Les réseaux d'énergie sont depuis longtemps la cible des cybercriminels qui cherchent à perturber les infrastructures critiques et à déstabiliser les économies, et ces attaques s’intensifient dans le monde entier. En février 2022, une campagne contre les plateformes européennes de raffinage de pétrole d'Amsterdam-Rotterdam-Anvers (ARA) avait notamment perturbé le chargement et le déchargement des cargaisons de produits épurés dans un contexte de crise énergétique. Dans le cadre de la guerre en Ukraine, des hackers russes visent également les centrales électriques du pays.

Bien que de nombreuses tentatives aient été repoussées, le risque reste encore important. Ainsi, les mesures de sécurité, en particulier les pratiques d’authentification forte et les stratégies de défense, doivent être continuellement réévaluées pour protéger efficacement les services et installations énergétiques.

Protection des technologies opérationnelles

Très souvent, les systèmes de technologie opérationnelle (OT) et d’infrastructure critique (CIS), sont encore parfois négligés alors qu’ils devraient être sécurisés en priorité. Ces structures constituent en effet une cible de choix pour les cybercriminels, via des attaques de phishing ou des compromissions opérées grâce à des identifiants volés. Une fois infiltré, le hacker se déplace latéralement pour perturber les dispositifs et les fonctions essentielles d’un environnement OT. Même si le domaine est segmenté du réseau informatique, une potentielle violation pourrait néanmoins avoir des effets néfastes sur les opérations de ce dernier.

Afin de réduire les lacunes en matière de cybersécurité, les organisations doivent donc tendre vers des approches modernes, dotées d’une authentification forte résistante au phishing, et qui abandonnent les mots de passe. Avant leur déploiement, il est cependant important de considérer différents facteurs :

  • Les utilisateurs externes ou temporaires – Les consultants, les intérimaires et les employés de partenaires ne disposent pas toujours d'un terminal fourni et sécurisé par l’entreprise. Il s'agit en outre d'une main-d'œuvre appelée à changer régulièrement. Ce facteur doit ainsi être compris dans la politique de sécurité, afin de garantir de son efficacité. En outre, il est courant que des sous-traitants aient besoin d’accéder à des systèmes critiques via leurs propres appareils, ce qui ne fait qu'élargir le fossé des menaces potentielles. Ces partenaires représentent un besoin accru de sensibilisation aux pratiques d'authentification fortes et résistantes au phishing, et tout en devant être opérationnels avec un temps de formation aussi court que possible.
 
  • Les environnements de postes de travail partagés – Ces terminaux sont souvent essentielles aux opérations quotidiennes, mais sont aussi plus sensibles aux cyber-risques du fait de leurs multiples utilisateurs et des accès directs aux systèmes et des données critiques, ce qui amplifie la menace interne qu’elle soit malveillante ou accidentelle ; et ce d’autant plus lorsque l’appareil est situé dans lieu de fort passage. Dès lors, les postes de travail partagés nécessitent une authentification forte physique et individuel pour protéger l’accès aux réseaux de l’entreprise. Dans le cadre de sa mise en place, il est important de prendre en compte les capacités du système et les fonctions des employés, pour s'assurer que l’outil déployé soit facile à utiliser et qu’il apporte la sécurité adéquate.
 
  • Les environnements restreints par la mobilité – Certaines industries sensibles interdisent la présence d’appareils mobiles pour des raisons de sécurité. Dans ces scénarios, il est essentiel de trouver une solution MFA résistante au phishing et toujours disponible, telle qu’une clé de sécurité matérielle, qui ne dépende pas du service mobile, de l'accès Internet ou d’une batterie pour fonctionner.
 
  • Les dispositifs IoT sur le terrain - Le secteur de l'énergie déploie des terminaux connectés pour créer des réseaux intelligents, ayant la capacité de surveiller et de détecter les vulnérabilités cyber, pour les résoudre avant qu’il n’y ait un impact sur les opérations de l’entreprise. Mais l’expansion de ces nouveaux appareils engendre aussi de nouvelles menaces, en agrandissant la surface d'attaque et du fait d’une sécurisation souvent non optimale. Ainsi, la sécurisation de leurs accès doit donc plus que jamais être priorisée pour protéger les systèmes des organisations qui adoptent l’IoT.
 

Protéger la supplychain

Par ailleurs, la protection des entreprises partenaires dans le secteur de l’énergie, y compris la gestion des codes des applications partagées, constitue un défi encore plus grand que celui de l'OT. La plupart des entreprises commencent tout juste à élaborer des plans visant à assurer la cohérence et la conformité de centaines delogiciels liés à la supplychain. Pour un accès sécurisé dans les environnements IT et OT, le déploiement d’une MFA matérielle est fortement recommandé, car elle requiert plusieurs étapes de vérification de l’identité. En complément, la formation aux bonnes pratiques en matière de cybersécurité est indispensable, et permet aux utilisateurs d’identifier toute tentative d’attaque du cybercriminel.

Aussi, il est primordial que les organisations exigent un niveau de sécurité à leurs fournisseurs et partenaires similaire à leur stratégie interne. En effet, si les partenaires externalisés suivent une approche différente, qui ne repose pas sur une authentification forte, des conséquences coûteuses, telles que l'interruption des opérations ou des pannes d'infrastructures sensibles nationales ou régionales, peuvent s’ensuivre. Ainsi, leur maturité sur les questions de cybersécurité doit être évaluée tout au long de la collaboration, en demandant par exemple de fournir des preuves concrètes des procédures et des outils mis en place. Ces critères permettront aux entreprises de contrecarrer les nombreuses menaces qui tirent profit des accès vulnérables des tiers.

Sachant que les activités malveillantes visant le secteur de l’énergie deviennent plus en plus récurrentes, il devient indispensable pour ces entreprises de renforcer leurs défenses. En effet, la sophistication des cyberattaques ciblant ces infrastructures ne fait que renforcer l’urgence de déployer une authentification forte pour restreindre les accès aux systèmes des organisations. Dans ce sens, l’intégration d’une MFA physique dans la stratégie de sécurité est bénéfique. En complément, les entreprises doivent s’assurer de la bonne cyber-hygiène de leurs employés et des parties externes. C’est ainsi que leurs services et installations énergétiques pourront être efficacement protégées contre les cyber-risques.

Nombre de mots : 967

Par Fabrice De Vesian, Channel Manager chez Yubico