurité du secteur de l’énergie communiquent sur les bonnes pratiques de cybersécurité, tirent les enseignements des précédentes attaques et contribuent à faire évoluer le niveau de protection globale. C’est dans ce contexte que le premier forum spécialement dédié aux acteurs de l’énergie « Cyber4Energy », se tiendra à Marseille le 30-31 mars 2022. Cet évènement sera l’opportunité pour les professionnels d’échanger sur les défis de la cybersécurité et les solutions spécifiques qui s’offrent au secteur.
Références :
[1] Etats-Unis : les oléoducs Colonial Pipeline ont versé une rançon de 4,4 millions de dollars à des hackeurs (lemonde.fr)
[2] X-Force Threat Intelligence Index 2022, IBM Security X-Force Threat Intelligence Index 2022 (ibm.com)