in Government, IT & Data security, Industry & utilities
,

Durcissement de la législation contre les cyber-menaces menaçant les fournisseurs d’énergie

Les systèmes d’exploitation comme SCADA et DCS [1] qui supervisent les usines, les raffineries de tout type et les flux d’électricité dans les réseaux de distribution, sont aujourd’hui interconnectés par des moyens virtuels complexes qui ont effacé les limites physiques des réseaux.

Ces systèmes sont de plus en plus basés sur une infrastructure de communication standard, ce qui améliore considérablement leur efficacité, mais augmente également leur vulnérabilité face aux actes malveillants.

« Les pirates d’aujourd’hui sont sophistiqués, éduqués et disposent de plus de moyens. Il leur est donc plus facile de s’introduire dans le réseau ou le système d’un fournisseur d’énergie et d’y rester sans se faire détecter », note un rapport de PricewaterhouseCoopers.

Usman Sindhu, Analyste de recherche senior chez IDC Energy Insights, prend comme exemples récents le ver Stuxnet qui a touché l’Iran en 2010 et l’opération de piratage Night Dragon en Amériques, Europe et Asie. Ces menaces sophistiquées et persistantes justifient le fait que les risques potentiellement catastrophiques d’une panne énergétique restent la priorité des chefs d’entreprises comme des gouvernements.

« L’ère contemporaine de la protection des infrastructures stratégiques a vraiment commencé à la fin des années 1990, quand les gouvernements se sont rendus compte de la multiplication des menaces et que les politiques et disciplines internes mises en place par les fournisseurs d’énergie ne suffisaient plus », poursuit M. Sindhu.

Depuis, l’organisme NERC (North America Electric Reliability Corporation) a été certifié par la Commission de Régulation Fédérale du secteur énergétique pour développer et faire appliquer des normes aux États-Unis et au Canada.

Mais la complexité de la situation s’est encore renforcée. En effet, en 2009, le plan Recovery pour la modernisation des systèmes d’alimentation, a permis à une multitude de systèmes d’adopter le réseau de distribution intelligent « smart grid », ce qui, hélas, a également ouvert la porte à toutes sortes d’intrus.

Une bonne préparation

En 2011, les journaux London Evening Standard et The New York Times ont donné de mauvaises notes à la préparation des fournisseurs d’énergie contre les cyber-menaces au Royaume-Uni et aux États-Unis. Les raisons citées étaient la priorisation de la protection contre une panne d’alimentation générale, le manque de budget, un manque de personnel doté à la fois de connaissances en énergie/sur le réseau smart-grid et de compétences en sécurité traditionnelle sur le marché du travail, ainsi que des disputes juridictionnelles.

D’après M. Sindhu, le Congrès américain a récemment présenté 50 projets de loi pour protéger les fournisseurs d’électricité, de pétrole, gaz et eau, tous étroitement liés, contre les cyber-attaques.

« Premièrement, les directives NERC ne sont plus considérées comme suffisantes et donc les sociétés énergétiques seront responsables d’assurer la sécurité et la robustesse de leur architecture. Un auditeur externe viendra tester ses plans de sécurité contre les cyber-attaques.

« Deuxièmement, elles devront partager leurs informations sur des incidents avec le Ministère de la Sécurité Intérieure et avec le reste de leur secteur. Troisièmement, même si ces sociétés font d’ores et déjà de gros efforts pour contrôler la sécurité des déploiements smart grid, elles devront encore les renforcer avec cette nouvelle législation. Enfin le quatrième point porte sur l’enjeu des informations sur les consommateurs, avec l’introduction d’obligations de protection de la vie privée et de notification de toute violation de données pour l’écosystème smart grid », explique-t-il.

De multiples niveaux d’expertise

De nombreux pays, notamment le Canada, le Royaume-Uni et l’Australie, travaillent sur une législation similaire à celle des États-Unis, mais selon M. Sindhu, la plupart des lois considèrent seulement indirectement la sécurité physique.

Les responsables sécurité de chaque fournisseur d’énergie doivent avoir conscience que le réseau smart grid exigera quatre niveaux d’expertise interconnectés.

Il s’agit tout d’abord des aspects physiques, couvrant l’entrée, les caméras, les alarmes, les flux en temps réel, de la partie sécurité réseau, avec tous les components qui communiquent les uns avec les autres sur les réseaux IP, des données qui doivent être sécurisées en permanence, et des applications qui doivent, de plus en plus, fonctionner en toute sécurité sur des équipements mobiles.

À l’échelle mondiale, la législation est donc en pleine évolution pour l’ensemble des sociétés énergétiques : petites et grandes, publiques et privées.

 

[1] SCADA – Supervisory Control and Data Acquisition
DCS –  Distributed Control Systems

Par Derek Scheips

Related images

hacking_utilities_top

Comment

You must be logged in to post a comment.