Publié dans :
L’IA et la cybersécurité : quelles opportunités ?
Alors que l’Union européenne vient de se doter d’un texte régulant l’usage de l’intelligence artificielle, ce qui constitue la première […]
« La troisième révolution énergétique est celle combinée des énergies renouvelables, du digital, et des réseaux intelligents » soulignait Nicolas Hulot en introduction au Forum de la Transition Energétique en mars 2018.
Une synergie porteuse pour le futur à laquelle les acteurs de la cybersécurité doivent apporter le maillon essentiel qui permettra d’assurer un avenir prometteur et durable.
Avant la très médiatique attaque Black Energy qui avait frappé un réseau électrique en Ukraine en décembre 2015 et provoqué une panne géante privant entre 800 000 et 1,4 million de personnes d’électricité pendant plusieurs heures en plein hiver, Shamoon avait ciblé la Saudi Aramco en 2012. En 2010, Dragonfly et Energetic Bears occupaient le devant de la scène, et Stunex s’introduisait dans les centrifugeuses des centrales nucléaires iraniennes portant atteinte aux capacités d’enrichissement de l’uranium du pays…
Décembre 2016, la ville de Kiev en Ukraine fut l’objet d’un black-out électrique suite à de multiples cyberattaques et à la compromission des postes de travail et des systèmes Scada du fournisseur d’électricité Ukrenergo.
Mars 2018, l’Agence de sécurité et de cybersécurité des infrastructures du Département de sécurité nationale des États-Unis d’Amérique du Nord informait que des cyberattaques affectaient des systèmes informatiques d’infrastructures électriques et nucléaires du pays.
Mars 2020, l’ENTSO-E, le coordinateur européen des réseaux de transport d’électricité, vient s’ajouter sur la liste des victimes de cyberattaques à travers le monde…
Les faits sont là : les attaques contre les systèmes de contrôle de processus industriels et opérationnels ont augmenté de 2000% depuis 2016 ! L’année 2019 aurait été une année record selon le rapport IBM X-Force Threat Intelligence.
Le secteur de l’énergie, marqué par une numérisation croissante est sans conteste une cible privilégiée des cyber-attaquants aux motivations aussi multiples que floues. Sabotage, espionnage économique et industriel ou dysfonctionnement divers s’inscrivent dans des stratégies d’attaque, de dissuasion ou de représailles dont certaines sont orchestrées par des Etats et auxquelles il nous faut être prêts à faire face…
Cette situation oblige à faire de la cybersécurité une priorité du secteur de l’énergie. Son caractère vital et stratégique pour chaque pays ne peut laisser de place à l’approximation. Mais la tâche est complexe.
Les installations des réseaux énergétiques restent anciennes, mais elles côtoient le monde de l’énergie connectée, des systèmes d’information, des contrôles et de la maintenance à distance… Désormais, la frontière OT – IT n’est plus. Les compagnies d’énergie sont devenues dépendantes des dispositifs connectés. Le Gartner estime un taux de croissance annuel de 45,7 % du marché de la sécurité OT autonome à l’horizon 2022.
Il est alors vital de créer une synergie et une approche de sûreté et de sécurité globales intégrant le physique et le logique dans une idée de continuum au service de l’énergie de demain.
En devenant un « réseau intelligent », le réseau électrique s’est ouvert aux risques cyber. Leur non-maîtrise peut mettre à défaut la disponibilité, l’intégrité et la sûreté de fonctionnement des infrastructures électriques et porter atteinte aux individus, aux organisations et in fine à l’État. La cybersécurité n’est donc plus une option et loin d’être uniquement une problématique technique elle doit s’inscrire dans une démarche stratégique, politique, économique et managériale globale.
La France fait figure de pionnière en Europe, avec l’adoption dès 2013 de la loi de programmation militaire, suivie par celle de la directive NIS et les différentes obligations imposées aux opérateurs. Avec les différentes mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information au sein de l’Union Européenne, les efforts accomplis sont considérables.
Mais aujourd’hui, tant les mutations du secteur de l’énergie en France et en Europe, que la virulence et la sophistication des cyber attaques obligent à repenser cette question et les actions collectives à déployer.
Le secteur de l’énergie doit mettre en place une approche globale de management des risques. En utilisant des outils automatisés, globaux et collaboratifs, les acteurs clés du secteur disposeront d’une cartographie en temps réel mais aussi évolutive des risques, des scénarios possibles d’attaques permettant d’anticiper et de décider avec précision et rapidité.
Les énergies renouvelables doivent elles aussi prendre en compte les enjeux de cybersécurité. Pilotés à distance, les éoliennes et les panneaux solaires sont ainsi des objets connectés qui doivent être sécurisés de bout en bout par des protocoles et des technologies appropriées. Or, la cybersécurité des IoT reste un maillon faible et ces éoliennes et panneaux solaires n’ont pas été conçus en intégrant la security by design. Les failles sont alors gigantesques…
A cela s’ajoute la problématique de la décentralisation de la production énergétique qui va elle aussi multiplier les portes d’entrée et élargir la surface d’attaques.
Quant aux véhicules électriques, connectés et bientôt autonomes, ils seront eux aussi des cibles formidables pour des attaquants…
Autant de sujets stratégiques auxquels nous devons réfléchir et ce dès à présent.
Le monde interconnecté dans lequel nous vivons et qui sera plus encore le monde de demain, implique une coopération des différents acteurs, des synergies à trouver, un partage d’informations à renforcer. Enfin, l’émergence de plans de co-construction et de co-innovation devront placer, une fois de plus, le collectif au cœur du dispositif et comme véritable facteur clé de succès.
Sources
Rapport IBM X-Force Threat Intelligence
https://lenergeek.com/2020/03/11/coordinateur-europeen-transport-electricite-cyber-attaque/
https://www.bulletin.ch/fr/news-detail/la-cybersecurite-des-infrastructures-electriques.html
Alors que l’Union européenne vient de se doter d’un texte régulant l’usage de l’intelligence artificielle, ce qui constitue la première […]
D’ici 9 mois, ce sont pas moins de 150.000 entités à travers l’Europe et tous secteurs d’activité confondus, qui seront […]
Les États de l’Union européenne ont jusqu’à octobre 2024 pour transposer la directive européenne NIS2 en droit national. Retour sur la consécration […]