Attaques de type APT (Advanced Persistent Threat), actions fortement médiatisées des hacktivistes, ransomwares des groupes cybercriminels… Les entreprises du secteur énergétique doivent prendre la pleine mesure des défis qui sont les leurs.

Confronté à un besoin toujours plus important de flexibilité et d’efficacité, le secteur de l’énergie se digitalise tous les jours un peu plus. Cette transformation numérique « bouleverse

les modes de production, de transformation, de stockage, de transport et de consommation de l’énergie. Les technologies de l’information et de la communication ont permis d’optimiser la chaîne d’approvisionnement dans son ensemble », détaillent des consultants du cabinet Wavestone.

Cette transformation digitale se concrétise sur le terrain par la généralisation des compteurs intelligents de type Linky, un monitoring à distance des éoliennes et des fermes de panneaux solaires, le rôle croissant de l’IA dans le pilotage des flux électriques par les smart grids, l’utilisation d’objets connectés (IoT) à la fois par les particuliers (thermostats connectés…), mais aussi les professionnels (capteurs placés au sein des bâtiments ou sur les infrastructures énergétiques).

Mais cette numérisation à marche forcée expose le secteur de l’énergie dans son ensemble à des risques cyber accrus. Selon le rapport « X-Force Threat Intelligence Index 2022 » d’IBM, le secteur énergétique se place en quatrième position des secteurs les plus touchés par la cybercriminalité en 2021, avec 8,2 % de toutes les cyberattaques, derrière l’industrie manufacturière, la finance et les services professionnels.

APT : des cyberattaques très sophistiquées et extrêmement ciblées

La menace vient tout d’abord des APT (Advanced Persistent Threat / Menace Persistante Avancée), organisations la plupart du temps en lien, direct ou indirect, avec des États. Leurs cyberattaques, très sophistiquées, sont extrêmement ciblées. Elles se déroulent sur le long terme et nécessitent d’importants moyens et des compétences pointues. Elles visent à collecter des données hautement sensibles (propriété intellectuelle, secrets industriels, implantations stratégiques…) à des fins d’espionnage, de sabotage, voire de déstabilisation géopolitique.

En 2015, à l’occasion des fêtes de Noël, une partie du réseau électrique ukrainien a fait les frais d’une cyberattaque très sophistiquée, provoquant le premier black-out dû à un code malveillant. Selon l’éditeur de logiciels Eset, les cybercriminels ont utilisé – grâce à une vaste campagne de phishing – la version modifiée d’une porte dérobée open source, capable de télécharger des fichiers, ainsi que des commandes shell exécutables, et de saboter des systèmes industriels. Les autorités ukrainiennes ont dénoncé les agissements de pirates au service de la Russie, pays avec lequel l’Ukraine avait déjà de nombreux démêlés.

En 2022, l’éditeur Proofpoint, en partenariat avec PwC, a quant à lui mis en évidence une large campagne de cyber-espionnage menée par le groupe cybercriminel TA423 (alias « APT40 / Leviathan »), supposé être très proche du gouvernement chinois. Les cibles de la campagne de phishing menée entre avril et juin 2022 étaient des entreprises impliquées dans certains projets énergétiques stratégiques situés en mer de Chine méridionale, dont le champ gazier de Kasawari, exploité par la Malaisie, et un parc éolien offshore localisé dans le détroit de Taïwan.

Les hacktivistes à la manœuvre

Mais les infrastructures énergétiques peuvent également être la cible d’organisations dites « hacktivistes ». Leurs actions sont, en règle générale, moins sophistiquées que celles des APT mais elles peuvent perturber durablement les acteurs de ce secteur. Les hacktivistes ciblent, la plupart du temps, des entreprises à forte notoriété pour faire passer leurs messages et leurs revendications, utilisant notamment des attaques de type déni de service distribué (DDoS).

Mais, dans certains cas, les hacktivistes déploient des moyens modernes afin de récupérer des données sensibles. Depuis le début du conflit en Ukraine, la Russie est ainsi la cible d’attaques menées par de telles organisations, dont l’objectif est de dérober des informations stratégiques sur les activités de certaines de ses entreprises et administrations. Ces données, une fois subtilisées, sont ensuite publiées sur la plateforme Distributed Denial of Secrets (DDoSecrets).

Selon le site Watson.ch, DDoSecrets a ainsi publié en mars 2022 « 79 Go d’e-mails d’Omega, le département de recherche de Transneft, le plus grand groupe d’oléoducs au monde, contrôlé par l’État russe. 110 Go (140 000 e-mails) issus de MashOil, un groupe russe qui développe des équipements pour l’industrie du forage, de l’exploitation minière et de la fracturation, ont également été divulgués, ainsi que 15 Go (documents et photos) de Rosatom, la société nationale de l’énergie nucléaire ».

Les organisations cybercriminelles « classiques » bien présentes également

Les acteurs du secteur énergétique sont aussi la cible d’organisations cybercriminelles que l’on pourrait qualifier de « classiques », c’est-à-dire dont l’objectif est de générer le maximum de profits. En mai 2021, l’un des plus grands opérateurs de gazoducs américains, Colonial Pipeline, a été victime d’un rançongiciel l’obligeant à suspendre pendant près d’une semaine toutes ses opérations. Ce qui a provoqué une hausse des prix et de nombreuses pénuries de carburant sur la côte est des États-Unis.

La rançon exigée par les pirates du groupe DarkSide, à l’origine de l’attaque, a été versée en cryptomonnaie (75 bitcoins, soit 4,4 millions de dollars), mais les autorités américaines ont annoncé quelques semaines plus tard avoir récupéré une bonne partie (2,3 millions de dollars) du montant total versé, grâce à l’action du FBI.

L’attaque de Colonial Pipeline n’est pas isolée. De nombreuses autres entreprises énergétiques ont elles aussi été la cible de cyberattaques à travers le monde. C’est le cas notamment, en février 2022, des terminaux pétroliers de plusieurs ports situés en Allemagne, en Belgique et aux Pays-Bas, victimes d’un piratage. Ou du fournisseur italien d’électricité Enel, victime du vol de près de 5 To de données par le ransomware Netwalker.

Ou bien encore des sociétés brésiliennes COPEL et Eletrobras, touchées début 2021 par un ransomware qui semble le même que celui ayant attaqué Colonial Pipelines. Le groupe « DarkSide » a extrait 1 To de données des systèmes de COPEL, tandis qu’un ransomware a frappé Eletrobras. Les deux fournisseurs d’électricité ont dû se déconnecter du système national d’interconnexion.

Dans un contexte de transformation digitale, les entreprises énergétiques et leurs infrastructures sont soumises à de multiples menaces, quels que soient le pays et le type d’énergie. Des attaques ultrasophistiquées des APT aux vols de données sensibles des hacktivistes, en passant par les rançongiciels des groupes cybercriminels, la cybermenace est omniprésente. Elle oblige les professionnels du secteur à prendre la pleine mesure des enjeux qu’il leur faut adresser.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.