L’énergie : objet de convoitise
Avant la très médiatique attaque Black Energy qui avait frappé un réseau électrique en Ukraine en décembre 2015 et provoqué une panne géante privant entre 800 000 et 1,4 million de personnes d’électricité pendant plusieurs heures en plein hiver, l’actualité renaît de ses cendres. En proie à la guerre, celle que l’on surnomme le panier de l’Europe, vient de connaître des attaques cyber massives touchant ses sources d’approvisionnement en énergie. Une étude récente réalisée par DNV, société d’assurance et de conseils en risques norvégienne, démontre que « le secteur de l’énergie prend conscience de la menace que représente la sécurité des technologies de l’information, mais que des mesures plus rapides doivent être prises pour la combattre », souligne Trond Solberg, directeur général de la cybersécurité dans un communiqué de presse.
Le secteur est pris pour cible par des cybercriminels, certes, mais au-delà de l’appât financier, c’est une préparation au champ de bataille qui se joue et depuis longtemps. Une situation renforcée avec la citation en Ukraine. C’est notamment le cas avec l’attribution par l’Union européenne en mai dernier, à la Russie, du piratage des satellites une heure avant l’invasion de l’Ukraine pour préparer le terrain à son assaut.
D’ici au deux prochaines années, ce rapport témoigne de l’inquiétude grandissante des acteurs de l’énergie. Ces derniers estiment que les cyberattaques visant le secteur sont susceptibles de causer des dommages aux personnes, aux biens et à l’environnement au cours des deux prochaines années. Plus de 80 % d’entre eux s’attendent à des dommages matériels aux actifs et 57 % à des pertes de vies humaines. En Europe, 29 % des personnes interrogées pensent que les investissements de défense ne sont entrepris qu’après un cyber-incident. Ces organisations sont donc engagées dans un processus réactif mais n’ont pas saisi les enjeux de l’anticipation, de la préparation et de la quantification des risques.
Convergence OT-IT et approche globale
Cette situation oblige à faire de la cybersécurité une priorité du secteur de l’énergie. Mais la tâche est complexe. Les installations des réseaux énergétiques restent anciennes, mais elles côtoient le monde de l’énergie connectée, des systèmes d’information, des contrôles et de la maintenance à distance… Désormais, la frontière OT – IT n’est plus. Les compagnies d’énergie sont devenues dépendantes des dispositifs connectés. Dès lors il est essentiel de penser cette convergence OT-IT. Avec la LPM et la directive NIS2, les différentes obligations imposées aux opérateurs sont nombreuses afin d’assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information au sein de l’Union Européenne. Mais aujourd’hui, il faut aller plus loin en disposant de cartographie dynamique et évolutive des risques, des scénarios possibles d’attaques et des indicateurs de quantification des risques et de leurs impacts permettant ainsi d’anticiper et de décider avec précision et rapidité.
Les énergies
renouvelables : le nouvel enjeu
Les énergies renouvelables doivent elles aussi prendre en compte la problématique de cybersécurité. Pilotés à distance, les éoliennes et les panneaux solaires sont ainsi des objets connectés qui doivent être sécurisés de bout en bout par des protocoles et des technologies appropriées. Or, la cybersécurité des IoT reste un maillon faible et ces éoliennes et panneaux solaires n’ont pas été conçus en intégrant la security by design. Les failles sont alors gigantesques… Pour preuve, le piratage de la maintenance à distance des éoliennes compromise après que le réseau KA-SAT exploité par la société américaine Viasat a été attaqué par la Russie dont je parlais précédemment.
A cela s’ajoute la problématique de la décentralisation de la production énergétique qui va elle aussi multiplier les portes d’entrée et élargir la surface d’attaques.
Cette guerre ayant appelé à de multiples sanctions, nous a aussi obligé à repenser nos partenariats en matière d’approvisionnements stratégiques et de dépendance énergétique. La cybersécurité pourrait bien devenir un des éléments clés permettant de revoir les critères de choix des partenariats stratégiques voire vitaux pour la nation, et plus largement l’Europe. La cybersécurité étant gage de confiance et de fiabilité, elle pourrait peser de plus en plus lourd dans les futurs processus de négociation de haut niveau.