[ÉNERGIE] La sécurité des SCADA, un rouage manquant de l’industrie

Le 22 octobre a été désignée “Journée mondiale de l’énergie”  à l’occasion de l’ouverture du Forum mondial de l’énergie en 2012. Cette initiative rappelle que l’énergie est l’un des enjeux majeurs  de ce XXIème siècle. En effet, à titre d’exemple, près de 1,5 milliards d’habitants de la planète sont encore privés d’électricité. Ce chiffre pose un défi à relever par la coopération entre pays développés et en développement. Outre l’absence d’infrastructures et de ressources financières pour accéder à ce bien essentiel, il semble pertinent de rappeler que l’accès aux ressources énergétiques devient de plus en plus dépendant des nouvelles technologies. En effet, avec le développement des réseaux intelligents et l’introduction des parcs à énergie renouvelable, l’industrie de l’énergie  s’expose à de nouvelles  vulnérabilités informatiques. Il arrive parfois que des black-out surviennent suite au piratage de centrales électriques, comme ce fut le cas en Ukraine, en décembre 2015 et 2016, centrales ciblées respectivement par les malwares Black Energy et Industroyer.

Les systèmes industriels sont souvent  dans le collimateur des attaquants. À mesure qu’il adopte les objets connectés, le réseau électrique se diversifie et multiplie les points d’accès pour les assaillants. Un test mené par Cybereason a montré à quel point il était facile de pirater les systèmes de contrôle industriels. Les chercheurs ont déployé un honeypot, – un appareil factice et vulnérable afin d’attirer d’éventuelles attaques – se faisant passer pour une station relais appartenant à un fournisseur d’électricité majeur. Mis en ligne à partir du 17 juillet 2019, il n’aura fallu que deux jours avant qu’un attaquant ne parvienne à pénétrer le réseau et à installer des outils malveillants  lui permettant de prendre le contrôle sur le système.

Les réseaux  d’énergie renouvelables sont les plus exposés. Conçus avec la connectivité en tête, ils sont très vulnérables aux attaques de sabotage. Panneaux solaires et éoliennes seraient même particulièrement simples à pirater, avec des équipements peu coûteux tels qu’un Raspberry Pi ou une antenne Wi-Fi. En 2017, le chercheur hollandais Willem Waterhof avait découvert 21 vulnérabilités  sur des onduleurs solaires connectés qui transformaient le courant continu des panneaux en courant alternatif fourni au réseau. Outre la porosité de ces réseaux, ils sont malheureusement très mal sécurisés en amont : absence de durcissement (mots de passe stockés de manière non sécurisée), absence de tests de sécurité en amont, absence d’antivirus actifs sur les postes ou encore l’absence de veille en sécurité.

Face à ce constat, plusieurs pays commencent à prendre des mesures concrètes afin de renforcer la sécurité des systèmes industriels. En France, l’ANSSI va délivrer des certifications et qualifications de sécurité pour des industriels. Cette démarche répond à un besoin croissant de sécurisation au regard de la nouvelle réglementation de la LPM et représente un gage de confiance à la fois pour l’Etat, les industriels et les particuliers. Un exemple à suivre au niveau mondial.