Objets connectés et piratage : quels risques pour les Utilities ?

Energie & Utilities

Une récente étude(1) menée en Amérique du Nord évalue à 50% le nombre de Utilities en situation de non-conformité avec les standards promus par la NERC. En Europe, la commission européenne va investir 450 M€ d’ici 2020 dans des programmes de recherche et innovation (Horizon 2020) autour de la cyber sécurité. Les Utilities sont-elles bien armées face aux risques de cyberattaque ? La menace est-elle bien réelle et quels sont les risques encourus.

Numérisation, cloud, déploiement des compteurs communicants et autres objets connectés… les points d’entrée se multiplient pour les hackers

<p « >En tant qu’individu, nous percevons tous les jours les bienfaits et les changements induits par la numérisation de notre société : les Utilities ne sont pas en reste. Stratégie digitale, numérisation des espaces de travail des salariés, digitalisation des techniciens d’intervention, délocalisation des serveurs et bases de données sur le cloud, essor des objets connectés(2) ou des smart meters et leur chaine de communication : c’est tout l’écosystème technologique (serveurs, réseaux, appareils…) des entreprises qui s’ouvre vers l’extérieur et démultiplie les opportunités de cyberattaques.

Historiquement les Utilities exploitaient leurs équipements (centrales de production, réseaux de transport et distribution, centres de relation clients…) par l’intermédiaire de réseaux dédiés ; avec pour principaux risques les incidents, pannes ; voire des fuites d’information liées à de l’espionnage industriel.

<p »>Elles doivent désormais évoluer dans un environnement totalement ouvert où la gestion des équipements, des systèmes d’information et des données riment avec open source, open data ou encore open innovation. Les acteurs (collaborateurs, clients, fournisseurs, partenaires, start-ups, autorité de régulation…), les technologies, les usages et les interactions sont toujours plus variés ; augmentant la complexité pour assurer la sécurité des ressources humaines et matérielles.

Stratégie digitale des entreprises (Source : Partenor)

Les études et spécialistes sont unanimes : les incidents augmentent depuis 2010 et les risques n’ont jamais été aussi grands

De nombreuses études et spécialistes prévoient une explosion des incidents de type cyberattaques. Dès avril 2015, l’ancien directeur de la NSA Keith Alexander alertait : les systèmes SCADA (Supervisory Control And Data Acquisition) et ICS (Industrial Control System) sont beaucoup trop vulnérables.

Les rapports annuels de l’ICS-CERT(3) (Industrial Control Systems Cyber Emergency Response Team) donnent à ce titre une bonne indication des tendances récentes aux États-Unis avec une augmentation significative des incidents signalés depuis 2010. En 2015, l’ICS-CERT a reçu 295 incidents de type cyberattaque ; soit une augmentation de l’ordre de 20% par rapport à 2014. Le secteur des Utilities est le 2 plus touché avec 46 incidents. Il convient de noter que la majorité des tentatives d’attaques examinées ont été des échecs (~78%) ou n’ont pas réussi à aller au-delà du réseau local de l’entreprise (~13%). Seules 7,5% des cyberattaques ont réussi à pénétrer dans les systèmes de contrôle industriel.

Evolution du nombre d’incidents déclarés entre 2010 et 2015. (Source : ICS-CERT)

Plus inquiétant, une étude de l’institut SANS(4) montre que les organisations interrogées ont peu de visibilité sur la nature des cyberattaques des systèmes de contrôle industriel :

  • 32% ont indiqué que leurs systèmes de contrôle ou leur réseau ont été infiltrés à un moment donné
  • 34% de ceux qui ont été infiltrés croient que leurs systèmes ont été touchés plus de deux fois au cours des 12 derniers mois
  • 15% expliquent qu’il leur faut plus d’un mois pour détecter une tentative d’attaque

Enfin, bien que les répondants considèrent l’intégration de l’IT dans les réseaux du système de contrôle industriel (OT ou ICS) comme le vecteur de menace de premier plan, moins de la moitié (47%) en font une stratégie pour faire face cette convergence. On ne s’étonnera pas que le département de la sécurité intérieur des USA (DHS), la commission européenne et l’organisation européenne pour la cyber sécurité (ECSO) prennent le sujet au sérieux.

Cyberattaques : de quoi parle-t-on et quels sont les risques ?

À ce jour, les cyberattaques sur les infrastructures critiques sont largement limitées aux états car le montant des ressources nécessaires en termes de temps de préparation, de financement et de compétences semble pour l’instant empêcher les cybercriminels plus communs de s’attaquer à des cibles industrielles.

Les techniques sont différentes mais suivent un schéma similaire : généralement, une campagne d’hameçonnage (phishing) permet d’intégrer dans le réseau de l’entreprise (LAN) un cheval de Troie ou un logiciel malveillant (Black Energy, KillDisk, Duqu, Energetic Bear…) qui s’attaque aux systèmes industriels (supervision et commande à distance des équipements, gestion des données…) ; voire plus largement aux postes de travail.

Ces logiciels malveillants recherchent des informations d’identification d’utilisateur pour accéder au système de contrôle industriel puis par exemple mettre en danger l’approvisionnement en électricité. On peut citer le logiciel malveillant « Furtim »(5) découvert en mai qui a été spécifiquement conçu pour s’attaquer aux systèmes opérationnels des entreprises énergétiques avec pour but de faire tomber un réseau énergétique. Il cible le système de contrôle des automates industriels et délivre au compte-goutte des agents malveillants utilisés pour extraire la donnée ou éventuellement couper le réseau.

Les ransomware, apparus dès la fin des années 80, sont un autre type de logiciel malveillant ; prenant en otage des données personnelles (ou l’accès d’un utilisateur à une machine) jusqu’à ce que la victime accepte de payer une somme d’argent en échange du sésame que constitue une clé ou un outil de débridage.

Quels sont les cas concrets et les effets observés chez les Utilities ?

Plusieurs cas médiatiques sont récemment venus alimenter les prévisions des experts ; tout d’abord en Ukraine fin 2015 et plus récemment en Israël et aux Etats Unis.

Au même titre que dans la grande distribution, la banque-assurance… les attaques subies par les Utilities portent essentiellement sur les applications d’entreprise dites IT ou Corporate  (ventes, administration, RH, finance…) avec la diffusion hors de l’entreprise de données sensibles (ex. : Informations Commercialement Sensibles ou Données à Caractère Personnel). Il en résulte des pertes financières (rançon, plaintes des clients…), une dégradation de l’image de marque… C’est le cas de la Michigan Power and Water Utility dont le réseau interne a été frappé en avril 2016 par un ransomware ; sans pour autant causer d’interruption dans la fourniture d’eau et d’énergie.

En Ukraine où 700 000 personnes de la région d’Ivano-Frankivsk ont été coupées, aucune donnée n’a été volée et aucune demande de rançon n’a été faite. Une fois à l’intérieur du système, les pirates ont exploité une spécificité : les systèmes opérationnels qui pilotent le réseau électrique étaient reliés eux aussi aux réseaux locaux des entreprises. Généralement, les systèmes industriels (applications métiers et opérationnelles dites OT ou ICS) sont gérés dans des centres de contrôle avec des réseaux dédiés (ex. : via des postes non connectés à la messagerie d’entreprise, à Internet ou au reste du SI). Une seconde attaque simultanée par déni de service a également eu lieu sur les centres d’appels pour empêcher les clients de signaler les pannes.

Dans l’ensemble, aucune attaque ayant entrainé de véritables dégâts matériels ou humains n’est à déplorer. Car c’est bien l’épée Damoclès qui pèse au-dessus des Utilities avec la numérisation de l’entreprise et la convergence IT-OT : une paralysie des infrastructures (de la production des centrales électriques à la chaine de transport et distribution : transformateurs, lignes…) ; voire leur mise hors d’état de fonctionnement (panne, destruction…) ou des accidents mortels.

Un scénario catastrophe serait par exemple le déclenchement de surtension sur le réseau électrique (resp. surpression en gaz) ; amenant à l’exposition de postes de transformation (ou de conduites de gaz) avec victimes ; voire à une perturbation des sites de production nucléaire en cas de coupure généralisée au niveau national impliquant une mise à l’arrêt brutale de l’ensemble des tranches.

Quelles sont les bonnes pratiques ?

Force est de constater que si le risque existe, il est (ou peut-être) limité au regard des moyens nécessaires pour réaliser une attaque significative et sa gravité avérée reste modérée.

La 1ère étape est de bien cerner la chaine d’attaque classique ; ce qui fournit un cadre utile pour mettre en place une défense reposant sur le renseignement. En effet, les phases amont de reconnaissance et la mise en place d’un arsenal sont généralement longues (~6 mois). Cette chaine a été formalisée et codifiée par certains spécialistes(6) de la cyber sécurité.

Pour les Utilities, il semble donc possible de prendre du recul et de ne pas céder à la panique ; tout en identifiant des parades possibles en fonction du niveau d’exposition aux risques, de la complexité et des coûts de mise en œuvre.

Chaine Cyber Kill. (Source : Lockheed Martin)

Parmi les principales actions envisageables, nous pouvons citer :

  • La désignation d’un responsable de la sécurité et de l’information (RSIR ou Chief Information Security Officer-CISO) en charge de la politique, de l’organisation et de la mise en place des actions de sécurité
  • Le maintien de moyens de sécurité physique adéquat (vidéo surveillance, lecteurs biométriques, surveillance des appels entrant/sortant…) pour limiter les intrusions et donc l’installation de virus
  • La mise en place de processus d’évaluation et de réduction des risques. Les Utilities peuvent aisément capitaliser sur les compétences acquises dans ce domaine dans les centrales de production d’électricité ou sur d’autres secteurs comme la banque d’affaires
  • La formation et la sensibilisation du personnel aux risques encourus ; voire aux sanctions prévus dans le cadre des directives RH
  • La séparation des SI d’entreprise (ex. : ERP, SIRH, CRM…) des SI industriels
  • La création d’une zone démilitarisée (ou DeMilitarized Zone-DMZ) qui correspond à un un sous-réseau séparé du réseau local (LAN) et isolé de celui-ci et d’Internet (ou d’un autre réseau)
  • La définition de niveaux de services appropriés (ou Service Level Agreements-SLA) dans le cadre d’échanges avec des organismes et/ou partenaires extérieurs

Comme tout risque, les cyberattaques doivent être étudiées à la lueur de l’existant et d’une analyse coût-bénéfice (gravité, probabilité, fréquence d’occurrence…). Au-delà des mesures matérielles et/ou technologiques mises en œuvre (ex. : le système Linky respecte le référentiel de sécurité certifié par l’Agence Nationale de Sécurité des SI), le facteur humain est la brèche la plus fréquemment utilisée par les hackers. La sensibilisation et l’éducation des collaborateurs est donc une priorité à intégrer dans la culture de l’entreprise ou dans l’accompagnement des projets de transformation.

Références :

  1. BRIDGE Energy Group® – 2016 BRIDGE Index™ – Utility Industry
  2. Une étude du cabinet Gartner estime à 50 milliards le nombre d’objets connectés en 2020, générant un bénéfice de plus de 1500 milliards de dollars
  3. Rapport annuel 2015 de l’ICS-CERT
  4. The State of Security in Control Systems Today: A SANS Survey
  5. Un logiciel malveillant s’attaque aux énergéticiens européens
  6. Chaine Cyber Kill