Renforcer la cyber-résilience

La cyberattaque probablement la plus connue contre un fournisseur d’énergie a entraîné une interruption de l’approvisionnement en électricité dans certaines parties de l’Ukraine en décembre 2015. Le responsable présumé: le groupe Sandworm, attribué au service de renseignement militaire russe GRU [1]. Mais il existe encore de nombreux autres exemples d’attaques contre des infrastructures critiques: le début de l’invasion russe de l’Ukraine en février 2022 a été accompagné de cyberattaques contre des terminaux de l’entreprise spécialisée dans les télécommunications par satellite Viasat, qui ont entraîné des perturbations collatérales chez un exploitant de parc éolien allemand. En mai 2021, le système de facturation de l’exploitant de pipelines américain Colonial Pipelines a été victime d’une attaque par ransomware qui l’a mené à interrompre l’exploitation d’importants oléoducs et gazoducs. Quant au fournisseur régional d’énergie Enercity de Hanovre, il a été la cible d’une attaque à l’automne 2022 qui a entraîné des perturbations au niveau du service clientèle et du traitement des paiements, ainsi que des fuites de données personnelles des clients [2].

Il y a des années déjà que les militaires et les services de renseignement du monde entier ont saisi l’importance du cyberespace pour leurs missions. En 2013, avec les «Snowden Leaks», le grand public a pour la première fois pris conscience de l’ampleur des cyberactivités offensives dirigées par les États. Depuis, le cyberdomaine s’est imposé en tant qu’élément de la géopolitique, et de nombreux États ont créé leurs propres cyberunités offensives au sein de leurs armées. Ainsi, l’OTAN a créé à Tallinn le Cooperative Cyber Defence Centre of Excellence (CCDCOE), et du côté de la Chine, tant l’armée que le ministère de la Sécurité de l’État ont recours au cyberespionnage à l’échelle mondiale, visant également les exploitants d’infrastructures critiques [3].

Une menace aux multiples facettes

La guerre menée par la Russie contre l’Ukraine a montré à l’Europe à quel point sa prospérité dépend de l’accès à une énergie bon marché. La transformation du secteur énergétique est un choix stratégique qui s’explique également par les incertitudes croissantes liées à la situation géopolitique.

Un coup d’œil sur la situation politique générale montre à quel point le monde est en pleine mutation. La Chine agit de manière conséquente selon ses plans stratégiques quinquennaux et a le potentiel de devenir une nouvelle nation dominante à l’échelle mondiale. Pour ce faire, elle projette ses ambitions de puissance à l’intérieur et à l’extérieur de ses frontières, développe des infrastructures mondiales avec la «Belt and Road Initiative» et étend sa présence militaire en Afrique. La Russie tente par tous les moyens de construire un grand empire panslave et se considère comme un adversaire de l’Occident aux côtés de la Chine. Les États-Unis sont bien occupés sur le plan intérieur par la division de la société et doivent, en même temps, renforcer l’OTAN à l’Est et résister à la Chine dans le Pacifique. L’Inde et le Pakistan apparaissent de plus en plus sûrs d’eux sur la scène politique mondiale et défendent leurs propres intérêts économiques. Enfin, le rapprochement entre l’Iran et l’Arabie saoudite laisse présager une réorganisation fondamentale au Moyen-Orient et au Proche-Orient. On ne sait pas encore comment Israël, l’un des cyberacteurs les plus expérimentés, va réagir. Tous ces bouleversements et décalages conduisent par la force des choses à des conflits et des guerres dans lesquels le cyberespace est, à toutes les étapes, le théâtre d’attaques et d’actions dirigées par des États.

Les attaquants étatiques coopèrent avec les criminels

La distinction établie entre les groupes d’attaquants actifs dans des groupes d’espionnage dirigés par des États, les «hacktivistes» à motivation politique et les cybercriminels, s’estompe de plus en plus. D’une part, les criminels adoptent de plus en plus les méthodes et outils avancés des acteurs étatiques. D’autre part, les services de renseignement font parfois appel à des cybercriminels.

Un exemple frappant de ce type de coopération a été révélé en mars 2023 [4] par la publication d’analyses confidentielles. Celle-ci comprend des centaines de documents qui auraient été produits par les services de renseignement américains. L’authenticité partielle des documents a été confirmée; en même temps, un groupe de recherche indépendant a démontré qu’une partie des documents avait été manipulée [5]. Selon les documents publiés, le groupe de hacktivistes russes Zarya a eu accès en février 2023 à la technique de commande d’une station de distribution appartenant à un exploitant de gazoduc canadien dont le nom n’a pas été mentionné. Selon la publication, Zarya a demandé des instructions supplémentaires à un officier du FSB, le service de renseignement russe chargé des affaires de sécurité intérieure [6]. Mais les attaquants étatiques coopèrent également avec des fournisseurs de services informatiques réguliers, comme le montre une autre publication d’informations confidentielles par un lanceur d’alerte russe [7]. Le prestataire de services informatiques russe Vulkan-NTC a développé pour le compte de plusieurs services de renseignement russes des outils d’attaque qui, selon les documents de formation publiés, peuvent également être utilisés contre des infrastructures critiques. L’un des schémas des documents de formation montre ainsi la centrale nucléaire désaffectée de Mühleberg [8].

Cette combinaison d’incertitudes liées à la situation géopolitique et de cyberacteurs étatiques et criminels, dont les actions ne sont liées à aucune frontière nationale ou régionale, est confrontée à des infrastructures de plus en plus complexes et interconnectées. La séparation longtemps pratiquée entre l’IT (Information Technology) et l’OT (Operational Technology) est de moins en moins effective. Des infrastructures géographiquement isolées sont directement reliées à Internet ou à des services en nuage (cloud services) au moyen de connexions mobiles et satellites, notamment pour pouvoir effectuer les mises à jour logicielles usuelles. Il en résulte des infrastructures avec une surface d’attaque nettement plus étendue et une vulnérabilité accrue.

Ces infrastructures sont la cible d’attaques très diverses: des attaques par saturation aux attaques par hameçonnage, qui sont souvent le prélude à l’espionnage ou au chantage au moyen de ransomwares, en passant par l’intrusion directe à travers des systèmes vulnérables et les attaques qui exploitent les positions de confiance dans les chaînes d’approvisionnement. En plus de ces cyberattaques contre les infrastructures, les acteurs étatiques manipulent l’opinion publique par le biais de la désinformation. La manipulation de l’opinion a toujours été une méthode utilisée par les acteurs étatiques pour servir leurs intérêts. L’omniprésence des réseaux sociaux, avec leurs connexions et interactions directes et non filtrées, a toutefois propulsé l’efficacité et l’efficience des campagnes de désinformation à de nouveaux sommets.

Les campagnes de désinformation touchent aussi le secteur de l’énergie, comme le montrent les exemples liés aux réserves allemandes de gaz pour l’hiver 2022/2023 et les enquêtes sur l’explosion du gazoduc Nord Stream [9]. Le développement fulgurant de l’intelligence artificielle, tant pour la génération de textes que d’images, de sons et de vidéos, mènera à une nouvelle augmentation quantitative et qualitative des fake news.

Renforcer la cyber-résilience de manière coordonnée

Les exploitants d’infrastructures critiques ne sont toutefois pas impuissants face aux cyberattaques, et ils ne sont pas seuls non plus. Une approche ordonnée, alliant technique, organisation et stratégie, peut renforcer la cyber-résilience, c’est-à-dire la combinaison de la résistance aux cyberattaques et de la capacité de récupération après des attaques réussies.

Au niveau stratégique, il convient tout d’abord de faire prendre conscience aux comités directeurs et aux conseils d’administration que les événements géopolitiques ont un écho dans le cyberespace, et que l’évaluation continue de la situation peut conduire à une meilleure préparation. Cette prise de conscience doit ensuite être ancrée dans l’ensemble de la direction ainsi que dans les domaines chargés de la cybersécurité, afin que les activités nécessaires puissent être déduites et établies dans l’organisation.

Au sein de l’organisation, les processus de gestion des incidents et des crises doivent être régulièrement examinés et adaptés. Les exercices de simulation (tabletop exercises), qui reproduisent certains scénarios d’incidents, se sont révélés être une méthode efficace pour mettre en évidence les points faibles des propres processus et, simultanément, pour instaurer une sûreté d’action chez les personnes concernées. Différents scénarios permettent de mettre l’accent des exercices sur les diverses étapes, de la détection d’un incident au rétablissement du fonctionnement normal.

Les services chargés de la cybersécurité technique doivent être dotés des ressources humaines et financières leur permettant de disposer des outils et des informations nécessaires pour gérer de manière efficace et efficiente le triptyque prévention, détection et traitement des incidents.

La coopération et l’échange régulier et structuré de connaissances et d’expériences avec d’autres organisations peuvent devenir un avantage décisif pour tous en cas d’attaque. Ces échanges devraient porter à la fois sur le niveau stratégique et sur le niveau technique. Dans le meilleur des cas, il est possible d’exploiter les synergies et de réduire les efforts de chaque organisation tout en augmentant leur résilience. Ces échanges peuvent avoir lieu dans le cadre d’initiatives gouvernementales [10], d’initiatives sectorielles telles que l’EE-ISAC (European Energy Information Sharing and Analysis Centre) [11] ou d’associations mondiales d’experts intersectorielles [12].

Lors de l’examen des menaces, il ne faut surtout pas perdre de vue la raison d’être du secteur de l’énergie. Le but de tous les efforts doit être de maintenir l’approvisionnement en énergie de la population et de l’économie. Toutes les cyberactivités défensives des fournisseurs doivent être orientées vers cet objectif.

Références

[1] Voir aussi: bulletin.ch/de/news-detail/cyberangriffe-auf-energieversorger.html
[2] www.enercity.de/presse/betrieb-und-baustellen/2022/it-stoerung
[3] Mise en garde de l'UE contre le cyberespionnage chinois
[4] www.bloomberg.com/news/articles/2023-04-10/what-to-know-about-alleged-us-classified-documents-leak-from-pentagon-on-ukraine
[5] www.bellingcat.com/news/2023/04/09/from-discord-to-4chan-the-improbable-journey-of-a-us-defence-leak
[6] zetter.substack.com/p/leaked-pentagon-document-claims-russian
[7] www.theguardian.com/technology/2023/mar/30/vulkan-files-leak-reveals-putins-global-and-domestic-cyberwarfare-tactics
[8] www.watson.ch/digital/schweiz/598263734-geleakte-dokumente-verraten-russische-plaene-fuer-cyberangriffe
[9] correctiv.org/faktencheck/2022/10/13/doch-die-deutschen-gasvorraete-reichen-laenger-als-bis-weihnachten;
correctiv.org/faktencheck/2022/11/02/explosionen-an-gaspipelines-leiter-der-nord-stream-ermittlungen-heisst-weder-erik-ollsen-noch-ist-er-tot
[10] Par exemple: www.bbk.bund.de/DE/Themen/Kritische-Infrastrukturen/Kooperationen/kooperationen_node.html
[11] Pour le secteur européen de l'énergie, par exemple: www.ee-isac.eu
[12] www.first.org

Note

La panne d’électricité à Kiev, en Ukraine, utilisée en tant qu’image de titre, est à imputer à une attaque de missiles russes perpétrée le 23 novembre 2022, et non à une cyberattaque. Une panne d’électricité à grande échelle causée par une cyberattaque a eu lieu en Ukraine le 23 décembre 2015.