La tendance à rendre les réseaux d’électricité toujours plus connectés entre eux, bien que compréhensible d’un point de vue efficacité, augmente les risques de cyberattaques. Des risques qui restent encore sous-estimés par de nombreux acteurs de ce marché.
De la science-fiction à la réalité
Un black-out total. Quinze ans après la disparition de toute forme d’énergie électrique, les États-Unis ont disparu, remplacé par un agrégat d’États indépendants. Des milices terrorisent les populations retournées vivre de l’agriculture. Le scénario de la série Revolution, diffusée de 2012 à 2014 sur NBC, appartient sans nul doute à la science-fiction. Mais il révèle un danger bien réel.
« Imaginez les conséquences d'une attaque sur les réseaux de distribution d'énergie d’un pays. Ne nous leurrons pas, tel est l'objectif d'un certain nombre d'équipes, de pays, d'armées, pour anticiper les conflits de demain. Ce n'est plus de la science-fiction. » Un discours qui ne sort pas d’une série de fiction mais bien de la bouche de Guillaume Poupard, Directeur général de l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). Il tenait ce discours à la Commission française des Affaires Étrangères, de la Défense et des Forces Armées le 3 octobre 2018, en profitant ainsi pour appeler à plus de coordination et plus de régulation.
Nous avons été rattrapés par la technologie
Robert Wakim, Offer Manager Industry chez Stormshield
Aujourd’hui en effet, ces risques pour les réseaux d’énergie se multiplient. Pas seulement parce que les hackers montent en compétences, mais aussi, et principalement, à cause d‘une connectivité de plus en plus importante. « Nous avons été rattrapés par la technologie, affirme Robert Wakim, Offer Manager Industry chez Stormshield. De la production à la consommation en passant par le transport d’électricité, les Smart Grids déploient des ponts de communication très forts pour permettre une gestion plus efficace de ce bien peu commun. » Ainsi, la protection de l’ensemble de la chaine, de la centrale au compteur intelligent, devient de ce fait critique selon Guillaume Poupard qui insistait sur ce sujet quelques mois tôt, devant cette même Commission.
Cette course à la technologie est visible de deux côtés de la frontière, chez les acteurs de la filière comme chez les acteurs malveillants. À l’image du malware Industroyer, capable de tirer profit de cette interconnectivité dans les réseaux d’électricité. « Ce maliciel est capable de communiquer à travers quatre protocoles de communication électrique, détaille Robert Wakim. Il s'adapte. C'est une sorte de traducteur magique. C’est quasiment le seul malware spécialisé dans l'énergie. » Sur le darknet, il est possible de se procurer Industroyer et ainsi viser n’importe quelle installation. « On sait que c'est le malware utilisé fin 2016 dans la deuxième série d'attaques sur les réseaux électriques d'Ukraine », ajoute-t-il.
Des attaques répandues… depuis 2010
Shamoon, Stuxnet, BlackEnergy... Aux côtés d’Industroyer, d’autres malwares ont frappé le secteur de l’énergie, et sont par là-même restés gravés dans la mémoire de beaucoup de pirates et d’analystes. Mais, à la différence d’Industroyer, ces autres malwares nécessitent de bien connaître l’infrastructure avant d’attaquer et s'accommodent donc d’une connectivité moindre des réseaux. Stuxnet, en particulier, a constitué « une prise de conscience », selon les mots de Gabrielle Desarnaud, chercheuse à l’IFRI (Institut Français des Relations Internationales), dans son étude Cyberattaques et systèmes énergétiques, publiée en janvier 2017. Bien qu’il fut découvert dès 2010, la chercheuse qualifiait Stuxnet – en 2017 – « d’attaque la plus avancée à laquelle une infrastructure nucléaire ait été confronté ». Pendant des années, le malware a causé des avaries dans les centrifugeuses d’enrichissement d’uranium, dans le complexe de Natanz en Iran.
En Arabie Saoudite, Shamoon a touché 30 000 ordinateurs et bloqué les camions de l’entreprise pétrolière Saudi Aramco en 2012. « L'attaque a commencé par un email de phishing, se rappelle Robert Wakim. Une secrétaire a cliqué sur un e-mail. Mais son PC infecté se comportait normalement. L’attaquant a alors pris discrètement le contrôle de l’ordinateur d’à côté et ainsi de suite jusqu’à descendre profondément dans les serveurs. »
De même, le virus BlackEnergy, à l’origine de la première vague d’attaques contre le réseau électrique ukrainien, en décembre 2015, a été amorcé par une campagne de phishing. C’est une bonne et une mauvaise nouvelle : comme ailleurs, les cyberattaques contre les réseaux d’énergie profitent bien souvent des failles humaines.
Un sentiment d’invulnérabilité ?
Mais cette vulnérabilité humaine provient aussi d’un défaut de prise de conscience des risques dans les plus hauts échelons des entreprises. « Ce sont plutôt les réglementations qui poussent nos clients à nous contacter, plus que la crainte d'être attaqué », argumente Robert Wakim. Pourquoi ce manque de prise de conscience ? « Le problème, reprend l’expert, c'est que les opérateurs sous-estiment l’effet d’une attaque, pensant que leur le poids de leur installation est négligeable dans le poids total du réseau, et par conséquent qu’il n’y aurait aucun intérêt à les attaquer ».
Ce sont plutôt les réglementations qui poussent nos clients à nous contacter, plus que la crainte d'être attaqué
Robert Wakim, Offer Manager Industry chez Stormshield
Une autre raison à ce sentiment d’invulnérabilité réside dans la non connexion à internet de nombreuses installations, comme les centrales nucléaires. « Mais c'est un mirage, affirme Robert Wakim. Une connexion est avant tout une communication, c’est-à-dire un échange de données, même s’il n’est activé brièvement qu’une fois dans l’année. Le risque existe dès que je me connecte à un objet lui-même connecté, ou à que j’utilise une clé USB. »
À ce jour, l’effet domino et l’objectif concurrentiel sont deux des principales raisons derrière de telles cyberattaques. Dans le premier cas, il s’agit par exemple d’une attaque à visée nationale, en venant suffisamment perturber le réseau. « Et parce que celui-ci possède des propriétés particulières, il est possible de provoquer un effet domino, ou en ayant un effort minimum, on peut avoir un effet maximum, explique Robert Wakim. La meilleure démonstration de cet effet est l’impact sur les horloges des fours Français à la suite d’un arrêt de production électrique au Kosovo ». Dans le deuxième cas, il s’agit par exemple d’une attaque venant d’un concurrent plus petit sur le marché visé. Venir corrompre, limiter ou même arrêter la production ou le transport d’électricité lui donnera un avantage concurrentiel non négligeable, et ce quelle que soit la taille sur le marché de l’entreprise ciblée.
Un futur de plus en plus connecté
Et quel futur pour ces réseaux d’électricité ? Au-delà des installations d’un ou plusieurs mégawatts, le futur passera par des dispositifs de moindre puissance en énergies renouvelables : des parcs éoliens, des fermes solaires ou même quelques panneaux chez des particuliers… Ces producteurs individuels seront reliés et organisés par des agrégateurs, « des centrales électriques virtuelles », comme les appelle Gabrielle Desarnaud.
L’avenir de l’énergie réside donc dans la multiplication des points de production et des interconnexions. Une évolution qui augmentera d’autant plus les surfaces d’attaques mais aussi les risques pour l’ensemble des acteurs. Et alors qu’aucun cadre législatif ne prend à ce jour en compte cette augmentation des acteurs, il est pourtant essentiel de sécuriser l’ensemble. Si la création de ces centrales électriques virtuelles est une très bonne chose pour la résilience en terme de production pour l’ensemble du marché, il est impératif d’appréhender en amont la menace cyber sur ces nouveaux acteurs. En ainsi préparer un avenir énergétique plus sûr.
