L’accélération fulgurante des cyberattaques contre les infrastructures électriques est aujourd’hui une réalité préoccupante qui nécessite de prendre des mesures d’urgence pour se protéger. Et cela d’autant plus, lorsque leurs conséquences peuvent être catastrophiques pour l’ensemble de la population.
Franck DeCloquement : Moins bien connues que les cyberattaques classiques, les attaques informatiques à l'encontre des infrastructures énergétiques ou industrielles, comme celles qui avaient visé le plus grand oléoduc américain, se multiplient à très grande vitesse. Le risque n'est pas nouveau, mais il se révèle de plus en plus présent compte tenu des tensions géopolitiques actuelles aux portes de l’Europe : les machines et équipements industriels, autrefois coupés des réseaux, d’alimentation sont aujourd'hui connectés à Internet pour gagner en compétitivité – quitte à user de systèmes parfois obsolètes… Une aubaine pour les assaillants de tous poils, qui disposent ainsi d'un arsenal intrusif augmenté, toujours plus sophistiqué. Rappelons à ce titre quelques points clefs que rappel fort à propos dans ses différentes publications, l’observatoire de l’industrie électrique :
• Les systèmes énergétiques sont des actifs stratégiques majeurs et font l’objet d’un nombre croissant de cyberattaques : plus de 20 cyberattaques de grande ampleur ont concerné des systèmes énergétiques dans le monde depuis 1982, avec une accélération du rythme depuis le début des années 2010.
• Les cyberattaques ont essentiellement des origines externes aux installations (le sabotage interne est rare), et peuvent découler de motivations politiques et géopolitiques, financières ou de notoriété.
• Le développement des applications numériques et des objets connectés génère de nouveaux flux d’informations dans les systèmes électriques. Ces flux de communication représentent des enjeux supplémentaires en termes de résilience des systèmes électriques.
• La cybersécurité des infrastructures énergétiques relève désormais de la compétence militaire dans de nombreux pays. Ainsi, aux Etats-Unis, la cyber résilience de l’industrie électrique relève de la compétence du « Secretary of Defense » (et non de l’Energie), tandis qu’en France la protection des installations électriques est régie par la Loi de Programmation Militaire de 2013.
• La cybersécurité recouvre des enjeux régaliens et industriels très clairs, et nécessite une bonne coopération entre les différents acteurs en présence. La résilience du système électrique français dépend ainsi à fois des réponses mises en œuvre au niveau national, mais aussi au niveau européen et celui de l’OTAN.
D'abord l'apanage des Etats, ces cyberattaques deviennent aussi le fait de hackers « sous-traitants » de ceux-ci, œuvrant ostensiblement la plupart du temps sous commandite, avec les conséquences potentiellement catastrophiques que l’on imagine aisément pour l’ensemble des populations et des nations ainsi visées. Eau, électricité, transports : ces cyberattaques délétères sur nos opérateurs d’importance vitale (OIV) peuvent naturellement paralyser partiellement ou totalement les infrastructures industrielles d’un pays, mais aussi l’ensemble de nos écosystèmes économiques et sociaux dans la foulée. Et à ce titre, les attaques cybernétiques menées contre le réseau électrique ukrainien à travers l’entreprise régionale de fourniture d'électricité ukrainienne Kyivoblenergo, demeure l’une des pires intrusions jamais perpétrées à ce jour. Et l'affaire n'est sans doute pas encore classée du côté des autorités à ce jour.
Tout a commencé le 23 décembre 2015, lorsque le centre de contrôle de Prykarpattyaoblenergo est soudainement victime d'une cyber-intrusion. Il s’agit en l’état du premier fournisseur d’électricité au monde à tomber sous le joug d'une cyberattaque. Les systèmes informatiques et les systèmes de contrôle et d'acquisition de données en temps réel de l’entreprise – dits aussi : « systèmes SCADA » (Supervisory Control And Data Acquisition) – sont attaqués ! Entraînant ipso facto dans la foulée la déconnexion de 30 sous-stations pendant trois heures. Jusqu'à 230 000 usagers sont alors privés d'électricité. Soit près de la moitié des foyers dans la région d'Ivano-Frankivsk en Ukraine (qui compte environ 1,4 million d'habitants). L’arme de cette opération cybercriminelle est un malware répondant au doux nom de « BlackEnergy ».
Comme évoqué peu après l’attaque dans la presse internationale, le gouvernement ukrainien a presque immédiatement mis en cause la Russie, lui attribuant naturellement cette cyber-agression sur ses infrastructures vitales en vertu du précepte bien connu : « à qui profite le crime » ?. Pointant ainsi ostensiblement du doigt les services de sécurité russes et la volonté du Kremlin par ailleurs. Mais jusqu'à très récemment, personne n'avait cependant été officiellement accusé.
Rappelons pour la petite histoire que le 15 octobre 2020, à Pittsburgh aux États-Unis, un grand jury fédéral a mis en accusation six pirates informatiques, tous résidents et ressortissants de la Fédération de Russie et officiers de l'unité 74455 de la Direction principale du renseignement russe (GRU). Cette agence de renseignement militaire bien connue de l'état-major général des forces armées est également connue sous le nom de « Sandworm ». Ce même groupe pourrait également être responsable d'une autre attaque d’envergure, celle de NotPetya que nous avions déjà évoqué en son temps pour ATLANTICO, et qui avait causé près d'un milliard de dollars de pertes sèches. De plus, l’unité « Sandworm » pourrait être derrière une série de cyberattaques qui visait à influencer les Jeux olympiques d'été de 2020 à Tokyo, repoussés à l’année suivante. On le perçoit, ces affaires cybers sont sérieuses. Les motivations des cyberattaques sont très variées, mais elles peuvent être regroupées cependant en quelques catégories :
• Le sabotage militaire ou terroriste, s’effectuant sur la base de facteurs politiques et géopolitiques.
• L’espionnage, le vol de données, le chantage, ou la demande de rançon… pour des motivations financières ou économiques.
• Le test de méthodes et de mise à l’épreuve, ou l’action de notoriété.
Dans certains cas, comme « Wannacry » que nous avions traité ici même pour ATLANTICO, la motivation a pu initialement sembler floue et ne pas reposer uniquement sur l’extorsion de fond, mais aussi sur la recherche d’une forme de notoriété pour le groupe agissant clandestinement en coulisses. L’année 2017 a marqué un tournant dans la cybercriminalité, le champ des attaques se déplaçant cette fois-ci vers le sabotage des systèmes industriels, des systèmes d’importance vitale, des systèmes de transport et des systèmes énergétiques. Soit dans le cadre de conflits entre Etats, soit dans le cadre d’actions terroristes. La cyberdéfense et les cyberattaques qu’elles contribuent à contrecarrer, s’imposent donc progressivement, d’année en année, comme de nouvelles armes stratégiques visant tout particulièrement le fonctionnement des Etats.
Franck DeCloquement : Pour reprendre allègrement à des fins de clarté explicative les termes du rapport cité plus haut, malgré toutes les mesures de protection envisagées, la sécurisation totale des installations électriques d’un pays est impossible. Tout comme la prévention d’actes de sabotage physiques par des personnes malveillantes et très motivées, pendant que le développement permanent de nouvelles fonctionnalités par les TIC est porteur, en parallèle de l’apparition de nouvelles failles potentielles. Par exemple, il s’avère que le logiciel utilisé dans l’attaque de décembre 2016 contre l’Ukraine a été spécialement conçu pour s’attaquer aux réseaux électriques. Appelée « Industroyer » ou « Crashoverride » par les experts, cette menace a eu pour cible principale les disjoncteurs. La logique d’attaque sur les « SCADA » (les systèmes informatiques et les systèmes de contrôle et d'acquisition de données en temps réel de l’entreprise) repose en définitive sur le fait qu’ils n’ont pas été conçus d’emblée pour être connectés entre eux. Très évoluée dans ses capacités à s’introduire de manière ourdie dans les systèmes informatiques, à y rester en dormance puis à y agir clandestinement, cette menace de nature digitale subreptice peut rapidement aboutir à des coupures de réseau de plusieurs heures, voire de plusieurs jours après la détection des faits, en cas d’attaque multi sites. Elle est également susceptible de détériorer physiquement une centrale. Si son utilisation en 2016 doit être considérée plutôt comme un simple « test » en forme de répétition générale de la part des pirates, la conception de cette menace a clairement nécessité une expertise de très haut niveau et une connaissance très fine du fonctionnement des systèmes électriques.
Il existe fort heureusement des systèmes de réponses permettant la résilience des systèmes, en cas d’impact délétère. La croissance des risques n’a pas laissé nos responsables nationaux et supranationaux pantelants et sans défense. Au niveau français, l’ANSSI qui pilote la politique française de cybersécurité a en effet adopté, à partir de la LPM (Loi de programmation militaire) de 2013. Une approche réglementaire très stricte qui vise pour l’essentiel à définir les obligations qui pèsent sur les « Opérateurs d’Importance Vitale » (OIV) pour l’économie nationale. Dans ce groupe d’opérateurs figurent naturellement en bonne place ceux du secteur énergétique. L’approche allemande, est assez similaire sur le plan des principes, mais elle se distingue cependant par une liste d’OIV plus importante. Mais également par l’absence de mesures spécifiques imposées à celles-ci. En 2016, face à l’évolution des menaces, la France a lancé une révision de sa doctrine militaire en s’appuyant sur le centre de maîtrise de l’information de la Direction Générale de l’Armement (DGA), qui dispose de moyens importants d’actions. En particulier, l’armée française qui dispose à ce jour de plus 3 400 cyber-combattants. Des guerriers « numériques » en somme, d’ailleurs regroupés dans le nouveau COMCYBER. Au niveau de l’Union Européenne, l’ENISA exerce de son côté un rôle d’expertise sur ce sujet, mais aussi un rôle de coordination en cas de crise. Par contre, elle ne possédait pas en 2017 ni la capacité de mettre en œuvre une procédure de réaction graduelle, de la détection à la réaction, ni un pouvoir d’initiative propre.
L’attaque « Wannacry » a néanmoins très vite modifié les vues de la Commission Européenne sur le sujet. Celle-ci a depuis renforcé la coopération entre Etats-membres, via le mécanisme d’échange pour la coopération opérationnelle (Computer Security Incident Response Team Network) mis en place dans le cadre de la directive « Network and Information System ». Aussi, ceci implique une coopération accrue avec les autorités policières et le secteur privé. Parallèlement, la « DG Energie » de la Commission Européenne a demandé à l’EECSP de produire un rapport analysant les enjeux de cyber sécurité et les domaines stratégiques du secteur de l’énergie. Enfin, le Commissaire en charge du domaine, a relancé la coordination dans ce domaine car selon lui « aucun Etat-membre ne peut traiter ces problèmes seul ». Du côté des industriels, Eurelectric, dans un rapport datant de 2017 avait assez tôt mis en avant le besoin d’améliorer la cybersécurité en Europe dans le secteur. Ceci passant naturellement par la nécessité pour les opérateurs de réseaux de mettre en place une stratégie de cybersécurité bien structurée, et de développer parallèlement les compétences nécessaires pour éviter les pertes de données, les ruptures d’alimentation et les incursions dans la vie privée des consommateurs.
Très tôt au niveau de l’OTAN, la préoccupation est également devenue très grande sur ces sujets prioritaires, d’autant plus dans le contexte des tensions actuelles. Le Supreme Allied Commander for Transformation (SAC-T) avait déclaré dès 2017 : « Notre contexte sécuritaire est caractérisé par sa volatilité, son imprévisibilité et surtout par sa complexité. La première question n’est donc pas de quoi avons-nous besoin, mais que voulons-nous faire ? ». Ceci a abouti à engager une large réflexion sur la protection des infrastructures vitales pour l’Europe à la suite du sommet de Varsovie de 2016. Parmi les sept exigences retenues à l’époque en matière de résilience nationale et gouvernementale, figurait en bonne place celle de la sécurité de l’approvisionnement en énergie. Dans ce cadre, Eurelectric a été appelée par l’OTAN à apporter sa contribution à la préparation du « NATO Defense Planning Process » de 2017. Enfin, le G7 a mandaté son groupe de cyber-experts pour présenter en octobre 2017 « des éléments de haut niveau et non contraignants » permettant d’évaluer l’état de la cybersécurité.
Dans le même laps de temps côté américain, suite à la cyberattaque de pirates Russes sur le Vermont, le Departement de l’Energie avait très vite mis l’accent dans son « Quadrennial Energy Review » sur la protection des réseaux aussi bien électriques que gaziers. Ceci a rapidement entraîné une réforme du « Federal Power Act » pour acter son importance en termes de sécurité nationale. Dans ce cadre, le Président Trump avait signé le 11 mai 2017 à cet effet un « Executive order » dont le but immédiat était d’améliorer la protection des infrastructures vitales contre les cyberattaques ennemis.
Les choses ont encore beaucoup évoluée depuis, fort heureusement. Au fil des années, les cybermenaces pesant sur les réseaux électriques et leurs infrastructures se sont perfectionnées. De ce fait, le secteur de l’énergie électrique a en effet pris la mesure des risques cyber encourus. Il s’est doté pour cela d’un arsenal de standards pour gérer ces risques. Il devient ainsi l’un des secteurs les plus réglementés en matière de cybersécurité. Nous pouvons par exemple citer la norme américaine NERC-CIP qui définit un ensemble de règles pour sécuriser les actifs nécessaires à l’exploitation des infrastructures de réseau électrique en Amérique du Nord. Dans le même registre, on retrouve en France la Loi de « Programmation Militaire » et la « directive NIS » au niveau européen. Elles sécurisent respectivement les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels. Au niveau des standards, IEC 62645 représente un ensemble de mesures pour prévenir, détecter et réagir aux actes de malveillance commis par les cyberattaques sur les systèmes informatiques des centrales nucléaires. De son côté IEC 62859 cadre la gestion des interactions entre la sécurité physique et la cybersécurité. ISO 27019 contient des recommandations de sécurité appliquées aux systèmes de contrôle des processus utilisés par l’industrie des opérateurs de l’énergie. IEC 61850 est une norme de communication utilisée par les systèmes de protection des sous-stations dans le secteur de la production d’énergie électrique.
Comment garantir en définitive une résilience efficace de l’infrastructure opérationnelle ? Nous emprunterons largement les éléments développés par Tech-Talks dans ces colonnes. La première réponse consiste en somme à traiter la problématique de l’obsolescence des systèmes d’exploitation et des applications utilisés dans l’infrastructure opérationnelle. Sur ce point, une approche basée sur des dispositifs de protection en profondeur est indispensable. Cela permet de bloquer les comportements suspects au niveau des appels système. Mais aussi de répondre aux menaces qui exploitent les failles applicatives. Il faut ensuite contrôler les messages échangés dans le réseau opérationnel. En effet, les sous-systèmes historiquement indépendants changent de plus en plus à échanger de l’information et s’interconnectent. L’isolation des réseaux de ces différents systèmes grâce à une approche basée sur la segmentation est une phase importante. Ce type de mesure offre également la possibilité de bloquer la propagation d’une attaque en complexifiant la découverte du réseau opérationnel. On notera que restreindre l’accès d’un équipement particulier à une seule ou un groupe de stations de travail peut être pertinent. Il permet en effet de limiter la surface d’attaque. Ensuite, compte tenu de la criticité des sous-stations, les experts préconisent l’application d’autres mesures de protection. On parle alors de filtrage réseau au niveau des équipements « IEDs ». Cela permet un accès restreint à un seul groupe de stations de travail, selon un créneau horaire bien spécifique. Il est même envisageable d’appliquer un contrôle selon l’utilisateur. L’idée est de savoir précisément qui s’est connecté sur le poste de contrôle et à quel moment.
Au-delà de ce florilège particulièrement technique, il ne faut cependant pas oublier les risques liés aux vulnérabilités humaines. Et notamment avec l’usage encore très courant de clés USB dans les univers opérationnels, ou des objets connectés (IOT)... De ce fait, il est nécessaire de durcir les postes de contrôle et de supervision. Une tâche rendue possible via la mise en place de solutions de « whitelisting » (ou « allowlist »). De même, l’analyse des périphériques de stockage est possible. Elle permet de rejeter toute opération d’un profil non autorisé. Une entreprise peut aussi sensibiliser en continue ses opérateurs à tous les risques cyber. Cela lui permettant en outre d’éviter toutes les erreurs ou actions involontaires qui pourraient mettre en péril les process industriels. Au regard de ces quelques exemples bien entendu non exhaustifs, une approche intégrée prenant en compte tous les fondamentaux nécessaires et s’appuyant sur plusieurs niveaux de protection s’impose. Elle permet ainsi de sécuriser efficacement les systèmes de production des entreprises du secteur de l’énergie.
Conserver l’attention sur les connexions à distance :
Les messages opérationnels échangés entre les équipements des infrastructures électriques, les IEDs et les postes de supervision sont un autre point de vigilance. Si un cyber attaquant réussit à établir une connexion à distance avec un dispositif physique ou un poste de télémaintenance, il lui sera alors possible d’analyser le réseau. Mais aussi de comprendre l’organisation générale du dispositif, et d’envoyer des messages malveillants. La solution pour pallier à ce type de risque est donc de déployer des sondes industrielles. Mais également des IDS voire des IPS afin de contrôler les messages échangés avec les équipements les plus sensibles. Leur implémentation va permettre de vérifier la cohérence des messages échangés entre les équipements et les couches de gestion supérieures. Cela permet de s’assurer qu’ils ne mettent pas en péril le processus opérationnel. La solution retenue devant supporter en outre les protocoles métiers. Un point majeur parfaitement crucial pour assurer une bonne couverture dans la protection des commandes de contrôle des équipements électriques…
Franck DeCloquement :Question complexe au demeurant. Rappelons-le, au lendemain de la fin des pourparlers entre la Russie, les Etats-Unis et l’OTAN, l’Ukraine a subi une cyberattaque d’ampleur. 70 sites gouvernementaux visés et 10 d’entre eux piratés. Tous les regards se sont alors tournés vers Moscou, érigé en principal suspect dans cette affaire... Et le dimanche 15 janvier dernier, Kiev a officiellement accusé la Russie d’être l’auteur de cette attaque, affirmant de son côté disposer de preuves tangibles d’attribution. L’Union Européenne s’inquiète naturellement de plus en plus de l’escalade des tensions entre les deux pays, dont les raisons cachées ne sont plus à démontrer. Les signaux forts et avant-coureur d’une invasion massive prochaine jusqu’à Kiev ? A tort ou à raison, beaucoup d’analystes très au fait de la culture stratégique Russe ne le pensent pas. Les papiers publiés dans la presse spécialisée ne cessent d’en expliquer les ressorts cachés selon leur prisme de regard.
Un article paru dernièrement dans la lettre du Continent, que nous paraphraserons ici, est à ce titre très instructif pour interpréter et décrypter par le prisme culturel ces manœuvres cyber-stratégiques, ainsi que les différentes démonstrations de force du Kremlin affiliées. Et en l’état, il n’est pas déraisonnable d’imaginer que ces coups « tordus » et subreptices ciblant des infrastructures ukrainiennes vitales, ont pour but manifeste de dégrader les différents potentiels militaires de l’armée ukrainienne, afin d’en affaiblir considérablement l’efficacité opérationnelle et technique avec des intrusions digitales temporaires. Le retrait négocié des troupes s’effectuerait ensuite, en contrepartie de la mise en œuvre effective du volet politique des accords de Minsk auquel l’Ukraine se refuse jusqu’à présent. Quoi qu’il en soit, à date, Moscou persiste à maintenir sa pression sur le front militaire – par le déploiement de ses forces aux frontières de l’Ukraine doublée de cyber-attaques conjointes. Le tout en engageant parallèlement des négociations dans le même temps. La Russie donne le sentiment de toujours vouloir s’asseoir à la table des négociations. Réalité ou manœuvre ? La question est posée.
Toutefois, le risque de voir la diplomatie prendre fin, et le Kremlin recourir à des moyens spéciaux hybrides (dit aussi « militaro-techniques ») contre l’Ukraine ou ses partenaires occidentaux, reste une occurrence très élevée. Et cela, jusqu’à ce que Moscou obtienne satisfaction sur le plan diplomatique, évitant par la même occasion une escalade du conflit sur le champ purement militaire. En définitive, il existe une dimension centrale dans la stratégie russe, celui de la continuité entre les champs diplomatique et militaire, dans un même continuum. Penser ces deux champs d’actions conjoints comme distincts empêche justement de saisir les intérêts de la Russie, et les risques qui accompagnent ces actions. Dans la culture stratégique russe, la force et la diplomatie procèdent d’un même mouvement et peuvent être à ce titre déployées en duo. D’un point de vue occidental, la diplomatie est perçue au contraire comme un processus de persuasion ou d’incitation : elle peut avoir pour finalité qu’un acteur respecte les intérêts, ou s’incline devant les demandes réitérées d’une puissance. Mais sans recours à la force ou à des menaces explicites. En somme, la culture stratégique actuelle de la Russie vise donc à maintenir une influence, et n’a pas pour unique objectif l’obtention de la fin des tensions. En tant que telle, cette diplomatie de biais ne peut être réellement efficace et opérative, que si elle est accompagnée parallèlement d’une menace « crédible » de faire usage de la force armée le cas échéant. Résumons : elle est en définitive perçue comme un moyen et un outil pour atteindre certains objectifs prioritaires, et non pas comme une fin politique en tant que telle. La diplomatie est un outil pour Moscou dans sa quête de statut. En négociant d’égal à égal avec les Américains, tout en reléguant au second rang l’Ukraine et les puissances européennes, Moscou cherche aussi à se voir réattribuer explicitement son statut de grande puissance et son rang. Ce qui fait sens dans une perspective relationnelle où cet atout est ne peut être naturellement accordé que par les autres puissances concurrentes à la Russie. Mais alors que l’administration américaine souhaite se focaliser sur la Chine, Moscou semble désormais suffisamment en position de force pour s’estimer en capacité de faire valoir ses intérêts sur la scène internationale et d’avancer ses pions, considérant ne pas avoir pas eu voix au chapitre lors de la fin de la Guerre froide concernant l’architecture de sécurité en Europe. La Russie souhaite désormais imposer un accord qui reconnaîtrait ses intérêts. Un pari qui est déjà en partie gagnant puisque les demandes maximalistes de Moscou ont permis l’ouverture de négociations avec Washington sur des sujets que l’Occident refusait. La Russie est ainsi confortée dans son usage de la diplomatie en tandem avec la force armée et va continuer à maintenir une pression forte sur Washington jusqu’à ce qu’un accord soit trouvé entre les deux parties. Les cyberattaques étant naturellement l’un des outils employés dans cette affaire complexe.
Pour ne pas conclure, et comme l’explique le World Energy Council « les entreprises du secteur de l’énergie doivent intégrer le fait que les cyberattaques constituent aujourd’hui des menaces majeures permanentes pour les grandes infrastructures. Au même titre qu’une inondation, un incendie ou un cyclone ». Ces cyberattaques peuvent avoir des motivations différentes (financières, géopolitiques ou de réputation – liste non exhaustive), ce qui démultiplie davantage le problème de leurs origines et la complexité des moyens de cyberdéfense à leur opposer. De fait, la nature stratégique des systèmes électriques en font l’objet d’un nombre croissant de cyberattaques : plus de 20 cyberattaques de grande ampleur ont concerné des systèmes électriques ces dernières années. Les industriels ont naturellement pris la mesure de la menace en investissant de plus en plus dans leurs systèmes de protection pour atteindre l’objectif de cyber résilience. Leur réaction à ses enjeux stratégiques nationaux et internationaux doit néanmoins être accompagnée de réponses des autorités nationales et supranationales, qui doivent pouvoir évoluer au moins aussi rapidement que les menaces induites. Vaste programme.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !