Le dernier rapport du Conseil mondial de l’Energie indique une augmentation de 80 % des attaques informatiques réussies contre des sociétés pétrolières en 2015. Le secret d’un tel succès serait l’effet domino des attaques perpétrées contre ces structures qui peuvent conduire à d’importantes pertes financières, mais également à des catastrophes environnementales voire humaines. Ces résultats sont renforcés par ceux du Think Tank britannique Chatham House qui révèle dans son rapport  du 5 octobre un risque croissant d’une « cyberattaque sérieuse » sur les installations nucléaires ainsi qu’un manque de préparation des opérateurs.

Un constat inquiétant qui a conduit l’Union Européenne à adopter la directive Network and Information Security (NIS) dédiée à la cybersécurité, dont l’entrée en vigueur est prévue en 2018. Un budget de près d’1,87 milliards de dollars est également envisagé par les industries du gaz et du pétrole afin de se prémunir contre des attaques d’une telle ampleur. Ainsi, pour accompagner ces démarches, les organisations doivent également revoir et renforcer leurs pratiques de sécurité.

Les Opérateurs d’Importance Vitale (OIV) doivent plus que jamais être sur le pied de guerre face aux cyberattaques plus virulentes et sophistiquées qui sévissent actuellement. Longtemps épargnés par les cybermenaces car ils n’étaient pas connectés à internet, ces secteurs sont aujourd’hui vulnérabilisés par la digitalisation ; si bien qu’ils font face à de nouvelles menaces non ou mal anticipées. Pour autant, la plupart n’ont pas immédiatement changé leurs habitudes, laissant la porte ouverte aux failles des systèmes. Or, le secteur nucléaire est bel et bien une cible de choix pour les hackers, comme l’ont démontré les dernières attaques contre les centrales nucléaires en Ukraine fin 2015, et plus récemment la panne sur une centrale nucléaire ou la révélation de l’infection par virus de la centrale de Gundremmingen au nord-ouest de Munich.

En outre, les dernières attaques identifiées révèlent que les problèmes surviennent au-delà de l’environnement sensible visé ; les équipes informatiques manquant souvent de données concrètes pour confirmer leurs suppositions quant à de potentielles failles. Or, la montée des cyberguerres et du cyber terrorisme transforme le visage des attaques. C’est pourquoi les organisations doivent assurer la protection de leurs systèmes, à commencer par leurs comptes d’administration – ou comptes à privilèges – qui permettent de prendre le contrôle de l’intégralité des machines. Ces comptes sont la voie royale des hackers. En fonction de la taille de l’organisation, ceux-ci peuvent être plus ou moins nombreux. Ainsi, pour en assurer une gestion précise et efficace, un système de rotation automatique des accès permettrait d’éviter des écueils aussi classiques que l’échange de mots de passe sur post-it, clé USB, par email ou encore leur enregistrement dans un document Word.

De manière générale, les organisations doivent partir du fait qu’elles seront attaquées tôt ou tard, voire que la menace se trouve déjà à l’intérieur afin d’en bloquer la progression, notamment en sécurisant les points d’accès aux systèmes. 73 %* des entreprises françaises considèrent qu’une attaque de grande envergure contre des infrastructures critiques – conduisant à une coupure générale d’électricité ou pouvant impacter la qualité de l’eau – serait catastrophique. C’est pourquoi la sécurité des OIV doit sans équivoque devenir une priorité nationale, voire internationale.

Les associations telles que l’ANSSI n’ont d’ailleurs pas attendu avec la publication de deux décrets en mars 2015, dans le cadre de la loi de programmation militaire de 2013 pour aider ce secteur à mieux se protéger. Selon la loi, le secteur énergétique, doit anticiper les mesures sécuritaires, faire réaliser un audit par un prestataire qualifié par l’agence, reporter auprès de l’ANSSI tous les points susceptibles de poser problème, ainsi que le moindre incident de sécurité identifié tout au long de l’année. Les OIV n’échappent pas aux règles de base de protection et doivent donc mettre en place les bonnes pratiques propres à n’importe quelle organisation souhaitant prévenir la perte ou le vol de leurs données. Par conséquent, la combinaison de l’ensemble de ces mesures ne peut que contribuer à renforcer la sécurité du secteur énergétique.

_________
Jean-François Pruvot est Regional Director France chez CyberArk

 

* Source : 10e Etude CyberArk « Threat Landscape report 2016”