Aperçu
- 0 min

Les défis de la guerre contre les cyberattaques

Le secteur de l’énergie est de plus en plus confronté à la menace des cyberattaques, et en particulier des attaques par ransomware. L’énergie est désormais l’une des trois premières industries à signaler ce problème. Que peut faire le secteur de l’énergie pour se protéger des cyberattaques ? Et plus précisément, comment les parcs éoliens offshore peuvent-ils se protéger ?

DNV, une organisation de ressources de premier plan pour les experts indépendants en énergie et les conseillers techniques, a publié les résultats d'une enquête sur la cybersécurité menée auprès de 948 professionnels de l'énergie, qui a comporté une série d'entretiens approfondis avec des leaders du secteur et des experts en sécurité. L'enquête révèle que le secteur a encore beaucoup de chemin à parcourir en matière de cybersécurité. C'est également vrai pour les parcs éoliens offshore. Mais le secteur fait des efforts pour redresser la situation. L'incident du Colonial Pipeline de 2021 sur la côte Est des États-Unis a été un signal d'alarme. L'enquête montre que la majorité des cyberattaques ont impliqué une perturbation des services ou des opérations, une atteinte à la réputation, des données perdues ou corrompues, et des pertes financières (y compris le vol, les opportunités perdues, etc.).

"Si toutes les industries doivent empêcher les pirates de voler des données sensibles dans leurs environnements informatiques, les entreprises du secteur de l'énergie doivent également gérer la menace qui pèse sur leurs technologies opérationnelles (OT) – les systèmes informatiques et de communication qu'elles utilisent pour gérer, surveiller et contrôler les opérations industrielles", explique DNV. Il s'agit d'un défi sérieux qui rend la tâche beaucoup plus difficile. "Alors que les OT deviennent de plus en plus en réseau et connectées à l'informatique, les cyberattaquants – y compris les puissances étrangères, les terroristes, les concurrents et les bandes criminelles – voient une opportunité de s'emparer des infrastructures critiques, que ce soit pour demander une rançon, voler des renseignements ou créer une perturbation généralisée."

Parce que les industries que les pirates ciblaient généralement dans le passé, comme les services financiers, sont devenues plus difficiles à infiltrer suite aux efforts généralisés pour sécuriser les points d'entrée clés, ils se tournent désormais vers les entreprises énergétiques, entre autres.

Espérer le meilleur

De nombreux chefs d'entreprise pensent qu'il est peu probable qu'ils soient la cible d'une cyberattaque, et se contentent donc d'espérer que tout ira bien. Mais les personnes interrogées qui ont une expérience de la cybersécurité pensent différemment. Elles offrent une perspective plus pessimiste sur les menaces auxquelles leurs organisations sont confrontées, et elles voient la nécessité d'adopter de meilleures politiques de sécurité. Les dirigeants sont donc conscients du risque auquel leur entreprise est confrontée, mais les cadres spécialisés ne font peut-être pas passer leur message à tous les décideurs.

Trois principes

La volonté de devenir aussi résistant que possible aux menaces est un travail en cours. Pour que l'industrie de l'énergie atteigne la maturité en matière de cybersécurité, elle doit accepter que ce sera un processus continu. DNV recommande aux entreprises du secteur de l'énergie d'adopter trois principes pour améliorer la cybersécurité de leurs plateformes IT et OT.

Le premier principe est d'allouer des budgets pour la mise à jour de la sécurité IT et OT. Les dirigeants doivent être conscients du retour sur investissement dans la sécurité, par exemple en investissant dans la certification, comme les normes ISA/IEC 62443 pour la cybersécurité.

Le deuxième principe consiste à déterminer où les entreprises sont vulnérables. Elles doivent donc avoir une vision claire et complète de leurs systèmes d'information et de contrôle, ainsi que de ceux de leurs fournisseurs.

Le troisième principe consiste à trouver un équilibre entre les investissements dans la formation et la technologie.