L’accélération fulgurante des cyberattaques contre les infrastructures électriques, organisations et entreprises stratégiques est aujourd’hui une réalité préoccupante qui nécessite de prendre des mesures d’urgence pour se protéger. D’autant plus lorsque leurs conséquences peuvent être catastrophiques pour l’ensemble de la population. Les fournisseurs d’électricité sont particulièrement concernés par ce sujet. Ces cinq dernières années en effet, un certain nombre d’attaques ont marqué le monde de l’énergie électrique et ont, pour certaines, insufflé des prises de conscience et des changements en matière de cybersécurité.
Généralement, les cyberattaques menées s’inscrivent dans un contexte géopolitique tendu. En effet, l’approvisionnement en énergie électrique d’un pays constitue une cible privilégiée puisqu‘il touche l’activité économique et les moyens de communication du pays visé qui peut être rapidement paralysé s’il en est privé. Concernant les attaques qui ont eu lieu entre 2015 et 2020, on constate qu’elles sont en fait liées à de nouveaux enjeux auxquels doit faire face le secteur de la production d’énergie électrique : une mise à l’épreuve de la résilience des infrastructures opérationnelles, portant atteinte à la disponibilité des équipements et à l’intégrité des données, et des préjudices financiers majeurs liés aux cyberattaques et à leur incidence sur la fixation des prix du marché de l’énergie.
Un autre enjeu auquel doit faire face ce secteur concerne sa transformation numérique. En effet, le développement de nouvelles technologies, d’objets et de capteurs connectés permet aux producteurs d’énergie d’accéder à de précieux bénéfices dans leur chaine de production et de distribution. On parle ainsi d’ anticipations d’éventuelles pannes, gestion plus fine des capacités (Smartgrid), etc. Pour ce faire, le déploiement des technologies de Cloud et d’Edge Computing est nécessaire. Elles garantissent la puissance de calcul et assurer un traitement en temps réel des données collectées. Mais cette émergence des objets connectés et des environnements Cloud conduit à une ouverture des réseaux opérationnels et augmente ainsi la surface d’attaque des cybercriminels, les réseaux qui étaient jusqu’ici isolés se retrouvant connectés au réseau informatique de l’entreprise.
Des infrastructures électriques confrontées à de nouveaux enjeux
Par ailleurs, les équipements des réseaux OT ont une durée de vie très longue, généralement plus de 25 ans. C’est le cas des infrastructures électriques, pensées pour fonctionner pendant plus de 50 ans. La plupart d’entre elles sont basées sur des technologies obsolètes et donc hautement vulnérables en matière de sécurité. Et pour ajouter encore à leur fragilité, les environnements électriques ont souvent recours à des systèmes clés en main, qui n’ont pas été conçus pour recevoir des correctifs. Puisque les systèmes utilisés sont disponibles sur le marché depuis un certain temps, ils peuvent être plus facilement disséqués par des cyber-criminels.
Enfin, la plus grande brèche dans les systèmes OT et IT est liée aux utilisateurs et opérateurs. Ils sont souvent peu sensibilisés aux règles de cybersécurité de base. L’utilisation de mots de passe similaires ou de clés USB personnelles à des fins professionnelles expose les infrastructures électriques.
Le secteur de l’énergie et des infrastructures électriques, un domaine très réglementé
Au fil des années, les cybermenaces pesant sur les réseaux électriques se sont perfectionnées. De ce fait, le secteur de l’énergie électrique a pris la mesure des risques cyber. Il s’est doté d’un arsenal de standards pour gérer ces risques. Il devient ainsi l’un des secteurs les plus réglementés en matière de cybersécurité. Nous pourrions par exemple citer la norme américaine NERC-CIP. Elle définit un ensemble de règles pour sécuriser les actifs nécessaires à l’exploitation des infrastructures de réseau électrique en Amérique du Nord. Dans le même registre, on retrouve en France la Loi de Programmation Militaire et la directive NIS au niveau européen. Elles sécurisent respectivement les opérateurs d’importance vitale et les opérateurs de services essentiels.
Au niveau des standards, IEC 62645 représente un ensemble de mesures pour prévenir, détecter et réagir aux actes de malveillance commis par les cyberattaques sur les systèmes informatiques des centrales nucléaires. De son côté IEC 62859 cadre la gestion des interactions entre la sécurité physique et la cybersécurité. ISO 27019 contient des recommandations de sécurité appliquées aux systèmes de contrôle des processus utilisés par l’industrie des opérateurs de l’énergie. IEC 61850 est une norme de communication utilisée par les systèmes de protection des sous-stations dans le secteur de la production d’énergie électrique.
Comment garantir une résilience efficace de l’infrastructure opérationnelle ?
La première réponse consiste à traiter la problématique de l’obsolescence des systèmes d’exploitation et des applications utilisés dans l’infrastructure opérationnelle. Sur ce point, une approche basée sur des dispositifs de protection en profondeur est indispensable. Cela permet de bloquer les comportements suspects au niveau des appels système. Mais aussi de répondre aux menaces qui exploitent les failles applicatives. Il faut ensuite contrôler les messages échangés dans le réseau opérationnel. En effet, les sous-systèmes historiquement indépendants changent de plus en plus à échanger de l’information et s’interconnectent. L’isolation des réseaux de ces différents systèmes grâce à une approche basée sur la segmentation est une phase importante.
Ce type de mesure offre également la possibilité de bloquer la propagation d’une attaque en complexifiant la découverte du réseau opérationnel. On notera que restreindre l’accès d’un équipement particulier à une seule ou un groupe de stations de travail peut être pertinent. Il permet en effet de limiter la surface d’attaque.
Ensuite, compte tenu de la criticité des sous-stations, les experts préconisent l’application d’autres mesures de protection. On parle alors de filtrage réseau au niveau des équipements IEDs. Cela permet un accès restreint à un seul groupe de stations de travail, selon un créneau horaire bien spécifique. Il est même envisageable d’appliquer un contrôle selon l’utilisateur. L’idée est de savoir précisément qui s’est connecté sur le poste de contrôle et à quel moment.
Conserver l’attention sur les connexions à distance
Les messages opérationnels échangés entre les équipements des infrastructures électriques, les IEDs et les postes de supervision sont un autre point de vigilance. Si un cyber attaquant réussit à établir une connexion à distance avec un dispositif physique ou un poste de télémaintenance, il lui sera alors possible d’analyser le réseau. Mais aussi de comprendre l’organisation et d’envoyer des messages malveillants.
La solution pour pallier à ce type de risque est donc de déployer des sondes industrielles. Mais également des IDS voire des IPS afin de contrôler les messages échangés avec les équipements les plus sensibles. Leur implémentation va permettre de vérifier la cohérence des messages échangés entre les équipements et les couches de gestion supérieures. Cela permet de s’assurer qu’ils ne mettent pas en péril le processus opérationnel. La solution retenue devant supporter les protocoles métiers. Un point majeur pour assurer une bonne couverture dans la protection des commandes de contrôle des équipements électriques.
Ne pas oublier les risques liés à l’humain
Mais il ne faut pas non plus oublier les risques liés à l’humain. Notamment avec l’usage encore très courant de clés USB dans les univers opérationnels. De ce fait, il est nécessaire de durcir les postes de contrôle et de supervision. Une tâche rendue possible via la mise en place de solutions de whitelisting (ou allowlist). De même, l’analyse des périphériques de stockage est possible. Elle permet de rejeter toute opération d’un profil non autorisé. Une entreprise peut aussi sensibiliser les opérateurs à tous les risques cyber. Cela lui permet d’éviter toutes les erreurs ou actions involontaires qui pourraient mettre en péril les process industriels.
Au regard de ces quelques exemples non exhaustifs, une approche intégrée prenant en compte tous les fondamentaux nécessaires et s’appuyant sur plusieurs niveaux de protection s’impose. Elle permet de sécuriser efficacement les systèmes de production des entreprises du secteur de l’énergie.
Cette tribune a été rédigée par Stéphane Prevost, Product Marketing Manager pour Stormshield.