Ces dix dernières années, une nouvelle forme de « guerre économique » est apparue, dans laquelle des États-nations s’attaquent à l’infrastructure critique de pays perçus comme des rivaux. L’objectif : créer d’importantes perturbations, avec un risque de conflit bien moindre comparé à une guerre classique.
En mars 2019, la centrale de Guri, fournissant 80 % de l’électricité du Venezuela, a subi une attaque à l’égard de ses systèmes de production. Suite à cela, plusieurs coupures massives d’électricité ont été observées dans le pays. Les communications, l’approvisionnement en eau ont été interrompus et les transports en commun ainsi que 50 % des hôpitaux du pays ont été immobilisés. Depuis cette attaque, la sécurité énergétique du pays est sérieusement mise en cause. En effet, il ne se passe pas un jour sans qu’il n’y ait une coupure de courant. Sujet à des manifestations de citoyens, le Venezuela affirme être victime d’une « guerre électrique ».
Au cours des 30 dernières années, les centrales électriques, à l’image de la plupart des appareils industriels à travers le monde, ont été de plus en plus automatisées et connectées. Les systèmes de contrôle industriel (ICS) automatisés pilotent désormais de nombreux processus opérationnels clés. Cette automatisation a considérablement amélioré l’efficacité opérationnelle, mais ce gain de productivité s’est fait aux dépens de la sécurité informatique des infrastructures.
Les pirates informatiques exploitent de plus en plus ce nouvel espace connecté pour mener des opérations de reconnaissance, bénéficier d’un accès à distance et, dans certains cas, lancer des attaques.
Un risque systémique
L’avantage des réseaux informatiques d’entreprises est qu’il est possible d’assurer la maintenance des systèmes et de corriger les vulnérabilités en dehors des heures normales de bureau. Les centrales électriques fonctionnent 24 h sur 24, de fait, redémarrer une station de travail pour mettre à jour ses logiciels peut entraîner un arrêt coûteux, voire dangereux, des opérations.
Le cycle de vie de vingt-cinq ans (ou plus) de la majorité des équipements OT (Operational Technology) - qui exécutent souvent des applications propriétaires sur des systèmes d’exploitation obsolètes - complique la gestion des vulnérabilités pour ces entreprises. Ces systèmes n’ayant pas, pour la plupart, été conçus pour recevoir des correctifs, ils s’exposent à des vulnérabilités. La mise à niveau de ces composants matériels et logiciels coûteux peut se révéler extrêmement onéreuse pour la plupart des entreprises.
En l’absence de menaces tangibles, les vulnérabilités n’ont guère de conséquences. Cependant, une nette recrudescence de cybercriminels (compétents et déterminés) ciblant ces environnements a été observée. En effet, une étude menée par le Ponemon Institute montre que 50 % des répondants affirment avoir subi au moins une attaque de leur environnement OT, au cours des deux dernières années, ayant donné lieu à une interruption d’un équipement voire de l’usine.
Malwares, ransomwares : une menace persistante
Certains malwares sont spécialement conçus pour cibler les environnements OT. Parmi les exemples récents dans le secteur de l’énergie, on peut citer l’attaque réussie contre trois sociétés ukrainiennes de distribution d’énergie et plusieurs tentatives d’infiltration du réseau électrique américain. De l’avis général, ces incidents sont attribuables à des États-nations cherchant à mettre hors service des infrastructures critiques ou à infiltrer le réseau en vue d’activités malveillantes futures.
Le plus souvent, le risque est dû à un « effet de contagion » entre les réseaux informatiques et OT. Des attaques par ransomware, comme WannaCry et NotPetya, ont tout d’abord infiltré des dizaines de sites industriels via le réseau informatique, avant de se propager au réseau OT, provoquant des pannes massives, et coûtant aux exploitants des centaines de millions de dollars.
Les technologies connectées élargissent la surface d’attaque
Il n’y a pas si longtemps, les attaques à l’encontre des environnements OT étaient le fait de quelques armées et services de renseignements étrangers disposant d’importants moyens. La situation a changé. Le nombre d’acteurs capables de perturber une infrastructure industrielle est passé d’une poignée de pays à de nombreux États-nations et intervenants non-étatiques.
Équipements OT en réseau et autres appareils IoT prolifèrent dans les centrales électriques, multipliant ainsi les occasions pour les cybercriminels d’accéder à des cibles hors d’atteintes auparavant. La surface d’attaque s’étend bien souvent au monde entier et regorge d’interfaces multipartites. Chacune de ces connexions constitue un nouveau vecteur de menace prêt à être exploité.
Les réseaux OT exigent parfois le recours à des services de gestion et de support tiers, ce qui suppose un accès à l’équipement pour en assurer le support. En accordant cet accès, les centrales électriques supposent que leurs partenaires mettront en place des contrôles et pratiques aussi rigoureux que les leurs en matière de cybersécurité. Pourtant, nombreuses sont les atteintes à la sécurité commises par le biais de fournisseurs tiers de ce type, considérés comme le maillon le plus faible de la chaîne.
Impossible de protéger ce que l’on ne voit pas
Les attaques visant les systèmes OT des centrales électriques peuvent mettre en danger la sécurité énergétique d’une région, perturber la vie quotidienne des citoyens et nuire à la réputation des fournisseurs d’électricité. Le temps nécessaire au retour à une pleine capacité de production et à la réparation de l’équipement endommagé signifie potentiellement plusieurs mois de réduction de la capacité et de la charge sur d’autres parties du réseau électrique.
Les centrales électriques doivent apprendre à identifier le comportement normal de chaque équipement OT, et gagner en visibilité sur leurs actifs et leur environnement afin de prendre des décisions avisées concernant les contrôles et les moyens de défense. En plus de désigner un expert en cybersécurité chargé des équipements, les centrales électriques ont tout intérêt à installer un logiciel adéquat de visibilité et d’analyse de la sécurité pour détecter les menaces et protéger leurs appareils et processus.