Continuer sans accepter

Bonjour et bienvenue sur le site d’AEF info
Vos préférences en matière de cookies

En plus des cookies strictement nécessaires au fonctionnement du site, le groupe AEF info et ses partenaires utilisent des cookies ou des technologies similaires nécessitant votre consentement.

Avant de continuer votre navigation sur ce site, nous vous proposons de choisir les fonctionnalités dont vous souhaitez bénéficier ou non :

  • Mesurer et améliorer la performance du site
  • Adapter la publicité du site à vos centres d'intérêt
  • Partager sur les réseaux sociaux
En savoir plus sur notre politique de protection des données personnelles

Vous pourrez retirer votre consentement à tout moment dans votre espace « Gérer mes cookies ».
Revenir en haut de la page

Comment le secteur français de l’énergie se prépare à une cyberattaque

Que se passerait-il si l’industrie de l’énergie en France était victime d’une cyberattaque ? Plusieurs dirigeants de ce secteur se penchaient sur ce scénario pendant le FIC (1) qui s’est tenu à Lille du 7 au 9 septembre 2021. Depuis le cybersabotage de centrifugeuses nucléaires iraniennes en 2011, les attaques d’ampleur se sont multipliées, touchant l’Ukraine ou encore les États-Unis. Si l’Anssi est confiante quant à la robustesse des systèmes informatiques des groupes énergétiques en France, elle reste prudente face à la sophistication croissante des cybercriminels et à leur capacité à déstabiliser des opérateurs d’importance vitale.

   Merci de découvrir AEF info !

Cette dépêche est en accès libre.

Retrouvez tous nos contenus sur la même thématique.

Tester AEF info pendant 1 mois
Test gratuit et sans engagement
  • Thématiques
  • Coordonnées
  • Création du compte

Thématiques

Vous demandez à tester la ou les thématiques suivantes*

sur5 thématiques maximum

1 choix minimum obligatoire
  • Sécurité globale
  • 👁 voir plus
    ✖ voir moins

Fréquence de réception des emails*

Un choix minimum et plusieurs sélections possibles. Vous pourrez modifier ce paramétrage une fois votre compte créé

Un choix minimum obligatoire

* Champs obligatoires

Coordonnées

Renseignez vos coordonnées*

Veuillez remplir tous les champs
Votre numéro de téléphone n'est pas valide

* Champs obligatoires

Création de compte

Tous les champs sont obligatoires
Votre adresse e-mail n'est pas valide
Seulement les adresses e-mails professionnelles sont acceptées

Cette adresse vous servira de login pour vous connecter à votre compte AEF info

Votre mot de passe doit contenir 8 caractères minimum dont au moins 1 chiffre
Ces mots de passe ne correspondent pas. Veuillez réessayer

Votre mot de passe doit contenir 8 caractères minimum dont 1 chiffre

En validant votre inscription, vous confirmez avoir lu et vous acceptez nos Conditions d’utilisation, la Licence utilisateur et notre Politique de confidentialité

* Champs obligatoires

Valider

Merci !

Nous vous remercions pour cette demande de test.

Votre demande a été enregistrée avec l’adresse mail :

Nous allons rapidement revenir vers vous pour vous prévenir de l’activation de votre nouvel accès.

L’équipe AEF info


Une erreur est survenue !

Une erreur est survenue lors de l'envoie du formulaire. Toutes nos excuses. Si le problème persiste, vous pouvez nous contacter par téléphone ou par email :
 service.clients@aefinfo.fr  01 83 97 46 50 Se connecter

Droits réservés - DR

"Nous le savons très bien, le jour où il n’y a plus de pétrole, où il n’y a plus d’essence, où il n’y a plus d’électricité, là, le chaos sera total", prévient Guillaume Poupard, directeur général de l’Anssi, lors d’une conférence de presse, mercredi 8 septembre 2021 à Lille. La 13e édition du FIC a notamment été l’occasion de se pencher sur le risque cyber lié à l’industrie de l’énergie. Les acteurs de ce secteur vital en parlent, s’y préparent, mais ne peuvent s’empêcher d’avoir une certaine appréhension. "S’attaquer à nos infrastructures peut entraîner des conséquences sur notre souveraineté, nos libertés fondamentales et la résilience de nos systèmes", explique ainsi Thierry Trouvé, directeur général de GRTgaz, dont l’entreprise, filiale d’Engie, détient le monopole sur l’acheminement du gaz vers les lieux de consommation en France. Elle endosse également le rôle stratégique de régulateur pour assurer l’équilibre entre l’offre et la demande.

Ces énergies correspondent à des besoins indispensables. "Toutes les dernières révolutions technologiques convergent vers un recours massif à l’électricité", souligne Bernard Cardebat, directeur de la cybersécurité d’Enedis – aussi en position de monopole sur la distribution d’électricité en France. "Il y a des enjeux : maîtriser la production participe à la souveraineté d’un pays. L’attaque BlackEnergy en Ukraine l’a démontrée, c’est un levier puissant sur la scène géostratégique", analyse-t-il. Cette attaque a eu lieu en décembre 2015. Un logiciel malveillant est parvenu à atteindre les systèmes informatiques du fournisseur d’électricité Prykarpattya Oblenergo, plongeant durant plusieurs heures 1,4 million d’Ukrainiens dans le noir. Les assaillants ont pu s’introduire dans le système grâce à des fichiers Excel vérolés, envoyés par mail, et cibler le Scada (Supervisory control and data acquisition – un système de supervision industriel) du site. L’Ukraine a accusé la Russie, qui n’a fait aucun commentaire.

Espionnage

"Le contexte géopolitique s’y prête : la difficulté d’attribuer les attaques à une puissance apporte un avantage à leurs instigateurs", commente Arnault Barichella, doctorant à Sciences Po Paris sur les questions de cybersécurité liée à l’énergie. Le chercheur rappelle également l’existence d’attaques plus discrètes, sans sabotage. Il cite notamment Dragonfly (groupe de cyberespionnage). En 2014, l’éditeur de logiciel Symantec a découvert l’existence d’un logiciel malveillant dans les systèmes informatiques de grands groupes énergétiques aux États-Unis et en Europe. Ce programme avait la capacité de passer à l’action, mais se contentait d’espionner.

Une autre attaque occupait tous les esprits lors du FIC : celle de Colonial Pipeline. En mai dernier, un rançongiciel a pris pour cible cet oléoduc géant qui traverse les États-Unis, du Texas à l’État de New York. Le transporteur de mazout s’est retrouvé dans l’incapacité de comptabiliser ses distributions et de facturer, fermant finalement de lui-même le robinet. La côte est des États-Unis a alors subi une pénurie de carburant. Originalité de cette attaque : les assaillants ne semblaient pas adossés à une puissance étrangère. "Les États n’ont plus le monopole de la cybermenace. Nous le voyons avec cette affaire. Des acteurs infra-étatiques ont désormais entre les mains des leviers incroyables pour obtenir de l’argent", constate Thierry Trouvé, de GRTgaz.

"Nous n’avons pas attendu Colonial Pipeline pour parler avec les opérateurs énergétiques", assure de son côté Guillaume Poupard. L’Anssi a comparé les données obtenues sur l’attaque avec les OIV nationaux de l’énergie. "Nous nous sommes rassurés, l’attaque de Colonial Pipeline ne fonctionnerait pas en France", déclare-t-il, avant de tempérer son propos : "Nous restons prudents, personne n’est inattaquable aujourd’hui."

sous-traitants

Loïs Samain, RSSI d’EDF Hydro, pointe les faiblesses du secteur industriel, dont hérite aussi celui de l’énergie : "Les systèmes informatiques sont peu mis à jour, 'patcher' [corriger provisoirement un bug dans l’attente d’une nouvelle version du programme, NDRL] se révèle compliqué dans ce milieu." Remettre une chaîne de production à niveau en cybersécurité ne se fait pas comme un poste de travail dans le tertiaire. Arrêter la chaîne, c’est compter ses pertes. Un argument matraqué par les industriels, contesté par les vendeurs de solutions. Badr Lassri, ingénieur en cybersécurité chez l’américain Tenable, cite l’attaque de Norsk Hydro en mars 2019, l’un des plus grands fabricants d’aluminium d’Europe en Norvège. Un rançongiciel avait provoqué un arrêt complet des systèmes informatiques – bureautiques comme opérationnels – sur site. Selon un calcul de l’industriel, l’attaque aurait coûté entre 35 et 41 millions de dollars à l’entreprise. "N’allez pas me dire que c’est le même prix pour mettre en place une solution de cybersécurité…", pointe le représentant de Tenable.

Les failles se trouvent souvent chez les partenaires ou les sous-traitants des groupes. "Nous sommes bons contre le risque cyber, mais nous le sommes moins pour identifier la fiabilité de nos partenaires contre ce risque", estime ainsi Louis Bernard, fondateur de Crisotech, cabinet de conseil et gestion de crise racheté par le groupe Devryware en 2020. "Très souvent, nous constatons un écart entre les intentions affichées et les réalisations dans le cahier des charges", abonde Thierry Trouvé, de GRTgaz. Surtout, le directeur général constate une absence de transparence dans la gestion des crises. "L’un de nos fournisseurs, victime d’une cyberattaque, a déjà eu ce manque avec nous. Nous avons été contraints de le mettre en quarantaine pendant trois mois", regrette-t-il.

compteurs connectés

Bernard Cardebat, directeur de la cybersécurité d’Enedis, voudrait voir le ton se durcir envers les sous-traitants et fournisseurs de sa filière : "Il devrait y avoir un minimum requis pour faire partie de l’écosystème de l’électricité à l’échelle mondiale. Oui, il faut accompagner les moins matures pour redresser le niveau, mais il faut aussi exiger un minimum vital. Comme l’atome possède son agence, l’AIEA, l’électricité devrait avoir la sienne." Selon un benchmark réalisé par le cabinet de conseil Wavestone, 28 % des sites industriels audités auraient des exigences de cybersécurité pour les tiers.

L’image revient souvent, l’industrie de l’énergie doit se voir comme une chaîne à différents maillons. Sa résistance se mesure à la solidité de son maillon le plus faible. Et Sébastien Viou, consultant chez Stormshield, éditeur de logiciels spécialisés en sécurité, se projette même à plus petite échelle que celle des entreprises, des groupes, des sous-traitants : "Nous pouvons imaginer aussi des attaques pour couper l’électricité à des particuliers et les rançonner. Chaque compteur communiquant pourrait devenir un point d’entrée vers le réseau global. Nos centrales ont une sécurité avancée, faudra-t-il sécuriser les maisons comme des centrales ?"

(1) AEF info est partenaire média du FIC 2021

Fermer
Bonjour

Vous souhaitez contacter

Romain Haillard, journaliste