L’invasion en Ukraine a accru l’inquiétude des responsables de la cybersécurité dans ce domaine économique. L’insuffisance des investissements et le manque de profils qualifiés sont des freins importants. Le respect de la future directive européenne NIS2 sera impérative mais non suffisante.
Divulgation en mars 2022 du vol et de la publication de messages d’Omega, le département de recherche de Transneft (réseau d’oleoducs) contrôlé par l’État russe, action malveillante en 2022 contre MashOil, acteur russe de l’industrie du forage, de l’exploitation minière et de la fracturation. Attaque par
ransomware de l’oléoduc Colonial Pipeline en mai 2021. Autant d’exemples d’attaques réussies des systèmes industriels de l’énergie. Le pilotage des réseaux électriques, l’utilisation croissante des objets connectés, la gestion à distance des éoliennes, etc. sont autant de cibles pour les attaquants. A la clé, de graves dommages comme des coupures de courant généralisées, des pertes économiques ou d’importants impacts sur les infrastructures physiques.
La Fondation indépendante norvégienne Det Norske Veritas ou DNV, prestataire international de services en management des risques, a publié une intéressante étude. Premier enseignement, le profil des cyberattaquants a changé depuis le début de l'année 2022. Après l'invasion de l’Ukraine par la Russie, le secteur est passé en état d'alerte, les professionnels s'inquiétant de tous les attaquants potentiels. L'année suivante, les dirigeants du secteur de l'énergie sont restés très attentifs à la menace créée par la guerre en Ukraine par des hacktivistes politiques ou par des États hostiles mais ils semblent moins préoccupés par les des adversaires à plus long terme tels que les gangs criminels.
Le graphique ci-dessous indique la catégorisation du profil des attaquants. Ainsi, 69 % seraient des hacktivistes (groupes de pression), 61 % des Etats, 51 % des anciens salariés malveillants et 50 % des pirates, ces derniers au quatrième rang seulement.
Dans l'étude 2022 Cyber Priority de DNV, la majorité des questionnés ont répondu qu'ils pensaient qu'un incident majeur dans le secteur de l'énergie était probable dans les deux années à venir, entraînant une perturbation des opérations (85 %), des dommages à l'environnement (74 %) et des pertes humaines (57 %).
La chaine d’approvisionnement, sujet d’inquiétude
Les professionnels de l'énergie sont de plus en plus conscients des cyberisques posés par leurs fournisseurs. Plus de la moitié des professionnels de l'énergie (57 %) disent que leur organisation surveille les vulnérabilités de la chaîne d'approvisionnement (supply chain). Les personnes interrogées dans le secteur du pétrole et du gaz sont plus susceptibles que les compagnies d'électricité à estimer qu'elles ont une bonne vision de la chaîne d'approvisionnement et qu’elles investissent davantage dans la cybersécurité OT (operational technology). Noter que plus de quatre professionnels du pétrole et du gaz sur dix (42 %) ont déclaré que leur entreprise avait subi des incidents cyber en 2022, contre 35 % des professionnels du secteur de l'électricité. L'investissement, la pénurie de compétences et le manque de collaboration restent des défis majeurs pour les répondants à l’étude. Le code informatique des produits développés dans les pays hostiles est aussi un sujet sensible.
Le respect de la Directive européenne NIS2 ne suffit pas à assurer la sécurité
Initiée en juillet 2016, la directive « Network and Information Security »
NIS 2 entrera en vigueur en France au deuxième semestre 2024. Elle est censée harmoniser et renforcer la cybersécurité sur le territoire européen notamment pour les secteurs qui traitent des domaines sensibles tels celui de l’énergie. Bien noter que cette version 2 de la NIS augmente les sanctions en cas de non-respect de la réglementation en prévoyant des amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial consolidé d'une organisation. Des pénalités dissuasives pour les contrevenants mais pour le DNV, le danger de cette approche réactive et dépendante de la réglementation reste qu'elle est inévitablement axée sur l’obligation de se conformer aux règles plutôt que d'atteindre une résilience maximale par des mesures appropriées. Une position résumée en une phrase explicite par DNV «
vous pouvez être conforme sans avoir une bonne cybersécurité ».