Le piratage de pipeline indique un risque croissant de cybersécurité pour le système énergétique

WASHINGTON – L’audacieuse attaque de ransomware qui a fermé un important pipeline de carburant et a envoyé les Américains à la recherche d’essence dans le sud-est cette semaine n’était pas la première fois que des pirates informatiques perturbaient l’infrastructure énergétique vieillissante et vulnérable des États-Unis. Et il est peu probable que ce soit le dernier.

Partout dans le monde, les cyberattaquants visent de plus en plus les systèmes énergétiques qui sous-tendent la société moderne. Un février rapport d’IBM a constaté que l’industrie de l’énergie était le troisième secteur le plus ciblé pour de telles attaques en 2020, derrière uniquement la finance et la fabrication. C’était en hausse par rapport à la neuvième place en 2019.

«Cela devrait être un signal d’alarme», a déclaré Jonathon Monken, directeur de la société de conseil en énergie Converge Strategies. «Quand vous regardez ce qui est le plus susceptible de causer des perturbations aux entreprises énergétiques aujourd’hui, je pense que vous devez placer les risques de cybersécurité au sommet.»

Malgré des années d’avertissements, le vaste réseau américain de pipelines, de réseaux électriques et de centrales électriques reste extrêmement vulnérable aux cyberattaques, avec le potentiel de perturber l’approvisionnement en énergie de millions de personnes. Gérer ces risques, ont déclaré les analystes, posera un défi majeur à l’administration Biden alors qu’elle cherche des centaines de milliards de dollars pour moderniser l’infrastructure énergétique du pays et passer à des sources d’énergie plus propres pour lutter contre le changement climatique.

Les régulateurs sont de plus en plus prêts à intervenir. Lundi, Richard Glick, président de la Federal Energy Regulatory Commission, a déclaré qu’il était temps d’établir des normes de cybersécurité obligatoires pour les près de 3 millions de kilomètres d’oléoducs et de gazoducs du pays, similaires à celles actuellement trouvées. dans le secteur de l’électricité.

«Le simple fait d’encourager les pipelines à adopter volontairement les meilleures pratiques est une réponse inadéquate au nombre toujours croissant et à la sophistication des cyberacteurs malveillants», a déclaré M. Glick dit dans un communiqué.

Les risques pour les systèmes énergétiques du pays sont répandus et variés. De nombreux oléoducs et gazoducs, par exemple, reposent sur des systèmes de contrôle vieux de plusieurs décennies qui ne sont pas bien défendus contre des cyberattaques plus sophistiquées et qui ne peuvent pas être facilement mis à jour.

Et ce ne sont pas que des pipelines. Alors que les opérateurs de réseau électrique exploitent un éventail croissant de technologies numériques pour aider à gérer le flux d’électricité et à réduire les émissions liées au réchauffement de la planète – comme des thermostats intelligents ou des réseaux de panneaux solaires éloignés mais interconnectés – les pirates informatiques peut trouver de nouveaux points d’entrée à exploiter.

La fermeture vendredi du Colonial Pipeline, qui s’étend sur 5500 miles du Texas au New Jersey et transporte 45% des approvisionnements en carburant de la côte Est, illustre à quel point de telles attaques peuvent être dévastatrices.

Samedi, Colonial a reconnu que ses systèmes informatiques d’entreprise avaient été touchés par une attaque de ransomware, dans laquelle des groupes criminels détiennent des données en otage jusqu’à ce que la victime paie une rançon. La société a déclaré qu’elle avait fermé le pipeline par mesure de précaution, apparemment de peur que les pirates informatiques aient pu obtenir des informations qui leur permettraient d’attaquer des parties du pipeline lui-même.

Colonial a déclaré mercredi qu’il avait commencé à reprendre les opérations du pipeline, bien qu’il faudrait plusieurs jours pour rétablir le service complet. Mais dans tout le sud-est, les Américains paniqués se précipitaient pour s’approvisionner en essence, provoquant la panne de carburant de milliers de stations-service.

Bien que Colonial n’ait pas encore expliqué exactement ce qui a déclenché l’arrêt du pipeline, les experts ont déclaré que de nombreuses vulnérabilités se cachaient dans l’infrastructure énergétique américaine.

L’année dernière, l’Agence pour la cybersécurité et la sécurité des infrastructures a signalé une attaque de ransomware sur une installation de compression de gaz naturel qui a causé la fermeture de l’installation pendant deux jours. En 2018, plusieurs exploitants de gazoducs ont signalé qu’un système qui traite les transactions des clients avait été attaqué, entraînant des interruptions de service.

Mais de plus grands risques se cachent: en 2016, des pirates ont assommé de grandes sections du réseau électrique en Ukraine, ce qui était considéré comme la première panne de courant intentionnelle déclenchée par une cyberattaque. À l’époque, l’administration Obama avait averti que les compagnies d’électricité américaines n’étaient pas à l’abri d’attaques similaires.

Dans le passé, les sociétés d’énergie gardaient généralement les systèmes opérationnels qui gèrent les pipelines ou les centrales électriques déconnectés, ou «à vide», de l’Internet plus large, ce qui signifiait que les pirates ne pouvaient pas facilement accéder à l’infrastructure la plus critique. Mais de plus en plus, ce n’est plus le cas, car les entreprises installent des logiciels de surveillance et de diagnostic plus sophistiqués qui les aident à faire fonctionner ces systèmes plus efficacement. Cela crée potentiellement de nouveaux risques de cybersécurité.

«Désormais, ces systèmes sont tous interconnectés d’une manière que les entreprises elles-mêmes ne comprennent pas toujours pleinement», a déclaré Marty Edwards, vice-président de la technologie opérationnelle chez Tenable, une société de cybersécurité. «Cela permet aux attaques dans une zone de se propager ailleurs.»

De nombreux systèmes de contrôle industriel ont été installés il y a des décennies et fonctionnent avec des logiciels obsolètes, ce qui signifie que même trouver des programmeurs pour mettre à niveau les systèmes peut être un défi. Et les exploitants d’infrastructures énergétiques vitales – telles que les pipelines, les raffineries ou les centrales électriques – sont souvent réticents à interrompre le flux de carburant ou d’électricité pendant de longues périodes pour installer fréquemment des correctifs de sécurité.

Rendant les choses encore plus difficiles, ont déclaré les analystes, de nombreuses entreprises ne savent pas toujours exactement quand et où il vaut la peine de dépenser de l’argent pour de nouvelles défenses de cybersécurité coûteuses, en partie à cause du manque de données facilement disponibles sur les types de risques qu’elles représentent. le plus susceptible de faire face.

«Les entreprises ne divulguent pas toujours beaucoup d’informations publiquement» sur les menaces qu’elles voient, a déclaré Padraic O’Reilly, cofondateur de CyberSaint Security, qui travaille avec des pipelines et des infrastructures critiques sur la cybersécurité. «Cela peut rendre difficile en tant qu’industrie de savoir où investir.»

Les analystes ont déclaré que les services publics d’électricité et les opérateurs de réseau du pays étaient généralement plus avancés dans la préparation aux cyberattaques que l’industrie pétrolière et gazière, en partie parce que les régulateurs fédéraux exigent depuis longtemps des normes de cybersécurité pour l’épine dorsale du réseau électrique du pays.

Pourtant, des vulnérabilités demeurent. «Cela tient en partie à la complexité même du réseau», a déclaré Reid Sawyer, directeur général de la pratique de cyberconsultation aux États-Unis chez Marsh, une société d’assurance. Tous les niveaux du réseau ne sont pas soumis à des normes obligatoires, par exemple, et il y a plus de 3000 services publics dans le pays avec des pratiques de cybersécurité variables.

Toutes les actualités du site n'expriment pas le point de vue du site, mais nous transmettons cette actualité automatiquement et la traduisons grâce à une technologie programmatique sur le site et non à partir d'un éditeur humain.

Comments