![\"Les](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-2239292617-resized-300x100.jpg\" "\\"Contributeur")
<\/p>\n<\/p>\n
La num\u00e9risation a apport\u00e9 des b\u00e9n\u00e9fices ind\u00e9niables au secteur de l\u2019\u00e9nergie en mati\u00e8re de flexibilit\u00e9 et d\u2019optimisation du r\u00e9seau de distribution. N\u00e9anmoins, elle a introduit dans le m\u00eame temps des vuln\u00e9rabilit\u00e9s importantes, points d\u2019entr\u00e9e additionnels \u00e0 une surface d\u00e9j\u00e0 physiquement \u00e9tendue entre la production, le transport et la distribution de l\u2019\u00e9nergie. La cons\u00e9quence\u00a0: une exposition accrue des infrastructures \u00e9nerg\u00e9tiques, essentielles et vitales \u00e0 notre \u00e9conomie, \u00e0 des risques de cyberattaques.<\/strong><\/p>\n Comment combler les diff\u00e9rents points d'entr\u00e9e\u00a0dans ces infrastructures critiques\u00a0? Comment minimiser les dommages allant de la perturbation des op\u00e9rations \u00e0 la destruction physique des \u00e9quipements\u00a0? En ayant une meilleure compr\u00e9hension des diverses m\u00e9thodes utilis\u00e9es par les cyber-criminels, des types d\u2019attaques les plus fr\u00e9quentes ainsi que des solutions \u00e0 disposition, les gestionnaires en charge de ces infrastructures seront mieux \u00e0 m\u00eame de s\u2019y pr\u00e9parer et d\u2019y faire face.<\/p>\n <\/p>\n Avant m\u00eame le ph\u00e9nom\u00e8ne de transformation num\u00e9rique, les infrastructures \u00e9nerg\u00e9tiques connaissaient d\u00e9j\u00e0 une distribution g\u00e9ographique particuli\u00e8re, reposant sur plusieurs centres de production et un r\u00e9seau de distribution \u00e9clat\u00e9. Avec pour cons\u00e9quence une surface d\u2019attaque d\u00e9j\u00e0 \u00e9tendue \u2013 qui va s\u2019\u00e9tendre encore avec l\u2019arriv\u00e9e d\u2019innombrables capteurs, automates et objets connect\u00e9s, l\u2019interconnexion des r\u00e9seaux<\/a> ou encore les acc\u00e8s aux environnement cloud.<\/p>\n Les postes de travail, les diff\u00e9rents mat\u00e9riels connect\u00e9s et m\u00eame les flux de communications sont autant de points d\u2019entr\u00e9e potentiels pour les cyber-criminels.<\/strong> Parce que ces infrastructures \u00e9nerg\u00e9tiques affichent plusieurs dizaines d\u2019ann\u00e9es d\u2019anciennet\u00e9, une partie de leur \u00e9quipement aussi. Pens\u00e9es pour fonctionner g\u00e9n\u00e9ralement plus de 50\u00a0ans, seule la partie informatique (IT) a g\u00e9n\u00e9ralement suivi les tendances et modernis\u00e9 ses \u00e9quipements. La partie op\u00e9rationnelle (OT)<\/a> \u00e9tant, elle, g\u00e9n\u00e9ralement rest\u00e9e \u00e0 son \u00e9tat d\u2019origine\u2026 \u00c0 c\u00f4t\u00e9 de dispositifs analogiques, de (trop) nombreuses machines fonctionnent encore aujourd\u2019hui avec des versions logicielles anciennes, obsol\u00e8tes et surtout non patch\u00e9es face aux derni\u00e8res vuln\u00e9rabilit\u00e9s remont\u00e9es. Avec des syst\u00e8mes d\u00e9connect\u00e9s et\/ou des r\u00e9seaux priv\u00e9s au sein des usines et centrales, le risque \u00e9tait alors minimis\u00e9. Mais la (c\u00e9l\u00e8bre) convergence IT\/OT est venue remettre en cause cette isolation, d\u00e9j\u00e0 fragile<\/a>. En parall\u00e8le, les diff\u00e9rents mat\u00e9riels des centrales \u00e9lectriques, hydrauliques ou thermiques n\u2019ont pas \u00e9t\u00e9 con\u00e7us dans une approche Cybersecurity-by-Design<\/em>. Tous ces capteurs, qu\u2019il s\u2019agisse d\u2019IED (Intelligent Electronic Devices<\/em>, dispositifs \u00e9lectroniques intelligents), de RTU (remote terminal units<\/em>, unit\u00e9s terminales distantes) ou autres, deviennent autant de points d'entr\u00e9e facilement accessibles aux cyber-criminels d\u00e8s lors qu'ils sont connect\u00e9s. Pour ne rien arranger, ces environnements ont souvent recours \u00e0 des syst\u00e8mes cl\u00e9s en main, qui n\u2019ont pas \u00e9t\u00e9 con\u00e7us pour recevoir des correctifs de s\u00e9curit\u00e9.<\/p>\n Au-del\u00e0 de ces premiers points d'entr\u00e9e, les protocoles de communication utilis\u00e9s dans le secteur de l'\u00e9nergie constituent une autre pr\u00e9occupation majeure en mati\u00e8re de cybers\u00e9curit\u00e9.<\/strong> Car les protocoles de communication ont souvent \u00e9t\u00e9 d\u00e9velopp\u00e9s \u00e0 une \u00e9poque o\u00f9 la s\u00e9curit\u00e9 n'\u00e9tait pas une priorit\u00e9. Le protocole IEC-104, par exemple, est couramment utilis\u00e9 pour la t\u00e9l\u00e9m\u00e9trie dans le secteur de la production d\u2019\u00e9nergie \u00e9lectrique. Mais il ne poss\u00e8de aucun m\u00e9canisme d'authentification ni de chiffrement, ce qui le rend extr\u00eamement vuln\u00e9rable aux cyberattaques. Il en va de m\u00eame pour le protocole GOOSE (Generic Object Oriented Substation Events<\/em>, une fonctionnalit\u00e9 du standard IEC 61850<\/a>). Con\u00e7u \u00e0 l\u2019origine pour limiter les contr\u00f4les (qui prennent du temps) et acc\u00e9l\u00e9rer la r\u00e9silience du syst\u00e8me en cas de panne, ce protocole peut aujourd\u2019hui \u00eatre facilement exploit\u00e9 pour injecter des paquets malveillants. Une fragilit\u00e9 qui concerne \u00e9galement les connexions \u00e0 distance, comme dans le cadre de la t\u00e9l\u00e9maintenance. Essentielles pour l'efficacit\u00e9 op\u00e9rationnelle des sous-stations par exemple, ces connexions sont aussi susceptibles d\u2019\u00eatre exploit\u00e9es pour un acc\u00e8s non autoris\u00e9 (et malveillant) au r\u00e9seau.<\/p>\n Car pour atteindre plus facilement ces diff\u00e9rents points, les cyber-criminels peuvent utiliser diff\u00e9rents vecteurs d\u2019attaque<\/a>\u00a0: r\u00e9seau, logiciel, physique ou encore humain. Un vecteur humain d\u2019autant plus sensible dans l\u2019univers \u00e9nerg\u00e9tique en raison d\u2019un nombre important de sous-traitants.<\/p>\n <\/p>\n Et pour s\u2019en prendre \u00e0 ce secteur de l'\u00e9nergie, les cyber-criminels font appel \u00e0 diff\u00e9rents types de cyberattaques. Puisque la continuit\u00e9 des op\u00e9rations est cruciale dans ce secteur, les attaques par d\u00e9ni de service (DDoS) et autres ransomwares font partie de l\u2019arsenal offensif classique.<\/strong><\/p>\n Mais l\u2019espionnage et le sabotage des infrastructures \u00e9nerg\u00e9tiques peuvent prendre d\u2019autres formes. Ou m\u00eame d\u2019autres chemins, comme celui de la cha\u00eene d\u2019approvisionnement de ce secteur. Les Supply Chain Attacks<\/em> ont ainsi la particularit\u00e9 de cibler les fournisseurs et les partenaires commerciaux du secteur \u00e9nerg\u00e9tique.<\/strong> Par le biais de ces entit\u00e9s bien moins s\u00e9curis\u00e9es et donc davantage vuln\u00e9rables, les cyber-criminels acc\u00e8dent ainsi indirectement aux r\u00e9seaux des entreprises de l'\u00e9nergie. Des attaques particuli\u00e8rement insidieuses car elles exploitent le lien de confiance entre les entreprises de l\u2019\u00e9nergie et leurs prestataires.<\/p>\n En plus de cet arsenal d\u00e9j\u00e0 cons\u00e9quent, les entreprises de l\u2019\u00e9nergie doivent \u00e9galement composer avec un risque d\u2019un autre niveau, puisque le caract\u00e8re ultra-sensible du secteur pousse des acteurs \u00e9tatiques \u00e0 s\u2019y int\u00e9resser dans le cadre de conflits g\u00e9opolitiques.<\/strong> Jusqu\u2019\u00e0 investir dans des malwares sp\u00e9cialis\u00e9s, programm\u00e9s pour cibler des \u00e9quipements sp\u00e9cifiques ou des processus op\u00e9rationnels. Stuxnet<\/a> en 2010, BlackEnergy en 2015 ou encore Industroyer en 2016 en sont autant d\u2019exemples marquants. Le malware Industroyer, pour ne d\u00e9tailler que lui, est par exemple capable de d\u00e9tecter et d'exploiter les protocoles de communication utilis\u00e9s dans un r\u00e9seau industriel<\/a>, peuvent cibler efficacement les syst\u00e8mes \u00e9nerg\u00e9tiques.<\/p>\n Plus r\u00e9cemment, les malwares Industroyer.V2 et Cosmicenergy ont remis la protection OT sur le devant de la sc\u00e8ne \u2013 l\u00e0 o\u00f9 d\u2019autres cyberattaques se concentrent sur la branche IT. Analys\u00e9 par les \u00e9quipes de Mandiant<\/a> en 2023, le malware Cosmicenergy intercepte des commandes pass\u00e9es via le protocole IEC-104 pour interagir avec des RTU et le r\u00e9seau OT.<\/strong> \u00ab\u00a0Gr\u00e2ce \u00e0 cet acc\u00e8s, un attaquant peut envoyer des commandes \u00e0 distance pour influencer l'actionnement des interrupteurs et des disjoncteurs des lignes \u00e9lectriques afin de provoquer une interruption de l'alimentation<\/em> \u00bb, d\u00e9taille l\u2019article des chercheurs. Ce malware n\u2019a pas \u00e9t\u00e9 d\u00e9tect\u00e9 suite \u00e0 une attaque, mais bel et bien parce qu\u2019il avait \u00e9t\u00e9\u2026 t\u00e9l\u00e9charg\u00e9 dans un utilitaire public d'analyse de logiciels malveillants. Coup de chance ou acte manqu\u00e9 ; dans tous les cas, un \u00e9pisode qui d\u00e9montre que les cyber-criminels axent leurs recherches sur des malwares qui ciblent les protocoles industriels de l'\u00e9nergie.<\/p>\n <\/p>\n Face \u00e0 ce constat et ces menaces, comment prot\u00e9ger le secteur de l\u2019\u00e9nergie\u00a0?<\/strong> En 2018 d\u00e9j\u00e0, Guillaume Poupard, alors directeur g\u00e9n\u00e9ral de l'ANSSI, intervenait devant la Commission fran\u00e7aise des Affaires \u00c9trang\u00e8res, de la D\u00e9fense et des Forces Arm\u00e9es pour alerter sur les cons\u00e9quences d'une attaque<\/a> sur les r\u00e9seaux de distribution d'\u00e9nergie d\u2019un pays.<\/p>\n Pour assurer une protection efficace de ces syst\u00e8mes complexes et interd\u00e9pendants, une approche compl\u00e8te et multicouche est essentielle.<\/strong> Face aux diff\u00e9rents points d'entr\u00e9e de la menace, il est imp\u00e9ratif de d\u00e9ployer une strat\u00e9gie de d\u00e9fense adapt\u00e9e, qui va de la mise en place d\u2019outils cyber ad\u00e9quats \u00e0 une formation continue des employ\u00e9s et des prestataires. Car chaque type d\u2019attaque pr\u00e9sente des d\u00e9fis uniques en mati\u00e8re de d\u00e9tection, de pr\u00e9vention et surtout de r\u00e9ponse. Les syst\u00e8mes de mitigation et de filtrage du trafic, la segmentation fine des r\u00e9seaux, le d\u00e9ploiement de syst\u00e8mes de d\u00e9tection d'intrusion, les sauvegardes r\u00e9guli\u00e8res, sont autant d\u2019exemples d\u2019une liste non-exhaustive d\u2019indispensables de la cybers\u00e9curit\u00e9 industrielle.\u00a0\u00ab\u00a0Sur le terrain, on constate que le secteur de l\u2019\u00e9nergie en France a d\u00e9j\u00e0 impl\u00e9ment\u00e9 un certain nombre de m\u00e9canismes de s\u00e9curit\u00e9 adapt\u00e9s \u00e0 leurs op\u00e9rations<\/em>, pr\u00e9cise Khobeib Ben Boubaker<\/strong>, Head of Industrial Security Business Line chez Stormshield. Une approche qui commence \u00e0 porter ses fruits en mati\u00e8re de cybers\u00e9curit\u00e9.<\/em>\u00a0\u00bb<\/p>\n Sur ce sujet, les professionnels du monde de l\u2019\u00e9nergie doivent s\u2019appuyer sur le concept de d\u00e9fense en profondeur, si cher \u00e0 l\u2019ANSSI<\/a>. Un concept d\u00e9taill\u00e9 dans la norme IEC 62443<\/a>, r\u00e9f\u00e9rentiel transverse, qui pr\u00f4ne la s\u00e9curit\u00e9 de chaque sous-ensemble du syst\u00e8me. Car le volet r\u00e9glementaire est une autre aide pour le secteur de l\u2019\u00e9nergie<\/strong>, tant il est complet sur le sujet. Au niveau des standards, citons IEC 62645, un ensemble de mesures pour pr\u00e9venir, d\u00e9tecter et r\u00e9agir aux actes de malveillance commis par les cyberattaques sur les syst\u00e8mes informatiques des centrales nucl\u00e9aires\u00a0; IEC 62859, qui cadre la gestion des interactions entre la s\u00e9curit\u00e9 physique et la cybers\u00e9curit\u00e9\u00a0; ISO 27019, qui contient des recommandations de s\u00e9curit\u00e9 appliqu\u00e9es aux syst\u00e8mes de contr\u00f4le des processus utilis\u00e9s par l\u2019industrie des op\u00e9rateurs de l\u2019\u00e9nergie\u00a0; et enfin, IEC 61850, d\u00e9j\u00e0 \u00e9voqu\u00e9 plus t\u00f4t dans ce papier, comme norme de communication utilis\u00e9e par les syst\u00e8mes de protection des sous-stations dans le secteur de la production d'\u00e9nergie \u00e9lectrique. Outre-Atlantique, la norme am\u00e9ricaine NERC-CIP d\u00e9finit par exemple un ensemble de r\u00e8gles pour s\u00e9curiser les actifs n\u00e9cessaires \u00e0 l'exploitation des infrastructures de r\u00e9seau \u00e9lectrique en Am\u00e9rique du Nord, \u00e0 l\u2019image de la Loi de programmation militaire (LPM<\/a>) en France. Enfin, NIS2, la deuxi\u00e8me version de la directive europ\u00e9enne NIS, concerne les acteurs de la cha\u00eene d\u2019approvisionnement (sous-traitants et prestataires de services) ayant un acc\u00e8s \u00e0 une infrastructure critique. Ceux-ci devront alors r\u00e9pondre \u00e0 des mesures de s\u00e9curit\u00e9, relatives \u00e0 la protection des r\u00e9seaux des op\u00e9rateurs de service essentiels (OSE<\/a>).<\/p>\n <\/p>\nUne surface d\u2019attaque \u00e9tendue<\/h2>\n
Des cyberattaques polymorphes<\/h2>\n
Les protections du secteur de l\u2019\u00e9nergie<\/h2>\n