La cybercriminalité augmente et touche tous les secteurs

Au cours des 20 dernières années, on constate une tendance de fond quant à l’ouverture des entreprises sur l’extérieur, l’intégration sans cesse croissante d’outils numériques, le mix entre sphère privée et sphère professionnelle ou encore les usages croisés entre ordinateur et smartphone. Ce développement des outils numériques dans tous les secteurs d’activités et administrations se traduit par une progression constante des attaques malveillantes ciblant ces systèmes, dans le but principal d’extorquer de l’argent.

Le coût global mondial annuel de la cybercriminalité est ainsi évalué à 6 milliards d’euros en 2022 (selon le général Christophe Husson, commandant en second de la gendarmerie dans le cyberespace (ComCyberGend)) et aucun secteur n’est épargné.

Le secteur de l'énergie est une cible particulière

Le développement des énergies renouvelables et des smart grids s’accompagne également du déploiement de nombreux systèmes communicants qui permettent de superviser et d’exploiter à distance les différentes installations.
Ces systèmes sont de plus en plus fréquemment reliés directement au réseau Internet sans que des mesures de protection suffisantes (analyse de risques, durcissement, cloisonnement réseau, VPN, firewall …) ne soient systématiquement mises en œuvre ni intégrées en amont dans les premières phases des projets.

Or ces dernières années le secteur de l’énergie figure parmi les cinq secteurs les plus touchés par les cyberattaques, avec des attaques croissantes ciblant les infrastructures des réseaux électriques ainsi que les entreprises fournissant du matériel et des logiciels pour ce secteur.

Répartition des attaques par secteur d’activité (source : rapport cybermenace d'IBM « X-Force Threat Intelligence Index 2023 »)

La multiplication des infrastructures décentralisées et des acteurs privés et publics intervenant sur ces infrastructures offre de nouveaux points d’entrée aux pirates qui peuvent prendre le contrôle de ces systèmes, et menacer d’en perturber le fonctionnement si une rançon n’est pas versée (les entreprises, mais également les hôpitaux et collectivités sont de plus en plus victimes de ces attaques).
D’autre part, des attaques aléatoires qui ne ciblent pas nécessairement le secteur de l’énergie peuvent également impacter des composants logiciel ou matériel utilisés dans ces infrastructures et, par effet domino, là encore perturber le fonctionnement de systèmes sensibles.

Enfin, la dimension géopolitique de ces attaques n’est plus à démontrer, comme en témoignent les cyberattaques étatiques extrêmement sophistiquées ciblant notamment les infrastructures énergétiques ukrainiennes (virus BlackEnergy en 2015, virus Industroyer en 2016 puis Industroyer2 en 2022). Par ailleurs les virus utilisés dans ces attaques se propagent bien au-delà des périmètres initialement ciblés (exemple : virus NotPetya ciblant l’Ukraine en juin 2017, mais qui s’est propagé au reste du monde (ex. de victimes : St Gobain, Maersk, Fedex) causant plus d’1 milliard d’euros de dommages.

Une menace liée aux systèmes de communication

Dès lors que des composants logiciel et matériel sont connectés à un réseau de communication, ils sont susceptibles d’être la cible de pirates informatiques plus ou moins expérimentés ou de virus plus ou moins sophistiqués et destructeurs. D’autres virus cibleront ces équipements de manière discrète afin, une fois corrompus, de les exploiter au sein de réseaux « botnets » supportant diverses actions illicites ou malveillantes.

Globalement, dès lors qu’un système est exposé sur Internet, il est très probable qu’il sera scanné et testé par des outils malveillants automatisés puis éventuellement exploité par des pirates.

Un outil comme Shodan   scanne Internet à la recherche de systèmes vulnérables ou accessibles sans mot de passe ( exemples de systèmes accessibles ). Il permet ainsi de trouver des systèmes contrôle-commande, des webcams, des éoliennes, mais également des installations photovoltaiques dont les systèmes (onduleurs ou logiciels de supervision) présentent des vulnérabilités connues et exploitées. Il est possible de citer cet article (en anglais) qui pointe des vulnérabilités qui ont été exploitées dans des systèmes photovoltaïques. Cet article (en anglais) mentionne une étude ayant identifié 150 000 systèmes en lien avec des architectures PV accessibles en ligne.

L’étude mentionnée ci-dessus a ainsi identifié lors de sa réalisation des systèmes PV accessibles en ligne :

Source : article "Security Gaps in Green Energy Sector: Unveiling the Hidden Dangers of Public-Facing PV Measuring and Diagnostics Solutions" (2023) sur cyble.com

 En fonction de l’intérêt du système exposé, un hacker pourra tenter d’exploiter des failles de sécurité connues (exemple de failles sur les systèmes Schneider ou Siemens , de nombreuses entreprises sont touchées ponctuellement), utiliser des outils intrusifs pour en prendre le contrôle ou en perturber le fonctionnement, ou l’utiliser discrètement pour rebondir vers d’autres systèmes.

Cet article allemand (traduit en français) illustre le nouveau terrain de jeu des cyberattaques, notamment sur les énergies renouvelables et les conséquences potentielles d’une attaque majeure en termes de stabilité des réseaux électriques.

Enfin, cet article en français de la société Wavestone souligne le développement de la cybermenace ciblant spécifiquement les infrastructures énergétiques et les énergies renouvelables.

Sources de cette partie :

•  "Fascinating & Frightening Shodan Search Queries (AKA: The Internet of Sh*t)" (2019) par Jake Jarvis
• "Security Gaps in Green Energy Sector: Unveiling the Hidden Dangers of Public-Facing PV Measuring and Diagnostics Solutions" (2023) sur cyble.com
• "Leichtes Spiel für Hacker" (2023) par Jörg Hommer, SWR
• "Secteur de l’énergie : Une obligation de cybersécurité face aux attaques pour garantir la fourniture de services essentiels" (2022) par Loïc Lebain, Arthur Bernardeau et Manon Naitmazi
• Avis du CERT-FR - [SCADA] Multiples vulnérabilités dans les produits Schneider (2023)
• Avis du CERT-FR - [SCADA] Multiples vulnérabilités dans les produits Siemens (2023)

Des architectures d'énergies renouvelables distribuées et connectées

Alors que les infrastructures de production d’énergie classiques (centrales nucléaires, hydraulique, centrales à gaz/fioul)  reposent sur une architecture informatique et contrôle-commande centralisée dont les composants critiques sont isolés physiquement du réseau internet (notion de « air gap ») et disposent d’équipes sensibilisées aux problématiques de cybersécurité, les nouvelles infrastructures des ENR sont quant à elles disséminées sur le territoire et interconnectées afin notamment d’en faciliter la supervision et l’exploitation, sans toutefois bénéficier systématiquement du même niveau de cyberprotection.  

D’autre part, ces sources de production d’énergie sont reliées au réseau de transport de l’énergie; elles représentent donc un point d’entrée potentiel pour des pirates qui souhaiteraient en perturber le fonctionnement.
Ce constat est partagé dans l'article (en anglais) "Insight: Cyberattacks on renewables: Europe power sector's dread in chaos of war" (2023) par plusieurs spécialistes de l’énergie européens : Norsk Hydro en Norvège, BDEW, E.ON et EnBW en Allemagne (qui dispose de plus de 200 spécialistes en cybersécurité), Svenska Kraftnaet en Suède (équipe cyber : 60 personnes).

Source : Harrou, Fouzi & Taghezouit, Bilal & Bouyeddou, Benamar & Sun, Ying. (2023). Cybersecurity of photovoltaic systems: challenges, threats, and mitigation strategies: a short survey. Frontiers in Energy Research. 11. 10.3389/fenrg.2023.1274451.

En 2022, c’est l’Australie qui s’est inquiétée du niveau de sécurité de ses infrastructures, et notamment des risques liés aux onduleurs dont plus de 60% sont d’origine chinoise et dont certains sont accessibles sur Internet et présentent des failles de sécurité connues.
Avec 30% des foyers équipés de panneaux solaires, et avec l’ambition d’atteindre 82% d’énergie renouvelable d’ici 2030, la question des risques cyber et des conséquences sur une attaque d’ampleur ciblant notamment les onduleurs s’est posée. Un rapport du gouvernement australien "Power Out? Solar inverters and the silent cyber threat" publié en août 2023 se concentre ainsi sur les risques liés aux réseaux d’énergie distribuée ainsi qu’aux conséquences potentielles de type blackout qui résulteraient d’une attaque de grande ampleur ciblant les onduleurs.

En novembre 2023, les équipes cyber de l’association danoise SektorCERT qui supervise la cybersécurité des infrastructures et opérateurs critiques ont publié un rapport "The attack against Danish, critical infrastructure" (2023) détaillé sur les attaques ciblées qu’elles ont détectées en mai 2023 grâce aux sondes installées dans les systèmes de 270 opérateurs critiques danois. Là encore, les attaques étaient coordonnées et ciblées et exploitaient des failles présentes sur des firewalls ZYXEL non mis à jour et largement déployés au sein d’infrastructures critiques.

On rappellera que l’objectif majeur des cyberattaques reste l’extorsion (demande de rançon en échange de l’accès aux données chiffrées par le virus). À nouveau, le secteur de l’énergie est très fréquemment ciblé puisqu’il figure en 3ᵉ position des affaires traitées par les équipes IBM en 2022.

Cas d’extorsion par industrie en 2022 (source : rapport cybermenace d'IBM « X-Force Threat Intelligence Index 2023 »)

Pour conclure ce panorama, les fiches de l’association CLUSIF   donnent un bon aperçu des attaques ayant ciblé ces dernières années les infrastructures industrielles des secteurs de l’énergie, du transport et de l’eau et assainissement.

Directive européenne en cybersecurité

En Europe, la directive NIS2 met l’accent sur les nouvelles exigences européennes en matière de cybersécurité. L’annexe 1  liste les opérateurs concernés et notamment le secteur de l’énergie électrique.                                      

Ainsi les producteurs, fournisseurs, opérateurs et gestionnaires sont explicitement mentionnés comme acteurs à risque concernés par ce cadre cyber.
Ces directives s’adressent bien sûr aux grands groupes, mais également aux entreprises de taille moyenne, aux collectivités territoriales ainsi qu’aux sous-traitants, fréquemment ciblés par les cyberattaques car parfois moins expérimentés que les plus grands groupes en matière de cybersécurité.

En France, l’agence nationale ANSSI propose un ensemble de ressources sur la transposition NIS2 pour les entreprises et collectivités françaises et publie régulièrement des informations à destination des entreprises concernées. Elle met aussi à disposition des opérateurs un site d'informations sur NIS2 et un test pour vérifier si le cadre NIS2 vous concerne .

On notera également que dans son "Panorama de la cybermenace 2023"   l’ANSSI souligne que "les secteurs de l’énergie, des transports, de la logistique et des télécommunications sont toujours considérés comme particulièrement exposés à cette menace."

Les acteurs du monde des ENR doivent donc intégrer la question de la cybersécurité dans leurs pratiques opérationnelles.