Me croiriez-vous si je vous disais que des fournisseurs d’électricité sont piratés chaque jour ? C’est pourtant vrai. Heureusement la majorité de ces attaques échouent, car la plupart du temps, les grands systèmes électriques ne sont pas en ligne ou alors uniquement accessibles par le biais de réseaux privés (pas via Internet). Mais les choses évoluent, et la transformation digitale vers un réseau électrique mieux connecté s’accompagne de nouvelles vulnérabilités de sécurité.
Apple a ainsi récemment déclaré qu’un affaiblissement de la sécurité de l’iPhone exposerait davantage les réseaux d’énergie aux cyberattaques. L’Ukraine a subi il y a quelques mois une coupure d’électricité provoquée par la paralysie de plusieurs centrales électriques touchées par une cyberattaque – une première. De l’autre côté de l’Atlantique, un rapport d’enquête de l’Associated Press (AP) révélait l’ouverture par des cyberattaquants d’un chemin d’accès aux réseaux de distribution d’électricité des États-Unis.
Que peuvent donc faire les acteurs du secteur énergétique pour renforcer leur cybersécurité ? Le but étant d’éviter les attaques et leurs conséquences sur le plan financier, en termes de réputation, de perte d’adresse IP, etc. Voici ma liste de 10 conseils pour éviter tout cela.
1. Établissez un seuil de référence
Malheureusement, pour bon nombre d’entreprises, y compris les fournisseurs de réseaux électriques, les directeurs de la sécurité de l’information (DSSI) ne mesurent pas bien le degré de maturité de leur cybersécurité. Dans ce domaine, il est pourtant indispensable de définir un seuil de référence pour savoir quel chemin reste à parcourir pour atteindre ses objectifs. Aux États-Unis, le Department of Energy Office of Electricity Delivery and Energy Reliability a mis à disposition un modèle – « Electricity Subsector Cybersecurity Capability Maturity » (ES-C2M2) – pour aider les organisations à évaluer, prioriser et améliorer les moyens dédiés à la cybersécurité. C’est un excellent outil d’auto-évaluation pour tout fournisseur d’électricité qui cherche à dresser un état des lieux de sa cybersécurité.
2. Définissez des objectifs de cybersécurité (réalistes)
Dans les faits, il est impossible de protéger simultanément, et avec le même niveau de sécurité, tous les aspects opérationnels d’un fournisseur d’électricité contre les cybermenaces. Mais avec un modèle basé sur les risques qui étudie l’impact d’une cyberviolation, les organisations peuvent rapidement identifier les failles les plus importantes. Le cadre de gestion de la cybersécurité du National Institute of Standards and Technology (NIST) américain est une compilation des standards et des principes existants pour permettre aux infrastructures critiques de réduire leurs cyberrisques. L’utilisation du concept de profils cibles permet de prioriser les décisions en fonction des besoins métiers, des besoins en sécurité, mais aussi des niveaux de tolérance aux risques et de la disponibilité des ressources. Même si vos ressources informatiques sont limitées, assurez-vous qu’elles comblent les failles les plus importantes pour renforcer encore plus efficacement votre sécurité et accroître votre résilience.
3. Étudiez les possibilités du cloud
La cybersécurité ne fait probablement pas partie du cœur de métier des sociétés de distribution d’électricité. Les acteurs de petite et moyenne taille doivent admettre qu’ils ne disposent pas en interne de l’expertise nécessaire. Les budgets alloués à des prestataires externes spécialistes en sécurité sont donc dépensés à bon escient. Dans un domaine qui exige des méthodes d’authentification forte, avec comme second facteur un certificat numérique, les autorités de certification Cloud offrent un bon moyen de renforcer la sécurité. Cela allège également la maintenance pour des directions des systèmes d’information déjà sous pression, qui ne connaissent pas toujours, ou peinent à suivre l’évolution des bonnes pratiques applicables aux infrastructures PKI. Enfin, les services PKI dans le Cloud permettent aussi d’accélérer les déploiements puisque les infrastructures lourdes existent déjà : les fournisseurs de réseaux d’électricité n’ont plus qu’à s’y connecter, souvent à l’aide d’un simple navigateur.
4. Misez sur la sécurité, la conformité suivra
Les conséquences financières du non-respect des règles de conformité peuvent être lourdes. Mais, lorsqu’elles s’engagent dans des programmes de mise en conformité pour faire avant tout plaisir aux auditeurs, certaines entreprises peuvent finir par investir massivement... et continuer à fonctionner avec un niveau de cybersécurité inférieur à ce qu’elles souhaitent. Pour stopper net un grand nombre d’attaques, on investira dans des programmes de cybersécurité préventifs. Le coût du ménage à faire après une violation de la sécurité peut être dévastateur : pertes financières, réputation ternie et sécurité dégradée. Et les enjeux sont particulièrement élevés dans les secteurs à infrastructures critiques comme la distribution d’électricité ! Face à l’émergence de nouvelles menaces de plus en plus perfectionnées, les opérateurs et propriétaires de ces réseaux électriques doivent donc régulièrement revoir leurs programmes de cybersécurité.
5. Attendez-vous à une attaque
Si les mesures préventives sont importantes, la manière dont votre entreprise réagira à une violation l’est tout autant. De nos jours, les attaques peuvent venir de l’intérieur (malveillance ou erreur humaine) ou de l’extérieur (attaque financée par un État, commise par des hackeurs ou des terroristes). Le but du jeu ? Savoir à quelle vitesse vous réagirez et pourrez contenir les dégâts, et limiter les pannes. Le plan de reprise d’activité le mieux documenté ne sera d’aucune utilité s’il n’a pas été régulièrement mis à l’épreuve et réactualisé. Inutile d’investir lourdement dans un plan de reprise des activités si c’est pour le laisser moisir dans un coin.
6. Pensez « IAM » pour les nouveaux cas d’utilisation
Il est plus compliqué de gérer qui a accès à quoi et quand, que de gérer des listes de contrôle des accès et les adhésions d’un groupe Active Directory. Les DSI doivent intégrer des méthodes plus perfectionnées pour détecter les tentatives d’accès non autorisés. Et face à la généralisation des cas d’utilisation avec utilisateurs externes (sous-traitants, organismes de réglementation, acteurs du marché ou encore des clients), on aura recours à la gestion des accès et des identités (IAM, Identity and Access Management) de manière sécurisée, agile et automatique. Par ailleurs, avec les terminaux mobiles et les objets connectés, les produits IAM doivent pouvoir prendre en charge plusieurs méthodes d’authentification.
7. Tenez compte de l’expérience utilisateur
L’expérience utilisateur ne se limite plus uniquement aux cas d’utilisation de type « grande consommation ». Les entreprises saisissent désormais l’effet positif d’une bonne expérience utilisateur sur la sécurité, les coûts et la productivité. Vous en avez assez des systèmes d’authentification fastidieux à base de mots de passe que l’on oublie trop facilement, qui se soldent souvent par de coûteuses réinitialisations de mots de passe ? Commencez par les remplacer par d’autres méthodes d’authentification comme les infrastructures PKI, la biométrie, les terminaux mobiles, etc. qui n’exigent pas de longs mots de passe complexes à changer fréquemment.
8. N’y allez pas seul
Profitez des partenariats avec le secteur public, comme le National Cyber Security Center of Excellence (NCCoE) du NIST (aux États-Unis) pour booster vos implémentations IAM et de type « conscience situationnelle ». Le NCCoE contient de nombreux exemples de mises en œuvre dans le domaine de la cybersécurité susceptibles d’aider les entreprises énergétiques de toute taille à exploiter au mieux des produits tiers éprouvés, qui répondent aux exigences du Cybersecurity framework, du NERC CIP et d’autres standards et bonnes pratiques.
9. Intégrez d’emblée la sécurité basée sur les PKI aux projets de l’Internet des Objets
Avec l’arrivée en ligne de milliards d’appareils connectés pour prendre en charge le smart grid et les villes intelligentes, considérez les infrastructures PKI comme une technologie viable qui répond à trois besoins : authentification forte, intégrité des données et chiffrement à grande échelle.
10. Suscitez l’adhésion des utilisateurs
Ne sous-estimez jamais le soutien, et le potentiel de nuisance, des utilisateurs finaux pour la sécurité de votre réseau. Sensibilisez-les aux enjeux de la sécurité. Instaurez des partenariats entre la DSI et les utilisateurs pour que ces derniers se sentent concernés par la culture de la sécurité. Une politique de sécurité informatique trop restrictive et lourde, imposée sans explication ni feedback des parties prenantes risque de se retourner contre ses promoteurs, avec des utilisateurs finaux qui « battent le système ».
Pour en savoir plus sur les atouts de GlobalSign pour vous aider à sécuriser vos infrastructures critiques, rendez-vous sur notre site Web.
