En avril 2022, quelques mois après le début de l’attaque russe contre l’Ukraine, trois sociétés d’énergie éolienne en Allemagne ont été attaquées par des cybercriminels. Les attaques ont désactivé des milliers d’éoliennes à commande numérique.
On estime que d'ici 2050, les systèmes électriques mondiaux dépendront à 70 % d'énergies renouvelables, provenant principalement de sources solaires, éoliennes, marémotrices, pluviales et géothermiques. Ces sources d’énergie sont généralement décentralisées, géographiquement éloignées et relativement petites. Ils sont souvent gérés et exploités à l’aide de technologies numériques insuffisamment sécurisées et directement connectées à l’infrastructure vieillissante du réseau électrique national. Une situation qui ouvre la porte aux cyberattaques.
Du risque à la résilience
Pour mettre en œuvre une cyber-résilience robuste dans les systèmes numériques d’énergies renouvelables, il est d’abord important de comprendre les domaines à risque. Les 10 plus importants sont les suivants :
1. Vulnérabilités du code et mauvaises configurations dans les logiciels embarqués. La demande d’énergies renouvelables signifie que les technologies et applications de support sont souvent développées et mises en œuvre rapidement, ce qui laisse peu de temps pour intégrer ou tester les contrôles de sécurité. Les fournisseurs et leurs développeurs sont des experts en génie électrique et peuvent ne pas disposer des connaissances appropriées en matière de sécurité pour ce faire. Le risque est accru si le logiciel n'est pas régulièrement corrigé et mis à jour suite aux rapports d'erreurs.
2. API non sécurisées. Un autre risque lié aux logiciels réside dans le fait que les applications basées sur des API peuvent communiquer et partager des données et des fonctionnalités avec d'autres applications, y compris des applications tierces. Ils constituent une caractéristique commune des systèmes en réseau ou accessibles au public. La sécurité des applications Web et les pare-feu sont essentiels pour empêcher les attaquants d'utiliser les API pour voler des données, infecter des appareils et créer des réseaux de zombies.
3. Systèmes de gestion, de contrôle, de reporting et d'analyse. Les logiciels de gestion et de contrôle tels que les systèmes SCADA (Supervisory Control and Data Acquisition) et d'autres systèmes qui importent, analysent et visualisent des données provenant de sources d'énergie sont les principales cibles des cyberattaques car ils permettent aux criminels d'accéder à l'ensemble du système, de manipuler des données, d'envoyer des instructions et plus. Les systèmes qui intègrent des données provenant de sources tierces, telles que les tours météorologiques, offrent une autre opportunité de compromis. Des mesures d'authentification robustes, au moins à plusieurs niveaux mais idéalement basées sur une confiance zéro, associées à des droits d'accès limités sont essentielles pour garantir que seuls ceux qui disposent d'une autorisation peuvent accéder au système.
4. Automatisation. Les systèmes d'énergies renouvelables distribués et décentralisés, en particulier à grande échelle, nécessitent une surveillance et une gestion XNUMXh/XNUMX et XNUMXj/XNUMX, qui se font de plus en plus automatiquement. Le risque est que ces systèmes ne soient pas surveillés suffisamment attentivement pour détecter tout trafic anormal ou suspect qui pourrait indiquer la présence d'un intrus. Les solutions de sécurité offrant une détection et une réponse avancées ainsi que des fonctionnalités de sécurité IoT spécialisées peuvent être utiles ici.
5. Services d'accès à distance. Les sources d’énergie renouvelables sont largement dispersées et souvent situées dans des endroits isolés. Cela signifie qu'ils ont besoin d'une forme d'accès à distance pour partager des données et recevoir des instructions et des rapports, par exemple via des services cloud ou des VPN. Les services d’accès à distance sont notoirement vulnérables aux cyberattaques et des mesures d’authentification et d’accès robustes sont essentielles.
6. Emplacement physique. Un autre risque géographique est que l'emplacement peut ralentir les temps de réponse et de récupération après un incident. La logistique des déplacements vers et depuis un parc éolien offshore, par exemple pour réparer ou réimager des capteurs, peut être complexe, longue et coûteuse. Les personnes qui se rendent sur des sites distants ne sont généralement pas des professionnels de l'informatique. Une solution de sécurité facile à installer et à remplacer par un non-professionnel de la sécurité est donc essentielle. Un électricien doit pouvoir remplacer un appareil en panne un dimanche soir.
7. Trafic réseau. Toutes les données transitant sur le réseau doivent être surveillées et cryptées. Dans les systèmes électriques connectés, le trafic de données entre un appareil et l’application centrale est souvent non crypté et vulnérable à la falsification. Les attaquants peuvent intercepter les données au repos et en mouvement. Ou bien les attaques DoS surchargent les systèmes de trafic.
8. Connexion Internet. Les centrales électriques traditionnelles, telles que les centrales électriques au gaz, ne sont généralement pas connectées à Internet et disposent d’une infrastructure dite « à air isolé », ce qui réduit le risque de cyberattaque. Cependant, comme les sources d’énergie renouvelables sont connectées à Internet, elles ne bénéficient généralement pas de cette protection. Tous les systèmes connectés à Internet doivent être sécurisés.
9. Infrastructure de réseau électrique obsolète. Dans la plupart des pays, une partie importante du réseau électrique sera obsolète et ne pourra donc pas recevoir de mises à jour de sécurité. La meilleure façon de protéger ces systèmes est d’y intégrer des mesures sécurisées d’authentification et d’accès.
10. Manque de réglementation et de coordination en matière de sécurité. Pour une sécurité à long terme, les lois et réglementations – telles que NIS 2.0 en Europe – doivent garantir l’existence de normes strictes pour les installations d’énergie renouvelable, aussi petites soient-elles. De plus, la technologie des énergies renouvelables évolue rapidement et les chaînes d’approvisionnement sont complexes, ce qui peut prêter à confusion quant à la responsabilité de la sécurité. Le modèle de « responsabilité partagée » qui s’applique aux fournisseurs de cloud pourrait également être utile à cet égard.
Sécurité durable
À certains égards, les systèmes d’énergies renouvelables ne sont pas si différents des autres systèmes IoT. Les attaquants peuvent rechercher et attaquer les composants vulnérables, les logiciels non corrigés, les paramètres par défaut non sécurisés et les connexions non protégées. Une industrie des énergies renouvelables durable et connectée doit être construite dès le départ avec sécurité et cyber-résilience, puis entretenue en continu, étape par étape.
Sécuriser un environnement complexe ne doit pas être compliqué. Cela vaut la peine d'envisager SASE (Secure Access Service Edge), une solution intégrée qui connecte en toute sécurité les personnes, les appareils et les objets à leurs applications, où qu'ils se trouvent. Ajoutez à cela la segmentation du réseau et la formation des utilisateurs et les organisations disposent d'une base solide de cyber-résilience - non seulement pour prévenir une attaque, mais également pour en atténuer l'impact si une attaque se produit.
Commentaire de Stefan Schachinger, chef de produit senior, sécurité réseau chez Barracuda Networks
À propos des réseaux Barracuda Barracuda s'efforce de rendre le monde plus sûr et estime que chaque entreprise devrait avoir accès à des solutions de sécurité à l'échelle de l'entreprise compatibles avec le cloud, faciles à acheter, à déployer et à utiliser. Barracuda protège les e-mails, les réseaux, les données et les applications avec des solutions innovantes qui évoluent et s'adaptent tout au long du parcours client. Plus de 150.000 XNUMX entreprises dans le monde font confiance à Barracuda pour se concentrer sur la croissance de leur activité. Pour plus d'informations, rendez-vous sur www.barracuda.com.
Articles liés au sujet