La cybersécurité selon la perspective du secteur énergétique

Lorsque des pirates informatiques ont attaqué le site de rencontre adulte Ashley Madison en juin 2015, accédant ainsi aux données personnelles de centaines de milliers de personnes, le public a bien ricané. Toutefois, personne n’a ri lorsqu’une cyberattaque a causé l’interruption du réseau électrique dans l’Ouest ukrainien six mois plus tard, laissant environ 230 000 personnes sans électricité pendant une demi-journée juste avant Noël.

L’incident a confirmé ce que l’industrie énergétique mondiale savait déjà : tout peut être piraté. Les risques en matière de cybersécurité s’accumulent et changent quotidiennement, forçant les gouvernements, les organismes et les entreprises à redoubler de vigilance et à collaborer davantage en vue de mieux protéger les infrastructures cruciales contre les intrusions cybernétiques.

L’an dernier, le Centre canadien de réponse aux incidents cybernétiques (CCRIC) a traité 1 594 incidents avec des organismes d’infrastructures cruciales. Il est difficile de citer un nombre exact étant donné que les entreprises ne signalent pas toujours ces attaques ou intrusions cybernétiques, alors que d’autres ne les ont peut-être même pas décelées – encore.

“The Ukraine incident affirmed what the global energy industry already knew: anything can be hacked.”

« L’incident en Ukraine a confirmé ce que l’industrie énergétique mondiale savait déjà : tout peut être piraté ».

« L’une des choses qui distinguent quelque peu le secteur de l’énergie et le secteur du gaz des autres types d’entreprises canadiennes est le fait que nous observons davantage ce que nous appelons des menaces persistantes », souligne Mark Matz, directeur des politiques pour la cybersécurité nationale à Sécurité publique Canada.

« Une menace est persistante lorsqu’un pirate informatique essaie d’accéder à un système et y demeure pendant un long moment. Souvent, il dresse un plan du système afin de mieux comprendre comment celui-ci est structuré, qui a accès à quoi et quels autres systèmes y sont reliés. Et c’est le type de comportement que nous constatons dans certains cas de menaces assez sophistiquées, souvent associées à un État-nation ».

Le CCRIC travaille avec le secteur public et des entreprises d’infrastructure en répondant aux appels à propos d’incidents et en offrant des conseils au sujet de menaces, de risques et de vulnérabilités cybernétiques. Ce centre qui offre gratuitement ses services à toutes les entreprises collabore étroitement avec des équipes d’intervention en cas d’urgence cybernétique (EIUC) et des centres d’échange et d’analyse d’information (CEAI) au sein de la « collectivité des cinq », soit une alliance entre le Canada, les États- Unis, le Royaume-Uni, la Nouvelle-Zélande et l’Australie pour l’échange de renseignements sur la transmission d’information. La collaboration avec nos plus importants partenaires commerciaux est essentielle, compte tenu surtout de la nature intégrée des infrastructures cruciales comme les pipelines et les lignes électriques.

C’est pourquoi qu’en 2012, lorsque le département de la Sécurité intérieure des États-Unis a publié un inquiétant rapport sur la cybersécurité, le Canada y a prêté attention. Le département a publié ce rapport après avoir pris connaissance d’intrusions cybernétiques répétées contre des exploitants de pipelines de gaz naturel américains. Le rapport précisait comment l’émergence de pirates évolués et de logiciels malveillants spécialisés a rendu les activités d’acquisition et de contrôle des données (SCADA) de pipelines de plus en plus vulnérables aux cyberattaques. Ce fait est d’autant plus constaté alors que les systèmes SCADA, autrefois isolés, sont maintenant davantage reliés entre eux.

Matz souligne que les menaces proviennent de différentes sources, allant de particuliers à des États nations en passant par des syndicats du crime organisé, et qu’elles peuvent prendre la forme d’attaques directes, d’infiltrations insidieuses ou d’approches sournoises d’entités secondaires ou tertiaires. L’espionnage industriel, qui cible des renseignements exclusifs, des secrets commerciaux ou une propriété intellectuelle, est une source de préoccupation de premier plan. Les logiciels rançonneurs, qui permettent à des criminels de procéder au cryptage de dossiers et/ou de l’ensemble du système d’information d’un organisme pour demander de l’argent en retour, sont également source d’inquiétudes.

Parmi les tactiques employées, on compte les attaques dites de point d’eau, au cours desquelles des cyberprédateurs retracent un site fréquenté par une cible, attendent que celle-ci s’y présente, puis attaque. Un cas bien connu de ce genre d’attaque s’est produit lorsqu’une entreprise a été infiltrée à la suite du piratage du site Web d’un restaurant fréquenté des environs.

« L’approche à l’égard de la cybersécurité doit être fondée sur le risque, car les menaces de ce type sont innombrables », souligne David McConkey, gestionnaire des opérations et de la sécurité à l’Association canadienne du gaz. « Vous devez savoir quelles sont les menaces, en établir l’ordre de priorité selon le risque qu’elles posent pour votre organisme, et ensuite prendre les mesures qui s’imposent afin d’atténuer ce risque le plus possible avant qu’il ne se concrétise ».

« La toute première mesure – et probablement la plus efficace – à mettre en place est une solide culture de sensibilisation et de vigilance à l’échelle de l’organisme », ajoute M. McConkey.

L’intégrité de la chaîne d’approvisionnement suscite également une attention croissante, alors que les entreprises s’efforcent de convaincre leurs fournisseurs et leurs fabricants qu’ils sont protégés des cyberattaques contre leurs propres systèmes, tout en les rassurant que l’électronique incorporée dans les ordinateurs et les systèmes SCADA sont exempts de codes malveillants enfouis.

 « Les menaces proviennent de différentes sources, allant de particuliers à des États-nations en passant par des syndicats du crime organisé, et qu’elles peuvent prendre la forme d’attaques directes, d’infiltrations insidieuses ou d’approches sournoises d’entités secondaires ou tertiaires ».

Une protection multi-niveaux, comme des pare-feu et des transferts unidirectionnels d’information, rendent les incursions plus difficiles, selon les experts. On a également plus de chance de détecter un adversaire si celui-ci déclenche un certain nombre d’alertes plutôt qu’une seule, ce qui pourrait décourager les « cyberintrus ». Pour prévenir les coups, il est également essentiel de signaler aux partenaires de l’industrie et au gouvernement le fait qu’une cyberattaque ou une infraction s’est produite.

Le distributeur de gaz du Québec Gaz Métro exploite 10 000 kilomètres de pipelines souterrains desservant quelque 300 municipalités et plus de 200 000 clients. Martin Vézina, conseiller principal, Sécurité de la TI et Conformité, croit que Gaz Métro est susceptible de faire face aux mêmes menaces que les autres services publics nord-américains, ce qui fait que l’échange de renseignements devient essentiel au maintien de bons moyens de défense.

« Il n’y a pas de solution miracle en matière de sécurité de l’information. Il n’y a pas de mesure unique que vous pouvez prendre pour empêcher toutes les cyberattaques. Nous devons aussi tenir compte du fait que les cybercriminels adaptent constamment leurs tactiques », mentionne Vézina. « Et si nous nous adaptons, ils adapteront à coup sûr leur réponse ».

« En revanche, la façon la plus efficace d’accroître notre cybersécurité consiste à échanger de l’information. Nous devons apprendre les uns des autres. Il faut se rappeler que Gaz Métro n’est pas seul dans cette situation : d’autres organismes sont aux prises avec le même problème. C’est pourquoi l’échange d’information constitue notre outil le plus précieux. Nous devons rester vigilants, nous devons également continuer à améliorer notre formation ainsi que la sensibilisation de nos utilisateurs à la question de la sécurité de l’information ».

“Layering protection, such as having firewalls and one-way information transfers, make it more difficult for an incursion to happen.”

« Une protection multi-niveaux, comme des pare-feu et des transferts unidirectionnels d’information, rendent les incursions plus difficiles, selon les experts ».

Après la publication du rapport de 2012 sur les intrusions cybernétiques, l’American Gas Association (AGA) a mis sur pied le Cybersecurity Strategy Task Force (groupe de travail sur la stratégie de cybersécurité) qui a établi une approche à trois piliers qui continue d’évoluer, selon Kimberly Denbow, directrice de la sécurité, des opérations et des services d’ingénierie de l’AGA.

Le premier pilier est l’éducation et la connaissance de la situation pour faire en sorte que l’industrie soit bien informée des menaces et des façons de gérer celles-ci. S’en suit le deuxième pilier, soit l’évaluation de la cybersécurité de l’industrie, qui permet aux distributeurs de gaz des États-Unis de mieux comprendre leurs vulnérabilités aux niveaux des opérations et de la TI. Les plus petits distributeurs travaillent souvent avec des ressources limitées, ce qui rend l’éducation continue sur les cybermenaces et les recours contre celles-ci plus difficiles, souligne-t-elle.

Le troisième pilier, soit les conseils techniques et la défense des intérêts, correspond à un effort continu pour informer les organismes de réglementation et les législateurs sur ce à quoi l’industrie est confrontée et comment celle-ci atténuent les risques.

« Les menaces cybernétiques sont bien réelles, et tous les organismes doivent y prêter attention, tant pour leurs activités que pour leurs clients afin d’assurer la disponibilité des services essentiels ».

« La première réponse au rapport de 2012 a été de tout sécuriser », se rappelle Denbow. « Cela n’assure pas la sécurité, car vous affectez alors des ressources un peu partout plutôt que de les concentrer sur les secteurs qui en on le plus besoin », ajoute-t-elle. C’est ainsi que l’idée des conseils techniques est devenue le troisième pilier. Celui-ci favorise l’établissement de partenariats public-privé où il y a un échange de pratiques exemplaires et de renseignements sous forme de lignes directrices plutôt que de règlements.

« Dans un environnement de menace en constante évolution, les règlements ont tendance à fonctionner en temps géologique plutôt qu’en temps cybernétique », dit Denbow. « Les partenariats public-privé nous permettent de renforcer les outils à notre disposition et de passer à l’offensive plutôt que de rester sur la défensive. Pour moi cela constitue l’objectif principal du programme de sécurité de l’AGA, que ce soit sur le plan physique ou cybernétique, c’est-à-dire passer à l’offensive plutôt que d’attendre et de rester sur la défensive ».

« Favoriser l’établissement de partenariats public-privé où il y a un échange de pratiques exemplaires et de renseignements sous forme de lignes directrices. »

« Favoriser l’établissement de partenariats public-privé où il y a un échange de pratiques exemplaires et de renseignements sous forme de lignes directrices ».

Le Canada et les États-Unis poursuivent leur collaboration en vue de protéger les infrastructures cruciales, souligne Matz. Il fait état du Plan d’action sur la cybersécurité qui a mené à la publication d’un mémoire conjoint sur la menace par le CCRIC et le département de la Sécurité intérieure des États-Unis, qui travaillent ensemble en vue d’analyser les menaces et les vulnérabilités cybernétiques, tout en mettant chacun des analystes à la disposition du partenaire.

Une stratégie et un plan d’action à l’échelle nationale sur les infrastructures cruciales prévoient des séances d’information sur les menaces pour les dix secteurs des infrastructures cruciales. On y prévoit également des ateliers et des outils pour le portail d’échange d’information et de pratiques exemplaires. L’Échange canadien de menaces cybernétiques, lancé en 2016, est un nouveau modèle comptant un réseau important.

« Les menaces cybernétiques sont bien réelles, et tous les organismes doivent y prêter attention, tant pour leurs activités que pour leurs clients afin d’assurer la disponibilité des services essentiels », souligne Matz. « Car les choses dont nous parlons peuvent avoir des répercussions sur la vie des gens. Il est important que le gouvernement et les entreprises puissent collaborer pour faire face à ce problème ».

Dina OMeara est une ex-rédactrice d’affaires du Calgary Herald et est maintenant consultante en communication.