L’accélération fulgurante des cyberattaques contre les opérateurs de service, organisations et entreprises stratégiques est aujourd’hui une réalité préoccupante qui nécessite de prendre des mesures d’urgence pour se protéger. D’autant plus lorsque leurs conséquences peuvent être catastrophiques pour l’ensemble de la population. Les fournisseurs d’électricité sont particulièrement concernés par ce sujet. Ces cinq dernières années en effet, un certain nombre d’attaques ont marqué le monde de l’énergie électrique et ont, pour certaines, insufflé des prises de conscience et des changements en matière de cybersécurité.
Des infrastructures électriques confrontées à de nouveaux enjeux
Généralement, les cyberattaques menées s’inscrivent dans un contexte géopolitique tendu. En effet, l’approvisionnement en énergie électrique d’un pays constitue une cible privilégiée puisqu‘il touche l’activité économique et les moyens de communication du pays visé qui peut être rapidement paralysé s’il en est privé. Concernant les attaques qui ont eu lieu entre 2015 et 2020, on constate qu’elles sont en fait liées à de nouveaux enjeux auxquels doit faire face le secteur de la production d’énergie électrique : une mise à l’épreuve de la résilience des infrastructures opérationnelles, portant atteinte à la disponibilité des équipements et à l’intégrité des données, et des préjudices financiers majeurs liés aux cyberattaques et à leur incidence sur la fixation des prix du marché de l’énergie.
Un autre enjeu auquel doit faire face ce secteur concerne sa transformation numérique. En effet, le développement de nouvelles technologies, d’objets et de capteurs connectés permet aux producteurs d’énergie d’accéder à de précieux bénéfices dans leur chaine de production et de distribution : anticipations d’éventuelles pannes, gestion plus fine des capacités (Smartgrid), etc. Pour ce faire, le déploiement des technologies de Cloud et d’Edge Computing est nécessaire pour garantir la puissance de calcul et assurer un traitement en temps réel des données collectées. Mais cette émergence des objets connectés et des environnements Cloud conduit à une ouverture des réseaux opérationnels et augmente ainsi la surface d’attaque des cybercriminels, les réseaux qui étaient jusqu’ici isolés se retrouvant connectés au réseau informatique de l’entreprise.
Par ailleurs, les équipements des réseaux OT ont une durée de vie très longue, généralement plus de 25 ans. C’est le cas des infrastructures électriques, pensées pour fonctionner pendant plus de 50 ans. La plupart d’entre elles sont basées sur des technologies obsolètes et donc hautement vulnérables en matière de sécurité. Et pour ajouter encore à leur fragilité, les environnements électriques ont souvent recours à des systèmes clés en main, qui n’ont pas été conçus pour recevoir des correctifs. Puisque les systèmes utilisés sont disponibles sur le marché depuis un certain temps, ils peuvent être plus facilement disséqués par des cyber-criminels.
Enfin, la plus grande brèche dans les dispositifs de cyberdéfense des systèmes OT et IT est liée aux utilisateurs et opérateurs, qui sont souvent peu sensibilisés aux règles de cybersécurité de base. L’utilisation de mots de passe similaires quel que soit le niveau de sensibilité du système ou de clés USB personnelles à des fins professionnelles peut contribuer à exposer les infrastructures électriques
Le secteur de l’énergie, un domaine très réglementé
Au fil des années, les cybermenaces pesant sur les réseaux électriques se sont perfectionnées.
De ce fait, le secteur de l’énergie électrique a d’ores et déjà pris la mesure des risques cyber auquel il est exposé, s’est doté d’un arsenal de standards pour gérer ces risques et devenir ainsi l’un des secteurs les plus réglementés en matière de cybersécurité. Nous pourrions par exemple citer la norme américaine NERC-CIP, qui définit un ensemble de règles pour sécuriser les actifs nécessaires à l’exploitation des infrastructures de réseau électrique en Amérique du Nord. Dans le même registre, on retrouve en France la Loi de Programmation Militaire et la directive NIS au niveau européen visant à sécuriser respectivement les opérateurs d’importance vitale et les opérateurs de services essentiels. Au niveau des standards, IEC 62645 représente un ensemble de mesures pour prévenir, détecter et réagir aux actes de malveillance commis par les cyberattaques sur les systèmes informatiques des centrales nucléaires, de son côté IEC 62859 cadre la gestion des interactions entre la sécurité physique et la cybersécurité, ISO 27019 contient des recommandations de sécurité appliquées aux systèmes de contrôle des processus utilisés par l’industrie des opérateurs de l’énergie et enfin, IEC 61850 est une norme de communication utilisée par les systèmes de protection des sous-stations dans le secteur de la production d’énergie électrique.
Comment garantir une résilience efficace de l’infrastructure opérationnelle ?
La première réponse consiste à traiter la problématique de l’obsolescence des systèmes d’exploitation et des applications utilisés dans l’infrastructure opérationnelle. Sur ce point, une approche basée sur des dispositifs de protection en profondeur est indispensable afin de bloquer les comportements suspects au niveau des appels système et de répondre aux menaces qui exploitent les failles applicatives. Il faut ensuite contrôler les messages échangés dans le réseau opérationnel. En effet, les sous-systèmes historiquement indépendants sont amenés de plus en plus à échanger de l’information et à être interconnectés. Il est donc essentiel de commencer par isoler les réseaux de ces différents systèmes grâce à une approche basée sur la segmentation.
Ce type de mesure offre également la possibilité de bloquer la propagation d’une attaque en complexifiant la découverte du réseau opérationnel. On notera également que restreindre l’accès d’un équipement particulier à une seule ou un groupe de stations de travail peut être pertinent pour limiter la surface d’attaque.
Ensuite, compte tenu de la criticité des sous-stations, il est également préconisé également d’appliquer d’autres mesures de protection, comme le filtrage réseau au niveau des équipements IEDs, pour permettre par exemple un accès restreint à un seul groupe de stations de travail, selon un créneau horaire bien spécifique. Il est même envisageable dans certains cas d’usage d’appliquer un contrôle selon l’utilisateur, afin de savoir précisément qui s’est connecté sur le poste de contrôle et à quel moment.
Les messages opérationnels échangés entre les équipements électriques, les IEDs et les postes de supervision sont un autre point de vigilance important. En effet, si un cyber attaquant réussit à établir une connexion à distance avec un dispositif physique ou un poste de télémaintenance, il lui sera alors possible d’analyser le réseau, de comprendre l’organisation et d’envoyer des messages malveillants. La solution pour pallier à ce type de risque est donc de déployer des sondes industrielles, des IDS voire des IPS afin de contrôler les messages échangés avec les équipements les plus sensibles. Leur implémentation va permettre de vérifier la cohérence des messages échangés entre les équipements et les couches de gestion supérieures, afin de s’assurer qu’ils ne mettent pas en péril le processus opérationnel. La solution retenue devant bien évidemment supporter les protocoles métiers pour assurer une bonne couverture dans la protection des commandes de contrôle des équipements électriques.
Enfin, les connexions à distance pour des besoins de télémaintenance, notamment au niveau des sous-stations électriques, nécessitent le déploiement de tunnels de type VPN ou encore des connexions sécurisées de type TLS pour assurer la confidentialité des données.
Mais il ne faut pas non plus oublier les risques liés à l’humain, notamment avec l’usage encore très courant de clés USB dans les univers opérationnels. De ce fait, il est nécessaire de durcir les postes de contrôle et de supervision via la mise en place de solutions de whitelisting (ou allowlist) ou d’analyse des périphériques de stockage afin de rejeter toute opération d’un profil non autorisé. Mais aussi de sensibiliser les opérateurs à tous les risques cyber pour éviter toutes les erreurs ou actions involontaires qui pourraient mettre en péril les process industriels.
Au regard de ces quelques exemples non exhaustifs, une approche intégrée prenant en compte tous les fondamentaux nécessaires et s’appuyant sur plusieurs niveaux de protection s’impose pour sécuriser efficacement les systèmes de production des entreprises du secteur de l’énergie.
Tribuen de Stéphane Prevost (Stormshield)
