Le secteur de l'électricité s'apprête à traverser un hiver sous tension, et le gouvernement français prépare déjà les entreprises et les particuliers au risque de panne qui se profile pendant les jours les plus froids. Le tout, sous fond de crise géopolitique avec la Russie. De quoi offrir un terreau parfait pour les cyberattaques ? Qu'ils soient motivés par des objectifs stratégiques ou juste l'appât du gain, les acteurs malveillants profitent dès qu'ils le peuvent des situations de faiblesse de leurs victimes.
Mais du côté d'EDF, le premier fournisseur d'énergie français, le discours est rassurant. D'abord, l'entreprise se prépare en continu à faire face à un très large panel de scénarios d'attaque. Ensuite, la montée des menaces étatiques -les fameux APT dans le jargon- relevée par l'ensemble de l'industrie, ne l'inquiète pas outre mesure. « A la fin de l'hiver dernier, nous nous étions demandés si la situation géopolitique de l'Ukraine générerait une recrudescence du nombre d'attaques contre notre secteur. Nous constatons a posteriori, un an plus tard, qu'il n'y a pas eu de croissance significative du nombre d'attaques liées à ces environnements », précise à La Tribune le directeur de la cybersécurité d'EDF, Olivier Ligneul, lors des Assises de la cybersécurité. Avant d'ajouter : « mais ce n'est pas pour autant que nous ne restons pas vigilants ».
Le secteur de l'électricité, « indispensable à la survie de la nation »
Depuis la loi de programmation militaire de 2013, bon nombre d'entreprises du secteur de l'énergie sont qualifiées d'organismes d'importance vitale (ou OIV). Leur identité reste confidentielle, mais EDF en fait certainement partie car elles sont « indispensables à la survie de la nation ». Cette dénomination attribuée par l'État impose toute une liste de normes et de pratiques de cybersécurité de pointe, et donne accès à des liens privilégiés avec les autorités.
Ce cadre n'a depuis cessé d'être renforcé, notamment par la directive européenne Network Internet Security (NiS) dont la deuxième version vient d'être votée. Mais la nécessité de protéger le secteur était prise en compte bien avant la régulation. « Dès la création de l'Anssi [en 2009], avant même le statut d'OIV, l'énergie était un secteur prioritaire, pour la simple raison que si le système est défaillant, les conséquences en cascade seraient immenses », résume à La Tribune le directeur de l'Anssi, Guillaume Poupard. Problèmes de sécurité en tous genres, arrêt de la chaîne du froid, coupures des communications et de services vitaux... Une panne d'ampleur imprévue relève du scénario catastrophe le plus cauchemardesque.
« Puisque l'environnement de l'énergie est critique, en plus d'être l'un des secteurs les plus ciblés, nous avons déjà une vigilance très élevée et une permanence des moyens de cybersécurité, 24h/24 et 7j/7 », tempère Olivier Ligneul. Mais il rappelle aussi l'adage de base de la cybersécurité : le risque zéro n'existe pas. En parallèle du renforcement de ses protections, l'entreprise s'est donc concentrée ces dernières années sur l'amélioration de sa résilience, c'est-à-dire ses plans d'action en cas d'attaque réussie. Objectifs : avoir une solution temporaire efficace en cas de panne, et une méthode pour revenir à la normale le plus rapidement possible.
Des pannes rares, mais spectaculaires
En raison de l'attention particulière accordée au secteur, les pannes d'électricité de grande échelle causées par des cyberattaques se comptent à peine en dizaines dans le monde sur les 40 dernières années comme le relève Numerama. Mais les coups réussis, même s'ils ne provoquent pas de panne, n'en restent pas moins spectaculaires. L'exemple qui a le plus marqué l'industrie date de 2010 : un ver informatique du nom de Stuxnet, vraisemblablement développé par les Etats-Unis et Israël, a fait passer hors service le site d'enrichissement d'uranium de Natanz. Créé sur-mesure pour frapper ce genre d'infrastructure, le logiciel malveillant visait un système en charge du bon fonctionnement des moteurs des centrifugeuses. Aux dépens des employés, les attaquants ont modifié violemment l'allure des centrifugeuses à plusieurs reprises... jusqu'à les endommager, causant ainsi le « black-out » tant redouté. C'était la première fois qu'une cyberattaque contre des systèmes industriels atteignait cette ampleur.
Après plusieurs mois d'analyse, le ver informatique s'est révélé d'une grande complexité : Stuxnet exploitait une chaîne de quatre failles informatiques dites « zero day » dans Windows -c'est-à-dire des failles inconnues de l'éditeur du logiciel (ici Microsoft), et sans correctif. Dans le monde des hackers, ce genre de vulnérabilités peut se vendre contre plusieurs centaines de milliers voire millions d'euros car il augmente drastiquement les chances de réussite et la discrétion des attaques. Mais même si leur outil profitait d'une faille inédite, les attaquants devaient encore trouver un point d'entrée dans le système d'information de la centrale : deux agents double se sont donc chargés de brancher une clé USB infectée sur un ordinateur au sein de l'organisation, et ont ainsi ouvert la porte au ver informatique. Pour finir, le logiciel malveillant devait échapper aux détections, et là encore, Stuxnet embarquait une méthode de camouflage inédite.
Cet épisode historique ne représente donc pas le niveau moyen de la menace, mais il a exposé le niveau de sophistication extrême que les cyberattaques peuvent atteindre. Après Stuxnet, d'autres virus moins virulents ont réussi à paralyser pendant une poignée d'heures des centrales et notamment celle du fournisseur ukrainien Ukrenergo en 2015. A l'inverse, certains logiciels capables de détruire le matériel des infrastructures ont été découverts, mais arrêtés avant de causer des dégâts.
Toutes les cybermenaces à gérer
Une des principales contraintes des fournisseurs d'énergie comme EDF est qu'ils doivent protéger à la fois des environnements industriels (OT dans le jargon) et des environnements informatiques classiques (IT dans le jargon). Concrètement, les centrales et autres usines de production sont truffées de machines spécifiques, produites par des industriels très spécialisés. Non seulement, ces appareils viennent avec un niveau de complexité logicielle qui peut être élevé, mais ils sont en général moins faciles à modifier ou à réparer en cas de problème. De plus, ils restent généralement en production plus longtemps que le reste du matériel informatique (en raison de leur coût), ce qui peut poser des problématiques de mises à jour.
« Ces réseaux ne posent pas que des challenges technologiques, ils posent aussi des défis en termes de gouvernance, d'organisation et de responsabilité », résume Dagobert Lévy, vice-président Europe du sud de Tanium. Bernard Montel, directeur technique Europe de l'entreprise de cybersécurité Tenable, ajoute : « sur l'IT, il est facile de faire d'avoir des sauvegardes pour redémarrer en cas d'incident. Mais sur l'OT, si le réseau est endommagé par un rançongiciel par exemple, c'est la marée noire, il faut tout refaire à la main. »
Si le matériel industriel est un point d'attaque particulièrement difficile à gérer, il n'en est qu'un parmi d'autres pour les acteurs malveillants. Par exemple, les boîtiers Linky, en bout de chaîne, sont également une cible toute désignée de cyberattaques. Ils ont d'ailleurs été conçus pour y résister au mieux. Plus généralement, n'importe quel ordinateur peut être la porte d'entrée d'une attaque majeure.
EDF, avec ses 168.000 employés et l'étendue de ses activités, doit donc protéger une grande variété de systèmes d'informations qui vont des centrales nucléaires aux boîtes e-mails de ses différents employés. Pour soutenir cet effort, environ 300 personnes travaillent sur les sujets de cybersécurité, et l'entreprise a doublé le nombre d'employés de son SOC [security operation center, la colonne centrale de la détection et de l'analyse des menaces dans les grandes entreprises, ndlr] ces trois dernières années. Cet effort lui coûte plusieurs dizaines de millions d'euros d'investissements soit environ 6% du budget total de la direction de la système d'information (DSI), c'est-à-dire de son enveloppe financière dédiée au numérique.
Grande diversité de menaces
Face à EDF, le paysage des menaces est bien fourni. « Nous faisons face aux mêmes menaces que les autres entreprises, mais nous sommes confrontés à toutes en même temps », résume Olivier Ligneul. Cet ancien de l'Anssi (Agence nationale de la sécurité des systèmes d'information) les divise en quatre catégories : les tentatives de sabotage sur les environnements industriels ; les rançongiciels, capables de chiffrer les machines et de les rendre inutilisables, qui touchent tous types d'entreprises; le cyber-espionnage ; et la menace « plus diffuse et commune » du vol de données à des fins d'enrichissement personnel. Chacune de ces menaces ne vise pas les mêmes équipements, n'a pas la même finalité ni les mêmes conséquences.
Les géants comme EDF doivent aussi se protéger des « effets de bords », c'est-à-dire des attaques indirectes. Par exemple, si le logiciel d'un prestataire ne fonctionne plus à cause d'une cyberattaque ou s'il est vérolé de l'intérieur, l'activité de l'entreprise peut être ralentie voire arrêtée. Il faut donc se préparer à un large éventail de scénarios d'attaque. Pour déterminer lesquels, EDF observe ce qu'il se passe chez ses homologues -les principaux énergéticiens français se partagent les informations- en plus de ses propres indicateurs. L'objectif : avoir une approche pragmatique, à partir de la réalité du terrain, des scénarios d'attaques les plus réalistes.
A partir de cette étude de la menace, le groupe teste sa réaction aux incidents des plus petits ou plus grands. « Nous effectuons régulièrement des exercices à l'échelle du groupe, sur l'ensemble de nos structures, pour évaluer notre capacité à se coordonner dans le cas d'une attaque d'ampleur réussie. Nous n'avons jamais fait face à ce genre de situation jusqu'à aujourd'hui, mais c'est une éventualité à envisager pour être suffisamment préparés », précise Olivier Ligneul.
Dans le jeu du chat et de la souris avec les attaquants, les équipes de sécurité essaient d'avoir une avance en identifiant quels systèmes sont les plus visés, et quelles méthodes sont les plus employées. Sans baisser la garde. « Nous faisons attention à éviter l'excès de confiance. Il nous faut rester humble pour continuer à comprendre les motivations et les techniques derrière chaque attaque significative », conclut le dirigeant, qui compte bien mettre toutes les chances de son côté pour traverser l'hiver sans incident.
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés