Les infrastructures d’énergie, un actif stratégique à sécuriser

Le contexte géopolitique nous le rappelle : la sécurisation des systèmes de contrôle des infrastructures d’énergie est devenue un enjeu stratégique. Deux principes doivent guider une stratégie de cybersécurité robuste : le « Zero Trust » et la « Defense in Depth ».

« Les infrastructures énergétiques sont de plus en plus visées », ce qui pèse sur la continuité de l’approvisionnement.

Au printemps dernier, des annonces ont agité le monde de la cybersécurité. Le 17 avril, le gouvernement américain, à travers l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), invitait tous les exploitants d’infrastructures critiques à renforcer immédiatement la sécurité de leurs dispositifs et réseaux ICS/SCADA (Industrial Control Systems/Supervisory Control And Data Acquisition), à la suite de l’attaque d’un logiciel malveillant visant les systèmes industriels.

Quelques jours auparavant, les autorités ukrainiennes avaient annoncé avoir déjoué une attaque majeure contre le réseau électrique du pays. L’Ukraine a d’emblée soupçonné le service de renseignement militaire russe. « Tous les fournisseurs d’énergie (…) devraient s’intéresser à cette attaque et se demander si des pirates pourraient cibler les infrastructures des Etats-Unis ou d’autres pays », avait alors déclaré Andrii Bezverkhyi, PDG-fondateur de SOC Prime, une entreprise spécialisée dans la détection des menaces.

« Sécuriser une infrastructure énergétique est une démarche qui doit être adaptée à la stratégie, l’architecture et l’environnement réseau de chaque client. »

Au-delà de la guerre en Ukraine, « il est important de souligner que non seulement l’Ukraine et les Etats-Unis figurent sur la liste des cibles, mais également d’autres membres actuels et/ou potentiels de l’OTAN ainsi que d’autres pays qui soutiennent cette organisation internationale », estime Naiara Pabo Busto, International Business Development Manager d’Axians, la marque ICT de VINCI Energies.

L’énergie en première ligne

Elle constate que « les infrastructures énergétiques sont de plus en plus visées » et en conclut que « la sécurité énergétique est ainsi compromise, tout comme la continuité de l’approvisionnement et d’autres facteurs de risque associés ». Cette menace grandissante rappelle combien la sécurité des infrastructures d’énergie, quel que soit le pays, est un enjeu vital.

Les réseaux de transmission et de distribution d’énergie utilisent en effet des technologies d’exploitation (OT, Operational Technology) et des communications critiques (SCADA, téléprotections…) gérant des matériels et logiciels destinés à contrôler des équipements industriels.

« La digitalisation du réseau apporte des avantages commerciaux et opérationnels sans précédent, notamment l’automatisation du réseau et l’intégration de nouvelles applications à valeur ajoutée. La norme IEC 61850^* apporte l’interopérabilité et des avantages considérables, avec la digitalisation. Toutefois, la digitalisation et la standardisation exposent les systèmes aux attaques malveillantes, car tous les appareils, équipements, logiciels et process sont désormais connectés au réseau. Ils sont donc plus vulnérables aux cyberattaques », explique Naiara Pabo Busto.

Sécurisation sur mesure

Pour sécuriser une infrastructure d’énergie, au-delà de sa résilience même, il convient d’avoir une connaissance et une compréhension approfondies des différents process, des actifs et des communications qu’elle met en œuvre, et ce, depuis la production jusqu’au compteur.

« Sécuriser une infrastructure énergétique est une démarche qui doit être adaptée à la stratégie, l’architecture et l’environnement réseau de chaque client », souligne Naiara Pabo Busto. Elle recommande, pour cela, de recourir à une méthodologie étape par étape conforme aux normes en vigueur, telle l’IEC 62443**, et aux cadres de cybersécurité comme celui du National Institute of Standards and Technology (NIST) américain.

« La première étape, détaille cette experte Axians, consiste à auditer tout l’environnement de l’infrastructure énergétique pour avoir une visibilité complète du réseau. C’est un défi de taille, car de nombreux appareils installés dans les sous-stations sont obsolètes et il n’y a aucun moyen de renforcer leur sécurité (chiffrement, authentification…). »

Deux piliers stratégiques

Une stratégie de cybersécurité solide, visant à renforcer la robustesse et la sécurité des infrastructures énergétiques, repose sur deux grands principes : le « Zero Trust » et la « Defense in Depth ».

« Un état d’esprit « Zero Trust«  implique que seuls les appareils informatiques IoT et OT connus et légitimes, ainsi que les communications de leurs utilisateurs, sont explicitement autorisés, explique Naiara Pabo Busto. La « Defense in Depth«  est un concept qui tire ses origines de l’armée. Il a été exporté avec succès vers la cybersécurité, qui passe par de nombreux mécanismes et couches de protection pour sécuriser les données, les actifs et les communications critiques. La « Defense in Depth » fournit des mécanismes de redondance et de résilience qui permettent de contrecarrer un large éventail de cyberattaques. »

Pour Laurent Chilaud, responsable Développement & Ingénierie chez SDEL Contrôle Commande (VINCI Energies – Omexom), « cette protection en profondeur, destinée à intégrer des couches successives pour complexifier l’accès à de potentielles attaques, peut recourir à une multitude de solutions : systèmes de firewall, IDS/IPS (sondes de détection d’intrusion/de protection), Role Based-Access Control, VLAN, chiffrement. » L’expert rappelle toutefois qu’« il est essentiel de réaliser au préalable une analyse risque/coût afin d’adapter au mieux le système de protection pour une efficacité maximale ».

* Norme internationale définissant les protocoles de communication des appareils électroniques intelligents dans les sous-stations électriques.

** Ensemble de recommandations standard pour la cybersécurité des installations industrielles.

14/12/2022