La prise de conscience s’accélère dans le secteur énergétique, notamment depuis les cyberattaques contre le réseau électrique ukrainien : les acteurs doivent développer les solutions de détection des risques pour renforcer leur sécurité.

| Cet article fait partie du dossier « Cybersécurité : 2018, année de changements ? »

Après avoir présenté au Sénat le projet de loi de transposition de la directive européenne Network and Information Security (NIS) pour une première lecture, le secrétaire d’État au Numérique, Mounir Mahjoubi, expliquera le texte à l’Assemblée nationale le 31 janvier, pour une entrée en vigueur en mai prochain. Ce texte vise à renforcer les capacités des États en matière de cybersécurité.

WannaCry, NotPetya, Equifax ou encore les offensives contre Netflix et Uber… Les cyberattaques deviennent en effet plus fréquentes et le secteur énergétique n’est pas en reste. Selon un rapport de Symantec, les vulnérabilités sur des systèmes industriels ont augmenté de 380% entre 2014 et 2015. Le Centre opérationnel de sécurité de la société Réseau de Transport d’Électricité (RTE) a indiqué par exemple dans son rapport annuel avoir déjoué en 2016 environ 4 300 attaques par mois et éradiqués 200 virus sur le système d’information (SI) de RTE.

Des systèmes jusqu’alors isolés, désormais connectés à internet

Ces cyberattaques contre le secteur énergétique ont débuté dans les années 2000 et la dernière en date aurait été effectuée contre la Grande-Bretagne, selon le service de renseignements électroniques du gouvernement britannique. « Le virus Stuxnet, lancé en 2010 contre le système d’enrichissement d’uranium de la centrale nucléaire de Natanz en Iran, a marqué une étape importante : c’est à ce moment qu’il y a eu une prise de conscience que des systèmes industriels jusqu’alors isolés sont connectés à internet ainsi qu’à ses vulnérabilités, explique Frédéric Cuppens, professeur à l’IMT Atlantique et responsable de la chaire Cybersécurité des infrastructures critiques. L’Ukraine a ensuite mis en évidence que ce genre d’attaque est devenu un moyen d’ébranler des États dans une nouvelle forme de guerre. »

L’Ukraine a subi deux attaques majeures, celle de « Black Energy » en décembre 2015 contre un réseau électrique, qui a provoqué une panne et laissé plusieurs heures sans électricité entre 800 000 et 1,4 millions de personnes en plein hiver. « Une personne a profité d’une faille dans un logiciel de messagerie pour prendre le contrôle à distance et déclencher les commandes des disjoncteurs », précise Romain Francoise, CTO de Sentryo, start-up dédiée à la protection des réseaux industriels qui a analysé ces attaques dans un rapport. Puis celle d’« Industroyer » l’année suivante, un malware élaboré avec une volonté de nuisance qui a fait disjoncter la station haute-tension de Pivnichna, au nord de la capitale. « Cette agression s’est révélée être plus sophistiquée, elle s’autodétruisait donc il a été très difficile d’évaluer l’ensemble de son impact », révèle Frédéric Cuppens. Une troisième menace a été identifiée début 2017 mais la remise en l’état a été effectuée en quelques minutes.

Ces invasions révèlent donc une évolution des pratiques des hackers, qui se professionnalisent et acquièrent une connaissance des systèmes industriels, qui fonctionnent avec des protocoles de réseau spécifiques. Les hackers ne visent plus le SI mais exploitent les vulnérabilités des automates industriels. « En Iran par exemple, l’attaque a permis de perturber la centrifugeuse en faisant varier sa vitesse de rotation, mais de manière suffisamment discrète pour que les opérateurs ne s’en rendent pas compte, détaille Frédéric Cuppens. Le risque zéro n’existe pas. Dès que le système est connecté, il est vulnérable. Si l’attaquant a les moyens de récupérer des informations, il pourra effectuer une cyberattaque.  »

Le réseau énergétique, une installation ancienne difficile à modifier

L’IMT, qui travaille sur de nouvelles solutions de détection, conseille de développer des moyens de résilience, notamment en mettant en place une architecture dynamique et en diversifiant les composants placés en redondance pour confiner le moindre risque sur l’un d’eux : « Il faut concevoir les systèmes en partant du principe qu’une attaque aura lieu. L’objectif est de faire en sorte que tout fonctionne, même dans cette situation critique. »

Pour Cybelius, une entreprise spécialisée dans les solutions de cybersécurité industrielle, les sites sont encore trop mal protégés au regard de leur niveau de spécificités. La société préconise pour sa part d’instaurer des procédures pour mieux identifier les connexions et d’authentifier les accès. « Il est également essentiel de veiller à l’aspect organisationnel et de sensibiliser davantage les exploitants pour éviter les comportements à risque », note Vincent Nicaise, responsable marketing.

Sentryo rappelle que les réseaux industriels sont compliqués à sécuriser de par leur conception : « Celle-ci est ancienne et leur installation a généralement été faite par des prestataires. Leur maintenance est difficile car ce sont de grandes infrastructures qui ne se modifient pas aisément. Avant de mieux sécuriser, il faut avoir une visibilité du réseau », estime Romain Francoise, qui observe une tendance des acteurs industriels vers une meilleure sécurisation.

La France fait figure de pionnière en Europe, en ayant adopté dès 2013 la loi de programmation militaire pour 2014 à 2019 afin de consolider la sécurité des points d’importance vitale (PIV).

Retrouvez ici l’étude de l’Ifri, réalisée en janvier 2017 par Gabrielle Desarnaud : Cyberattaques et systèmes énergétiques : faire face au risque