Gérer le risque cyber dans le secteur de l'énergie électrique

Le réseau de centrales électriques et de lignes reliant les foyers et les entreprises est largement considéré comme l'une des infrastructures les plus critiques au monde, en particulier dans les économies les plus avancées. Il est également l'un des plus fréquemment attaqués, avec des conséquences qui pourraient potentiellement aller bien au-delà du secteur de l'électricité.
Dans cet article, nous évaluons les sources croissantes de risque Cyber dans le secteur de l'électricité, nous suivons l'évolution des menaces, des acteurs de la menace et des vulnérabilités, et nous explorons l'une des vulnérabilités les plus difficiles du secteur - le risque pour la chaîne d'approvisionnement. Nous examinons ensuite la nature du risque cyber dans la chaîne d'approvisionnement, nous nous penchons sur les récentes attaques et leur impact sur le secteur de l'électricité, et nous discutons des défis à relever pour faire face à ces risques. Enfin, nous examinons les mesures que les compagnies d'électricité peuvent prendre pour gérer le risque à travers l'entreprise et tout au long de la chaîne d'approvisionnement.

Beaucoup de bruit autour d'un sujet : le risque cyber croissant dans le secteur de l'électricité

L'énergie est l'un des trois principaux secteurs visés par les attaques aux États-Unis. Rien qu'en 2016, ce secteur a signalé 59 incidents, soit 20 % des 290 incidents totaux signalés cette année-là. Seuls deux autres secteurs ont signalé davantage d'incidents - l'industrie manufacturière et les communications. Toutefois, cette situation n'est pas spécifique aux seuls États-Unis : le secteur a été une cible de choix en Europe et au Japon ; en Australie, il a été identifié comme le secteur ayant enregistré le plus grand nombre d'incidents ou de quasi-incidents liés aux infrastructures critiques. Le ministre américain de l'énergie, Rick Perry, a déclaré que de telles intrusions se produisaient "des centaines de milliers de fois par jour". Et début 2018, on a assisté à une "hausse extrême" des cyberattaques visant le réseau électrique en Amérique du Nord.

Les attaquants visent le ICS et les tiers

Les compagnies d'électricité sont depuis longtemps conscientes de l'augmentation du risque cybernétique, et ont été l'une des premières industries à réagir, en exigeant la mise en place de contrôles de cybersécurité par le biais des normes de protection des infrastructures critiques (NERC-CIP) de la North American Electric Reliability Corporation, lancées en 2007. Néanmoins, la menace continue d'évoluer, car les attaquants s'attaquent aux systèmes de contrôle industriel (ICS) et tentent d'y accéder par l'intermédiaire de tiers dans la chaîne d'approvisionnement du secteur de l'électricité.

Gérer le risque cyber dans l'entreprise et tout au long de la chaîne d'approvisionnement : Prochaines étapes

La première étape à envisager pour réduire le risque Cyber dans l'ensemble de l'entreprise consiste à identifier et à cartographier les actifs et leurs connexions, et à les classer par ordre de priorité selon leur criticité. 

La deuxième étape consiste à déterminer si les actifs et les réseaux critiques présentent des vulnérabilités connues et exploitables. Un exemple serait un réseau de systèmes de contrôle avec un mot de passe codé en dur par défaut, disponible par le biais d'une recherche sur Internet.
La troisième étape consiste à évaluer la maturité de l'environnement de contrôle pour gérer les menaces de manière proactive. Pour ce faire, il est souvent utile d'utiliser un modèle établi, tel que le modèle de maturité en matière de cybersécurité de Deloitte.
La dernière étape consisterait à mettre en place un cadre de protection des actifs critiques qui utilise les personnes, les processus et les technologies pour devenir sûr, vigilant et résilient.