Cybersécurité : le secteur de l’énergie est davantage conscient des risques, mais sa capacité de défense reste faible

« Notre étude montre que le secteur de l’énergie prend conscience de la menace que représente la sécurité des technologies de l’information, mais que des mesures plus rapides doivent être prises pour la combattre », a déclaré M. Solberg dans un communiqué de presse.

Les représentants du secteur de l’énergie, fréquemment pris pour cible, sont davantage inquiets des risques de cyberattaques qu’avant l’invasion de l’Ukraine par la Russie, selon un nouveau rapport mondial sur les risques. L’appréhension a également augmenté en ce qui concerne une insuffisance des investissements et des activités de leurs organismes.

En raison de l’impact considérable de la guerre, le secteur mondial de l’énergie est récemment devenu l’objet de toutes les attentions et préoccupations, y compris dans le domaine de la cybersécurité.

L’infrastructure énergétique est une cible particulièrement prisée pour les cyberattaques, puisque les conséquences peuvent être considérables et qu’elle peut être utilisée comme levier de chantage ou comme point de départ d’une opération militaire.

Les professionnels de l’énergie sont de plus en plus conscients de ces risques de cybersécurité. Or, les actions de défense restent à la traîne, indique le rapport de DNV, société de conseil en risques, publié jeudi 19 avril.

« Les entreprises énergétiques se sont attaquées à la sécurité informatique depuis plusieurs décennies. Cependant, la sécurisation des technologies d’exploitation (OT), les systèmes informatiques et de communication qui gèrent, surveillent et contrôlent les opérations industrielles, est un défi récent et de plus en plus urgent pour le secteur », a déclaré Trond Solberg, directeur général de la cybersécurité chez DNV.

Cette enquête internationale de DNV a sondé 948 professionnels de l’énergie et a interrogé une série de leaders de l’industrie et d’experts en sécurité sur leurs perceptions des cyber-risques et leur degré de préparation.

DNV est un fournisseur mondial de services d’assurance et de gestion des risques basé en Norvège.

« Notre étude montre que le secteur de l’énergie prend conscience de la menace que représente la sécurité des technologies de l’information, mais que des mesures plus rapides doivent être prises pour la combattre », a déclaré M. Solberg dans un communiqué de presse.

Le secteur pris pour cible

Sven Herpig, responsable de la politique internationale en matière de cybersécurité au sein du think tank Stiftung Neue Verantwortung, a déclaré à EURACTIV que le secteur de l’énergie était fréquemment ciblé dans le cyberespace, « non seulement par les cybercriminels, qui visent à gagner de l’argent grâce à ces attaques, mais aussi afin d’obtenir un accès et de préparer le champ de bataille, comme cela se passe en Ukraine depuis des années ».

Dans ce secteur, les infrastructures physiques sont étroitement liées aux cyber-infrastructures. Les répercussions hors ligne potentiellement élevées des cyberattaques peuvent par exemple être utilisées comme levier dans une guerre.

La cyberattaque de Colonial Pipeline par un logiciel rançonneur, aux États-Unis, a montré à quel point ces cyberattaques peuvent être perturbatrices. La fuite d’un mot de passe a provoqué l’état d’urgence dans 17 États américains et a entraîné des pénuries massives de carburant.

En Allemagne, par exemple, la maintenance à distance des éoliennes a été compromise après que le réseau KA-SAT exploité par la société américaine Viasat a été attaqué par la Russie. Cette attaque, qui a eu lieu une heure seulement avant l’invasion de l’Ukraine, a été officiellement attribuée à la Russie par l’UE au début du mois.

« Bien qu’un nombre élevé d’attaques ne soit pas synonyme de grande vulnérabilité, des normes de sécurité doivent être mises en place pour éviter des attaques plus graves », a déclaré M. Herpig.

L’UE accuse la Russie d’avoir piraté des satellites juste avant l’invasion de l’Ukraine

L’Union européenne a accusé mardi (10 mai) les autorités russes d’avoir mené une cyberattaque contre un réseau de satellites une heure avant l’invasion de l’Ukraine pour préparer le terrain à son assaut.

Des attaques dangereuses, voire mortelles, attendues d’ici deux ans

Au milieu des nombreux cas rapportés de cyberincidents, il semble logique que les professionnels de l’énergie soient de plus en plus inquiets.

Selon le rapport, ils estiment que les cyberattaques visant le secteur sont susceptibles de causer des dommages aux personnes, aux biens et à l’environnement au cours des deux prochaines années. Plus de 80 % d’entre eux s’attendent à des dommages matériels aux actifs et 57 % à des pertes de vies humaines.

Cependant, moins de la moitié des personnes interrogées pensent que la sécurité de leurs technologies d’exploitation est aussi solide que leur sécurité informatique. Et moins d’un tiers peut affirmer en toute confiance qu’il sait précisément quoi faire s’il était confronté à un cyber-risque potentiel.

En Europe, 29 % des personnes interrogées pensent que les investissements de défense ne sont entrepris qu’après un cyberincident, ce qui signifie que ces organisations ne feraient que réagir plutôt que de se préparer.

Depuis l’agression contre l’Ukraine, les professionnels de l’énergie sont davantage préoccupés par les États comme source de cyberattaques, mais les inquiétudes ont augmenté dans toutes les catégories.

« Cela suggère que les personnes interrogées s’attendent à ce que d’autres opportunistes, qu’ils soient motivés par des causes politiques ou des gains criminels, profitent de la confusion qui suit une crise pour lancer leurs propres attaques », indique le rapport.

Des mesures sont nécessaires

Cependant, les inquiétudes croissantes ne se traduisent pas nécessairement par des mesures concrètes pour renforcer la défense. Au lieu d’adopter une approche de la cybersécurité consistant à « espérer que tout ira bien », comme semblent le faire certaines entreprises du secteur de l’énergie, il faut s’attaquer activement aux cybermenaces émergentes, a souligné M. Solberg de DNV.

En réaction aux réponses recueillies, le rapport de DNV recommande d’allouer plus de budget, de déterminer les vulnérabilités spécifiques et de se concentrer sur une meilleure formation plutôt que de simplement améliorer les systèmes informatiques et les logiciels.

Subscribe to our newsletters

Subscribe