L’une des infrastructures les plus critiques des États-Unis a encore été la cible d’une cyberattaque. En cause ? Une charge menée contre le secteur de l’énergie, l’un des moteurs clés (sans mauvais jeu de mot) de l’économie américaine dont le pays dépend pour protéger sa population. La violation survenue à la mi-février a conduit l’Agence de cybersécurité et de sécurité des infrastructures (CISA, Cybersecurity and Infrastructure Security Agency) rattachée au département américain de la Sécurité intérieure à faire des révélations inhabituelles sur l’attaque menée contre un opérateur gazier.
Dans cette attaque par intrusion avec demande de rançon, le but des hackers était probablement d’extorquer des fonds. Malgré les incertitudes sur l’origine du rançongiciel, on sait qu’il a été introduit par un e-mail d’hameçonnage contenant un lien malveillant. Ce vecteur d’attaque est bien trop fréquent. Si le virus ne semble pas avoir causé de dégâts majeurs, l’opérateur gazier a prudemment suspendu son activité pendant deux jours, le temps d’évaluer l’état du réseau de ses installations.
Cet incident illustre de manière frappante les conséquences de telles attaques, avec des pannes coûteuses qui désorganisent l’activité, malgré la capacité des cyberdéfenses d’un réseau à repousser les compromissions graves. Et dans le cas cité, c’est un gazoduc complet qui a été mis à l’arrêt pendant deux jours.
Cette attaque nous rappelle la fascination qu’exerce ce type de cyberpertubations sur certains acteurs soutenus par des États-nations ou individus dans le pays qui sont motivés par l’appât du gain.
Les systèmes de contrôle industriel (SCI) s’appuient sur des actifs physiques tels que les caméras, les portes et autres systèmes d’accès physique, ainsi que des réseaux informatiques traditionnels. Avec l’augmentation croissante du nombre d’équipements rattachés au réseau, les opérateurs du système de contrôle industriel doivent rester à l’affût des dernières menaces capables d’entraîner l’arrêt de leurs processus critiques. Grâce à la CISA, les opérateurs énergétiques ont la possibilité de faire partie d’une communauté axée sur la cybersécurité qui a prouvé, à cette occasion, qu’elle était capable de prêter assistance et de partager ses enseignements avec d’autres opérateurs susceptibles d’être exposés à des attaques informatiques similaires. Pour les exploitants des réseaux d’énergie, si la sûreté physique est importante, la fiabilité représente un point extrêmement préoccupant.
Les fenêtres de maintenance sont réduites au minimum par une planification soigneuse et efficace des arrêts de l’activité. Toute interruption imprévue engendre de réelles perturbations pour l’économie et les services qui se traduisent par :
- Le non-respect des accords de niveaux de service
- Des pertes de revenus
- Une augmentation des coûts de réparation et des mises à jour
Ce dernier événement intervient à un moment où les opérateurs énergétiques sont déjà la cible de cyberattaques émanant d’États-nations. Ils doivent aussi de plus en plus souvent repousser les assauts de cyberdélinquants étrangers ou nationaux qui cherchent à leur dérober des éléments de propriété intellectuelle, qui les rançonnent en échange du déblocage de données chiffrées, ou encore qui prennent le contrôle de commutateurs, d’équipements et d’autres composants physiques des SCI. Au-delà des dégâts pour la productivité, ces cyberattaques peuvent, dans le pire des cas, causer des dommages physiques. On utilise le néologisme « écoterrorisme » pour décrire ces menaces qui viennent de l’étranger ou de l’intérieur et dont les auteurs obéissent à des motivations de nature plus financière.
Depuis des années, je conseille des acteurs du secteur énergétique sur les questions de cybersécurité, et suis, entre autres, membre du conseil d’administration du North American Energy Standards Board (NAESB) depuis cinq ans. Il existe des moyens pour permettre aux fournisseurs de gaz et d’électricité de neutraliser les risques d’attaques basées sur des rançongiciels. Voici mes préconisations :
1. Indiquez à la CISA que vous avez fait l’objet d’une cyberattaque ; l’agence communiquera, à son tour, avec la communauté sur les menaces imminentes et les stratégies d’atténuation à mettre en place.
2. Formez votre personnel aux principaux modes de diffusion des malwares, à savoir les e-mails d’hameçonnage (phishing) et de harponnage (spear-phishing). J’invite les dirigeants d’entreprises à :
- mettre en place des formations pour les utilisateurs finaux afin de leur apprendre (i) à vérifier systématiquement le domaine de l’expéditeur d’un message en survolant l’adresse de l’expéditeur ; (ii) à vérifier soigneusement tous les liens et pièces jointes avant de cliquer et (iii) en cas de doute, à faire appel aux équipes informatiques pour leur demander d’inspecter tout ce qui peut leur sembler suspect ;
- lancer des analyses de détection de virus et malwares comportant tous les correctifs nécessaires ;
- encourager les partenaires et utilisateurs externes à signer numériquement leurs e-mails à l’aide d’un certificat S/MIME de confiance
3. Ayez un plan de reprise d’activité à jour et testé de bout en bout afin de limiter les répercussions, même dans le pire des scénarios.
4. Sauvegardez vos données et ne laissez pas votre réseau vulnérable aux attaques par rançongiciels.
5. Tenez compte de la nécessité d’authentifier toutes les personnes, toutes les machines et tous les appareils qui « touchent » le réseau et considérez les solutions de PKI automatisées comme des mesures de sécurité évolutives et faciles à gérer.
6. Investissez dans la consolidation de vos infrastructures, car les menaces vont continuer à proliférer, surtout avec la multiplication du nombre de composants du smart grid connectés aux réseaux.
Les informaticiens et responsables de la sécurité informatique du smart grid — les réseaux intelligents dans le domaine de l’énergie — ne sont pas près d’être au chômage. Ils réalisent un travail formidable pour contrer l’avalanche de cyberattaques. Mais cela ne signifie pas que le travail est terminé. En fait, il ne fait que commencer.
Pour en savoir plus sur les certificats numériques GlobalSign conformes au NAESB et développés spécifiquement pour le secteur de l’énergie, rendez-vous sur notre site web.
