Pour l’ancien directeur de la NSA, l’ensemble des sociétés énergétiques américaines n’est tout simplement pas prêt à une cyberattaque massive. Il a récemment évoqué un véritable scénario catastrophe où les États-Unis seraient privés d’énergie, si des pirates suffisamment organisés mettaient à exécution un tel projet.
« Nous ne sommes pas préparés pour ça »
En France, on définit par OIV, ou Opérateur d'importance vitale, toutes les entreprises dont les activités ont notamment trait « à la production et la distribution de biens ou de services indispensables » ou encore qui satisfont « des besoins essentiels pour la vie des populations ». Les sociétés impliquées dans l’énergie font partie des OIV, et ont des obligations sur la défense numérique en général, plus spécifiquement tout ce qui pourrait provenir d’Internet.
Aux États-Unis, chaque entreprise est relativement libre de procéder à ses propres préparatifs sur ce terrain. C’est ce qui inquiétait récemment Keith Alexander, l’ancien directeur de la NSA (National Security Agency). Il visait en particulier l’ensemble des sociétés s’appuyant sur des systèmes SCADA (Supervisory Control And Data Acquisition), autrement dit des infrastructures de contrôle et de gestion des données sur de larges échelles.
Alexander s’inquiète particulièrement des sociétés impliquées dans la production d’énergie. Selon lui, elles ne sont tout simplement pas prêtes pour des attaques d’envergure, faisant peser le risque de plusieurs menaces synchronisées et donc simultanées sur plusieurs d’entre elles. Lors de l’évènement IHS CERAWeek de la semaine dernière, il a ainsi déclaré : « Le plus grand risque serait une attaque catastrophique contre l’infrastructure énergétique. Nous ne sommes pas préparés pour ça », comme le rapporte The Telegraph.
Des systèmes SCADA trop souvent protégés par une simple obscurité
Réseau électrique, centrales au pétrole ou au charbon, raffineries et autres structures ne fonctionneraient plus, plongeant les États-Unis dans le noir. Une panne qui serait d’autant plus durable que les équipements seraient bloqués ou endommagés par des éléments informatiques laissés en place par les pirates dans de multiples systèmes. Il n’y aurait alors pas de relais et d’équipements de secours.
Pour l’ancien responsable, cinq pays ont actuellement les connaissances et la force de frappe nécessaires pour de telles attaques : les États-Unis eux-mêmes, le Royaume-Uni, la Russie, Israël et l’Iran. On notera l’absence manifeste de la Chine dans cette liste, alors même que le pays a « officialisé » récemment l’existence de ses propres hackers dans un rapport de l’armée. L’actuel patron de la NSA, Mike Rogers, n’oublie pas la Chine, puisqu’il avait déclaré l’année dernière que le pays avait le pouvoir de lancer des attaques violentes contre les infrastructures d’eau et d’énergie.
De telles entreprises pourraient-elles vraiment être touchées ? Pour Lars Thoresen, directeur de la sécurité chez NTT Com Security, cela ne fait aucun doute. Durant la même conférence, il a ainsi indiqué que le monde avait changé : là où la sécurité par l’obscurité et l’absence de raccordement à Internet pouvaient suffire, les menaces et les nécessités ont évolué. Il pointe à son tour un retard dans les mesures adoptées et le manque de méthodologie des développeurs. Il rappelle notamment comment Daech a déjà réussi à prendre le contrôle de systèmes SCADA, notamment en Iraq, montrant que les installations distantes peuvent être des cibles de choix. « Pour résumer, le monde dans lequel les systèmes SCADA opèrent a changé, et les systèmes ont été, d’après notre expérience, lents à réagir » ajoute-t-il auprès d’Infosecurity.
Il manque toujours une vraie politique centralisée
Il faudrait donc une vraie politique fédérale imprimée par le gouvernement, un référentiel de sécurité, des ressources et un entrainement spécifique pour les développeurs qui gèrent ces problématiques dans les entreprises concernées. C’est l’avis de John Shaw, de chez Sophos,qui souligne un point crucial : garder une sécurité élevée signifie des changements réguliers et des mises à jour, alors que les systèmes critiques ne doivent être dérangés que le moins possible. Actuellement, cela se traduit par de nombreuses machines non mises à jour et qui peuvent représenter un danger beaucoup plus important si des pirates y accèdent, d’une manière ou d’une autre. La solution ? Tout verrouiller, mettre en place des listes blanches, former les ingénieurs, analyser la sécurité existante (audits) et toujours scanner les fichiers, la mémoire, les zones de stockage et ainsi de suite.
Globalement, les remarques des intervenants soulèvent une nouvelle réalité : les guerres peuvent être menées dans l’ombre, sans aucun blessé, avec pourtant des dégâts conséquents. L’interconnexion des réseaux, qui a tant facilité le travail des agences de renseignement, permet la circulation de menaces auxquelles seule une sécurité dédiée peut opposer une résistance. Le danger souligné par Keith Alexander se résume assez simplement : un pays peut avoir une puissante armée et être mis à genoux si une petite équipe de dix personnes suffit à saboter ses infrastructures vitales.
