Comment intégrer le risque énergétique dans sa stratégie de cybersécurité ?
![Image Contenus intimes et IA : que faire face à la déferlante des [contenus abusifs ?]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-dark-content-web-885x690.jpg)
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
Dans un rapport publié début 2023, les membres d’un groupe de travail du Clusif se penchent sur les risques qu’une crise énergétique pourrait faire peser sur les dispositifs de cybersécurité et la résilience des entreprises.
Délestages massifs d’électricité en cas d’hiver très froid, parc nucléaire réduit, diminution de la production d’énergie hydraulique en raison de la sécheresse… Les scénarios pouvant potentiellement entraîner des coupures d’électricité en France se sont multipliés en 2022.
Ce contexte inédit a amené le Clusif (association de promotion de la cybersécurité réunissant entreprises et administrations autour du développement de bonnes pratiques pour la sécurité du numérique) à créer, fin 2022, un groupe de travail intitulé « Cyberénergie : comprendre et se préparer aux répercussions d’une crise énergétique sur la sécurité et la résilience de vos activités ».
« Ce groupe de travail avait pour but de sensibiliser les entreprises et de faire prendre conscience aux RSSI que les aspects énergétiques ne doivent pas être négligés. Si les solutions de sécurisation du système d’information sont coupées, cela a forcément des impacts qu’il faut prendre en considération », déclare Benoît Fuzeau, président du Clusif.
Des impacts sur le plan informatique…
Dans un livrable publié en janvier 2023, les membres de ce groupe de travail rappellent qu’une rupture d’approvisionnement électrique peut tout d’abord avoir des conséquences sur le système d’information lui-même. « Une rupture d’approvisionnement électrique aura un impact sur la communication au niveau professionnel et personnel. Cela peut impacter les réseaux mobiles, le fonctionnement des numéros d’urgence et les accès Internet professionnels ou personnels. Il faut se préparer à une désorganisation au sein de son entreprise », déclarent les auteurs du rapport du Clusif.
Les auteurs mettent également en exergue le fait qu’une coupure, non précédée par un arrêt propre des équipements, peut les détériorer. Le fait de connaître à l’avance le risque de coupure doit permettre d’anticiper les opérations de mise hors tension des équipements les plus critiques et d’effectuer des sauvegardes, afin d’effectuer des restaurations sur du matériel de secours.
… Et sur le volet lié à la cybersécurité
Le rapport du groupe de travail « Cyberénergie » du Clusif précise également que la désorganisation plus ou moins importante d’une entreprise ou d’une administration est souvent le moment choisi par les organisations cybercriminelles pour tenter d’en tirer profit. « Il faut donc s’attendre, en plus de la gestion des problèmes directement liés aux coupures électriques, à subir des tentatives d’hameçonnage, de désinformation, d’infections diverses ou d’intrusions avant, pendant ou après ces coupures électriques », notent les auteurs du livrable.
Il est par ailleurs nécessaire de prendre en compte le cas des collaborateurs qui se replient dans un lieu public (bar, restaurant, gare…) pour continuer à travailler. « Ils doivent être sensibilisés à cette pratique et bénéficier de solutions de connexion sécurisée lors de l’utilisation de wifi public. Il faut aussi les sensibiliser aux comportements à adopter dans un lieu public en termes de gestion de la confidentialité, afin d’éviter la fuite d’information. Dans tous les cas, les consignes de l’entreprise doivent être claires sur cet usage », rappellent les membres du groupe de travail.
Dans tous les cas, les équipes en charge de la cybersécurité d’une entreprise doivent se préparer à réagir face à ces scénarios de crise énergétique et accompagner les décideurs de leur périmètre de responsabilité avant, pendant ou après une période de coupures, l’objectif étant de réduire le risque de sur-incident de cybersécurité.
Des conséquences organisationnelles…
Les conséquences d’une crise énergétique sont également d’ordre organisationnel et elles sont amplifiées s’il n’y a pas d’équipe cybersécurité dédiée (équipe IT en charge des opérations de cybersécurité). « Le manque de préparation en amont des équipes cybersécurité engendre des risques de perte de capacité de protection, détection et réaction. Ces équipes seront livrées à elles-mêmes pour gérer des problèmes inédits sans possibilité de communiquer ou d’accéder à de la documentation. La documentation de continuité d’activité doit intégrer les tâches à réaliser en cas de coupure électrique », déclarent les auteurs du rapport.
Dans le cas d’arrêts planifiés, l’entreprise doit définir son plan de réaction face à de tels arrêts, et les équipes cybersécurité doivent surtout contrôler que le plan d’action ne crée pas de nouveaux risques. Les équipes doivent aussi s’organiser avant, pendant et après l’arrêt pour anticiper et traiter les éventuels problèmes.
Si les arrêts sont non planifiés, l’entreprise est normalement déjà préparée à traiter une coupure électrique d’un site ou d’un data center. « Cependant, la crise énergétique ne concerne pas uniquement l’électricité mais aussi les énergies utilisées pour les groupes électrogènes (la répétition des coupures pourrait entrainer des difficultés à remplir des cuves de carburants par exemple). Dans ce cas, les équipes cybersécurité devraient être sollicitées selon la procédure de gestion d’incident habituelle. Il faut qu’elles soient préparées à intervenir en mode dégradé, avec un accès à l’énergie perturbé », font remarquer les membres du groupe de travail.
… Et des impacts humains non négligeables
L’impact humain ne doit pas être négligé non plus, chaque personne risquant d’être touchée dans sa vie professionnelle et personnelle. « La crise énergétique va impacter les transports, les communications, les écoles et les crèches, le chauffage dans les bâtiments, l’approvisionnement en biens et nourriture… Autrement dit, tous les aspects de nos vies qui nécessitent de l’énergie », précisent les auteurs.
D’un point de vue purement cybersécurité, l’impact humain est plutôt indirect. Il ne faut pas perdre de vue que les collaborateurs n’auront pas nécessairement leur attention dirigée sur la sécurité de l’information et les bonnes pratiques de sécurité de leur entreprise. « Les équipes cybersécurité doivent prendre en compte le fait que la vigilance des collaborateurs sera amoindrie en temps de crise. Il faudra aussi prendre en compte le problème de la mise à jour de leur poste de travail. Pour les équipes cybersécurité, le traitement des opérations risque d’être impacté du fait de la réduction des équipes et d’éventuelles difficultés à communiquer », concluent les membres du Clusif.
Face à ces risques d’un nouveau genre, les entreprises se doivent de communiquer en amont auprès du management et des collaborateurs. Et ce afin de les sensibiliser et de les préparer à ce genre de scénarios. Elles doivent également se préparer au pire, c’est-à-dire anticiper des ruptures d’approvisionnement énergétique dans la durée (plusieurs occurrences durant plusieurs semaines). C’est à ce prix qu’elles pourront gérer efficacement les crises qui ne manqueront pas de se produire dans le futur.