La numérisation a apporté des bénéfices indéniables au secteur de l’énergie en matière de flexibilité et d’optimisation du réseau de distribution. Néanmoins, elle a introduit dans le même temps des vulnérabilités importantes, points d’entrée additionnels à une surface déjà physiquement étendue entre la production, le transport et la distribution de l’énergie. La conséquence : une exposition accrue des infrastructures énergétiques, essentielles et vitales à notre économie, à des risques de cyberattaques.
Comment combler les différents points d'entrée dans ces infrastructures critiques ? Comment minimiser les dommages allant de la perturbation des opérations à la destruction physique des équipements ? En ayant une meilleure compréhension des diverses méthodes utilisées par les cyber-criminels, des types d’attaques les plus fréquentes ainsi que des solutions à disposition, les gestionnaires en charge de ces infrastructures seront mieux à même de s’y préparer et d’y faire face.
Une surface d’attaque étendue
Avant même le phénomène de transformation numérique, les infrastructures énergétiques connaissaient déjà une distribution géographique particulière, reposant sur plusieurs centres de production et un réseau de distribution éclaté. Avec pour conséquence une surface d’attaque déjà étendue – qui va s’étendre encore avec l’arrivée d’innombrables capteurs, automates et objets connectés, l’interconnexion des réseaux ou encore les accès aux environnement cloud.
Les postes de travail, les différents matériels connectés et même les flux de communications sont autant de points d’entrée potentiels pour les cyber-criminels. Parce que ces infrastructures énergétiques affichent plusieurs dizaines d’années d’ancienneté, une partie de leur équipement aussi. Pensées pour fonctionner généralement plus de 50 ans, seule la partie informatique (IT) a généralement suivi les tendances et modernisé ses équipements. La partie opérationnelle (OT) étant, elle, généralement restée à son état d’origine… À côté de dispositifs analogiques, de (trop) nombreuses machines fonctionnent encore aujourd’hui avec des versions logicielles anciennes, obsolètes et surtout non patchées face aux dernières vulnérabilités remontées. Avec des systèmes déconnectés et/ou des réseaux privés au sein des usines et centrales, le risque était alors minimisé. Mais la (célèbre) convergence IT/OT est venue remettre en cause cette isolation, déjà fragile. En parallèle, les différents matériels des centrales électriques, hydrauliques ou thermiques n’ont pas été conçus dans une approche Cybersecurity-by-Design. Tous ces capteurs, qu’il s’agisse d’IED (Intelligent Electronic Devices, dispositifs électroniques intelligents), de RTU (remote terminal units, unités terminales distantes) ou autres, deviennent autant de points d'entrée facilement accessibles aux cyber-criminels dès lors qu'ils sont connectés. Pour ne rien arranger, ces environnements ont souvent recours à des systèmes clés en main, qui n’ont pas été conçus pour recevoir des correctifs de sécurité.
Au-delà de ces premiers points d'entrée, les protocoles de communication utilisés dans le secteur de l'énergie constituent une autre préoccupation majeure en matière de cybersécurité. Car les protocoles de communication ont souvent été développés à une époque où la sécurité n'était pas une priorité. Le protocole IEC-104, par exemple, est couramment utilisé pour la télémétrie dans le secteur de la production d’énergie électrique. Mais il ne possède aucun mécanisme d'authentification ni de chiffrement, ce qui le rend extrêmement vulnérable aux cyberattaques. Il en va de même pour le protocole GOOSE (Generic Object Oriented Substation Events, une fonctionnalité du standard IEC 61850). Conçu à l’origine pour limiter les contrôles (qui prennent du temps) et accélérer la résilience du système en cas de panne, ce protocole peut aujourd’hui être facilement exploité pour injecter des paquets malveillants. Une fragilité qui concerne également les connexions à distance, comme dans le cadre de la télémaintenance. Essentielles pour l'efficacité opérationnelle des sous-stations par exemple, ces connexions sont aussi susceptibles d’être exploitées pour un accès non autorisé (et malveillant) au réseau.
Car pour atteindre plus facilement ces différents points, les cyber-criminels peuvent utiliser différents vecteurs d’attaque : réseau, logiciel, physique ou encore humain. Un vecteur humain d’autant plus sensible dans l’univers énergétique en raison d’un nombre important de sous-traitants.
Des cyberattaques polymorphes
Et pour s’en prendre à ce secteur de l'énergie, les cyber-criminels font appel à différents types de cyberattaques. Puisque la continuité des opérations est cruciale dans ce secteur, les attaques par déni de service (DDoS) et autres ransomwares font partie de l’arsenal offensif classique.
Mais l’espionnage et le sabotage des infrastructures énergétiques peuvent prendre d’autres formes. Ou même d’autres chemins, comme celui de la chaîne d’approvisionnement de ce secteur. Les Supply Chain Attacks ont ainsi la particularité de cibler les fournisseurs et les partenaires commerciaux du secteur énergétique. Par le biais de ces entités bien moins sécurisées et donc davantage vulnérables, les cyber-criminels accèdent ainsi indirectement aux réseaux des entreprises de l'énergie. Des attaques particulièrement insidieuses car elles exploitent le lien de confiance entre les entreprises de l’énergie et leurs prestataires.
En plus de cet arsenal déjà conséquent, les entreprises de l’énergie doivent également composer avec un risque d’un autre niveau, puisque le caractère ultra-sensible du secteur pousse des acteurs étatiques à s’y intéresser dans le cadre de conflits géopolitiques. Jusqu’à investir dans des malwares spécialisés, programmés pour cibler des équipements spécifiques ou des processus opérationnels. Stuxnet en 2010, BlackEnergy en 2015 ou encore Industroyer en 2016 en sont autant d’exemples marquants. Le malware Industroyer, pour ne détailler que lui, est par exemple capable de détecter et d'exploiter les protocoles de communication utilisés dans un réseau industriel, peuvent cibler efficacement les systèmes énergétiques.
Plus récemment, les malwares Industroyer.V2 et Cosmicenergy ont remis la protection OT sur le devant de la scène – là où d’autres cyberattaques se concentrent sur la branche IT. Analysé par les équipes de Mandiant en 2023, le malware Cosmicenergy intercepte des commandes passées via le protocole IEC-104 pour interagir avec des RTU et le réseau OT. « Grâce à cet accès, un attaquant peut envoyer des commandes à distance pour influencer l'actionnement des interrupteurs et des disjoncteurs des lignes électriques afin de provoquer une interruption de l'alimentation », détaille l’article des chercheurs. Ce malware n’a pas été détecté suite à une attaque, mais bel et bien parce qu’il avait été… téléchargé dans un utilitaire public d'analyse de logiciels malveillants. Coup de chance ou acte manqué ; dans tous les cas, un épisode qui démontre que les cyber-criminels axent leurs recherches sur des malwares qui ciblent les protocoles industriels de l'énergie.
Les protections du secteur de l’énergie
Face à ce constat et ces menaces, comment protéger le secteur de l’énergie ? En 2018 déjà, Guillaume Poupard, alors directeur général de l'ANSSI, intervenait devant la Commission française des Affaires Étrangères, de la Défense et des Forces Armées pour alerter sur les conséquences d'une attaque sur les réseaux de distribution d'énergie d’un pays.
Pour assurer une protection efficace de ces systèmes complexes et interdépendants, une approche complète et multicouche est essentielle. Face aux différents points d'entrée de la menace, il est impératif de déployer une stratégie de défense adaptée, qui va de la mise en place d’outils cyber adéquats à une formation continue des employés et des prestataires. Car chaque type d’attaque présente des défis uniques en matière de détection, de prévention et surtout de réponse. Les systèmes de mitigation et de filtrage du trafic, la segmentation fine des réseaux, le déploiement de systèmes de détection d'intrusion, les sauvegardes régulières, sont autant d’exemples d’une liste non-exhaustive d’indispensables de la cybersécurité industrielle. « Sur le terrain, on constate que le secteur de l’énergie en France a déjà implémenté un certain nombre de mécanismes de sécurité adaptés à leurs opérations, précise Khobeib Ben Boubaker, Head of Industrial Security Business Line chez Stormshield. Une approche qui commence à porter ses fruits en matière de cybersécurité. »
Sur ce sujet, les professionnels du monde de l’énergie doivent s’appuyer sur le concept de défense en profondeur, si cher à l’ANSSI. Un concept détaillé dans la norme IEC 62443, référentiel transverse, qui prône la sécurité de chaque sous-ensemble du système. Car le volet réglementaire est une autre aide pour le secteur de l’énergie, tant il est complet sur le sujet. Au niveau des standards, citons IEC 62645, un ensemble de mesures pour prévenir, détecter et réagir aux actes de malveillance commis par les cyberattaques sur les systèmes informatiques des centrales nucléaires ; IEC 62859, qui cadre la gestion des interactions entre la sécurité physique et la cybersécurité ; ISO 27019, qui contient des recommandations de sécurité appliquées aux systèmes de contrôle des processus utilisés par l’industrie des opérateurs de l’énergie ; et enfin, IEC 61850, déjà évoqué plus tôt dans ce papier, comme norme de communication utilisée par les systèmes de protection des sous-stations dans le secteur de la production d'énergie électrique. Outre-Atlantique, la norme américaine NERC-CIP définit par exemple un ensemble de règles pour sécuriser les actifs nécessaires à l'exploitation des infrastructures de réseau électrique en Amérique du Nord, à l’image de la Loi de programmation militaire (LPM) en France. Enfin, NIS2, la deuxième version de la directive européenne NIS, concerne les acteurs de la chaîne d’approvisionnement (sous-traitants et prestataires de services) ayant un accès à une infrastructure critique. Ceux-ci devront alors répondre à des mesures de sécurité, relatives à la protection des réseaux des opérateurs de service essentiels (OSE).
Avec les exemples de BHI Energy (Etats-Unis), Energy One (Australie) et HSE (Slovénie), les cyberattaques contre le secteur énergétique sont plus que jamais d’actualité. Face à l'augmentation du nombre et de la complexité des cyberattaques, la cybersécurité dans le secteur de l'énergie est devenue une priorité absolue pour 2024 et les années à venir. Une protection qui nécessite une vigilance constante et une collaboration étroite entre les entreprises du secteur, les gouvernements et les experts en cybersécurité.
