Infrastructures critiques

Faut-il craindre un cyber-blackout?

Des compteurs intelligents au smart grid en passant par les systèmes de contrôle industriel, le secteur électrique repose de plus en plus sur l’informatique et l’échange de données entre un nombre croissant d’acteurs. Gage d’efficience, cette informatisation engendre de nouveaux risques, à l’image du blackout qu’ont subi des centaines de milliers d’ukrainiens en 2015. En Suisse, comme ailleurs, le défi consiste à élever le niveau général de sécurité d’une branche particulièrement hétéroclite.

Blackout à New York suite à l'ouragan Sandy en 2012 (photo: Dan Nguyen/ CC BY 2.0 / Flickr.com)
Blackout à New York suite à l'ouragan Sandy en 2012 (photo: Dan Nguyen/ CC BY 2.0 / Flickr.com)

Par une soirée de novembre, l’Europe se retrouve pongée dans l’obscurité. De Rome à Stockholm, de Paris à Vienne, les réseaux électriques chancellent et le chaos menace. Impossible de téléphoner, impossible de payer par carte ou de retirer de l’argent liquide. Impossible de faire le plein, les pompes des stations fonctionnant à l’électricité. L’eau potable commence à faire défaut, les hôpitaux dysfonctionnent, les grandes surfaces ne sont plus réapprovisionnées. C’est le scénario apocalyptique décrit par Marc Elsberg dans son roman à succès «Blackout». A l’origine de la gigantesque panne imaginée par l’auteur, des hackers ayant piraté des compteurs intelligents en Italie et en Suède. Pour Daniel Caduff, qui travaille à l’Office fédéral pour l’approvisionnement économique du pays (OFAE), l’écrivain autrichien s’est bien renseigné, car ces deux pays sont pionniers dans l’adoption des smart meters. Aux côtés de responsables de sociétés électriques, Daniel Caduff est l’un des intervenants de la journée stratégique 2017 organisée par le Clusis, fin septembre à Martigny, avec pour thème «Blackout, êtes-vous prêts?». Et il connaît bien le sujet, puisqu’il a analysé les vulnérabilités du secteur énergétique dans le cadre de la 1ère stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC).

Le double danger des compteurs intelligents

Il se trouve que les compteurs intelligents sont justement un élément crucial de la stratégie énergétique 2050 de la Suisse, qui prévoit que 80% des foyers du pays en soient équipés d’ici 2020 - le même objectif que l’Union européenne. En transmettant des données détaillées sur la consommation des équipements domestiques, ces appareils doivent aider les entreprises électriques à répondre de manière automatique et précise à la demande. Problème, les compteurs intelligents constituent dès lors une porte d’entrée vers les systèmes de gestion du réseau électrique et, comme d’autres objets connectés, leur sécurité est souvent lacunaire. Ainsi, au Royaume-Uni, l’agence en charge du renseignement électronique est intervenue pour bloquer le déploiement de 53 millions de smart meters, car ceux-ci n’utilisaient qu’une seule et même clé de déchiffrement…

A cela s’ajoute que les fournisseurs électriques souhaitent pouvoir couper le courant via les compteurs intelligents, par exemple si le client n’a pas réglé sa facture. En cas de prise de contrôle, des pirates pourraient ainsi exploiter cette fonctionnalité pour bloquer des ascenseurs ou provoquer l’arrêt d’un système de climatisation. Les autorités danoises ont jugé que le danger était suffisamment important pour renoncer à cette possibilité de coupure à distance dans leur pays. «L’intérêt économique s’oppose ici à l’intérêt sécuritaire», commente Daniel Caduff (voir interview)

Interconnexion synonyme de vulnérabilité

Au côté des compteurs intelligents, les smart grids sont l’autre pilier de la numérisation du secteur énergétique. Avec des pays de plus en plus interconnectés au niveau électrique - la Suisse au premier rang –, avec l’arrivée de petits producteurs d’électricité décentralisés, et avec l’essor d’énergies renouvelables à la production difficile à planifier, les gestionnaires de réseau n’ont d’autre choix que d’employer des systèmes intelligents tant pour éviter des flux imprévus mettant le réseau en péril que pour rétablir le courant suite à un problème grave, comme l’a expliqué Maurice Dierick, Directeur réseau chez Swissgrid lors de la conférence du Clusis.

L’approvisionnement électrique est ainsi de plus en plus interconnecté et informatisé : du systèmes de contrôle industriels (ICS) d’un barrage, aux solutions de gestion de Swissgrid et des distributeurs, en passant par les plateformes de négoce de l’électricité, et jusqu’au compteur intelligent du particulier.

Cette interconnexion croissante entre informatique, systèmes opérationnels et objets connectés apporte de nombreux avantages mais aussi de nouveaux dangers. Ainsi, selon une étude effectuée cette année en Suisse par EY, 59 % des centrales électriques et des entreprises d’approvisionnement en énergie considèrent la numérisation comme une chance, mais 68 % craignent des pannes de courant suite à des cyberattaques. «Pour les entreprises du secteur de l’énergie, la cybercriminalité́ représente aujourd’hui un risque aussi important que les catastrophes naturelles ou les incendies», explique Alessandro Miolo, Energy Sector Leader chez EY Suisse.

Un cas ukrainien emblématique

Quel est le risque qu’une cyberattaque conduise à un blackout? Et à quel type d’attaque faut-il s’attendre? Pour de nombreux spécialistes, le blackout consécutif à une cyberattaque subie fin 2015 par une entreprise électrique ukrainienne est particulièrement instructif.

Rappel des faits. Le 23 décembre 2015, plus de 200'000 clients de la société de distribution électrique Kyivoblenergo subissent des coupures de courant. En cause, la prise de contrôle par un hacker étranger du système SCADA servant à gérer la distribution. Selon un rapport d’analyse détaillé de SANS, les pirates ont usé de multiples modes d’attaque coordonnés et démontré l’étendue de leurs capacités. Initiée six mois plus tôt, l’attaque démarre par l’envoi d’e-mails au personnel administratif et IT de l’entreprise électrique, avec des documents Office en annexe. Une fois la macro de ces documents activée, le malware BlackEnergy 3 s’installe sur le système et se connecte à un serveur de command & control. Les pirates explorent le réseau de l’entreprise et dérobent des identifiants afin de passer pour des utilisateurs légitimes et d’obtenir des droits étendus. Ils parviennent notamment à prendre le contrôle à distance des ordinateurs servant à gérer le système SCADA. C’est ce qui leur permet de débrancher 27 sous-stations au moment de l’attaque conduisant au blackout.

En parallèle, les hackers mènent plusieurs actions destinées à amplifier les dégâts et à réduire la capacité de réponse de l’entreprise électrique. Ils modifient notamment le firmware des convertisseurs serial-to-ethernet de manière à ce que les opérateurs ne puissent plus accéder au système SCADA et restaurer le service à la suite de l’attaque. Ils font «sauter les ponts», pour reprendre l’expression des experts de SANS. Les hackers disséminent également un virus effaçant le master boot record des systèmes de l’entreprise. Enfin, pour couronner le tout, les pirates mènent une attaque DDoS téléphonique contre le centre d’appel du distributeur électrique, de sorte que les clients ne peuvent pas signaler les pannes.

Mitigation des risques

Pour les experts de SANS, l’éventail des techniques employées par les pirates dans le cas ukrainien – notamment la réécriture d’un firmware - et leur capacité à conduire une attaque hautement synchronisée en plusieurs étapes démontrent une très grande capacité. Et, même si les futures attaques emploieront sans doute de nouveaux stratagèmes, le cas ukrainien signale certains domaines où la sécurité peut être améliorée. Notamment la sensibilisation des utilisateurs face aux tentatives de phishing. Ou l’emploi d’outils et règles forensiques pour détecter et éliminer un malware s’étant introduit dans l’organisation, ainsi qu’une vigilance accrue en matière de gestion des utilisateurs et des accès. Les experts recommandent aussi de limiter les informations sur les infrastructures IT et SCADA disponibles sur la toile afin de réduire la capacité des hackers de connaître au préalable l’environnement qu’ils comptent attaquer. Concernant l’accès distant, les VPN devraient notamment passer par une DMZ et exiger une authentification forte (ce n’était pas le cas chez la société ukrainienne). Enfin, les ordinateurs servant à la gestion des systèmes SCADA devraient être doté d’une sécurité renforcée empêchant l’installation d’applications non-autorisées (whitelisting).

Au-delà du cas ukrainien, les experts s’accordent sur le fait que les fournisseurs électriques doivent commencer par mettre en œuvre les pratiques sécuritaires IT en vigueur dans d’autres branches: sécurité applicative, segmentation réseau, authentification forte, monitoring et réponse aux incidents, chiffrement, gestion des identités et des accès, etc.

Mais ce n’est pas tout: les spécificités du secteur exigent une approche sécuritaire intégrant la sécurité informatique, la sécurité des systèmes industriels, et la sécurité des compteurs intelligents – des domaines travaillant trop souvent en silos. Ainsi qu’une collaboration entre les acteurs: partage d’informations sécuritaires, établissement de plateformes de sécurité communes. Il y a en effet de fortes chances que les entreprises électriques soient confrontées aux mêmes menaces.

Les efforts menés en Suisse

La vulnérabilité du secteur énergétique suisse face à des cyberattaques est similaire à celle des autres pays européens, estime Daniel Caduff (voir interview). Au niveau international, les entreprises énergétiques craignent surtout des attaques sophistiquées menées par des acteurs étatiques pour des motifs politiques. Un risque sans doute moindre pour la Suisse, à moins bien sûr que les outils de hacking développés par des Etats ne finissent entre les mains de criminels. Ou qu’une attaque contre un pays voisin ne déclenche une réaction en chaîne touchant le réseau suisse.

Le risque demeure donc et les exploitants électriques suisses en sont conscients. Selon l’enquête menée par EY, 85% des entreprises du secteur considèrent que la sécurité informatique est un aspect essentiel de la numérisation du réseau de distribution. Bien avant le développement de nouveaux processus d’affaires ou le Big Data. La situation est en revanche plus contrastée en matière de maturité, puisqu’un bon tiers des 82 entreprises sondées n’envisage pas de déployer un système de gestion de la sécurité de l’information.

Pour Daniel Caduff, le problème concerne surtout les plus petits fournisseurs qui ne disposent que de ressources IT limitées. Lors de son intervention à l’événement du Clusis, le spécialiste de l’OFAE propose plusieurs pistes pour améliorer la sécurité du secteur. Comme l’élaboration d’un standard de sécurité IT minimum pour les fournisseurs d’énergie, en collaboration avec l’Association des entreprises électriques suisses (AES), car l’OFAE ne dispose pas de pouvoir contraignant. Il propose aussi d’établir une certification pour les compteurs intelligents autorisés à opérer sur le réseau suisse. Il estime également que la collaboration actuelle entre un groupe d’acteurs du secteur et la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI) pourrait être étendue à de nouveaux membres. Enfin, l’expert juge que les compétences et la gestion en matière de systèmes SCADA doivent être améliorées.

Situé au carrefour des réseaux électriques européens et de plus en plus informatisé, automatique et intelligent, le secteur électrique suisse n’est pas à l’abri d’une cyberattaque directe ou indirecte conduisant à un blackout. Certes, le secteur a d’autres défis liés au numérique et à la transition énergétique. Mais, puisque la Suisse préfère l’autorégulation à l’intervention étatique, il est urgent que les acteurs et associations du secteur s’emparent de la question sécuritaire, collaborent et agissent pour élever le niveau de protection, de résilience et de réponse de tous les participants, y compris et en particulier celui des petits producteurs.

Tags
Webcode
DPF8_73950