Les risques et rétributions de la transformation numérique dans le secteur énergétique

Face aux bouleversements provoqués par certains facteurs économiques, législatifs ou issus de la société de consommation, l'énergie se tourne vers les nouvelles technologies pour améliorer la gestion de ses activités commerciales.

Une récente étude menée par Deloitte indique en effet que 95% des employés du secteur énergétique estiment que "la transformation numérique relève d’une priorité stratégique de premier ordre". Les fournisseurs en énergie se tournent donc de façon croissante vers le cloud, l’IoT (Internet des objets) ou encore l’automatisation robotique des processus (RPA). Cependant, cette modernisation des procédés peut faire courir aux entreprises le risque d’une exposition dangereuse à de nouvelles cybermenaces.

Un secteur en mutation technologique

Les avantages de la transformation numérique dans les entreprises du secteur de l’énergie sont évidents : gain de productivité et de temps, économies d’échelle ou encore fidélisation des clients. Mais pour pleinement profiter de ces innovations technologiques, les fournisseurs d’énergie, à l’instar de n’importe quelle entreprise, doivent conjuguer l’adoption de ces innovations avec l’évaluation des risques liés aux cyber-vulnérabilités qui peuvent émerger.

En effet, habituellement, le secteur énergétique se base sur le principe du « air gap » qui vise à isoler physiquement un système informatique pour le protéger, rendant toute tentative d’attaque impossible. Mais les nouvelles technologies nécessitent une connectivité qui rend ce principe complètement obsolète et fait apparaître le besoin de solutions plus modernes.

Assurer la sécurité de la nouvelle ère digitale commence avant tout avec l’analyse de la surface d’attaque, c’est-à-dire là où les vulnérabilités existent et se développent, tout autant que la capacité à mettre en priorité et à se concentrer sur les initiatives qui réduiront les risques. Les projets de transformation numérique ont le pouvoir de fondamentalement changer la façon dont le secteur énergétique opère. Ils nécessitent en outre une stratégie de cybersécurité adéquate et transversale qui se concentre sur trois domaines clés.

Cibler la chaîne d’attaque

Selon nos études, 45 % des fournisseurs d’énergie considèrent qu’ils ne peuvent empêcher les hackers de s’introduire dans leurs réseaux internes et 67 % se jugent comme vulnérables face à des attaques ciblées à l’instar d’attaques par emails de phishing. En outre, il a été démontré dans d’autres secteurs industriels qu’il est vain de vouloir empêcher les cybercriminels de s’infiltrer dans les réseaux. Des pirates motivés parviendront toujours à pénétrer le périmètre et à y obtenir un ancrage, ce qui explique pourquoi il est important de se préparer aux cyberattaques ; en s’attendant à une infiltration et en mettant en place une stratégie dont les étapes permettront de pallier la progression des attaques, à savoir une chaîne d’attaque.

Une fois à l’intérieur d’un réseau, les cybercriminels vont généralement chercher à exploiter les accès à privilèges ou comptes administrateurs qui facilitent les mouvements latéraux au sein de l’infrastructure et permettent de retrouver et d’exfiltrer les données recherchées. Cette stratégie s’avère particulièrement efficace pour les pirates qui visent le secteur énergétique, car la protection des accès à privilèges n’y est pas encore monnaie courante. Ainsi, alors que 82 % des personnes interrogées dans notre étude reconnaissent l’importance critique des accès administrateurs et des identifiants de sécurité dans leur stratégie globale de cybersécurité, seulement 29% ont actuellement mis en place des solutions de gestion des accès à privilèges. Bien que cela soit un bon début, il est important pour les entreprises, qu’elles soient du secteur énergétique ou non, de chercher à mettre en priorité les outils et les stratégies qui aident à prévenir tout risque d’introduction insidieuse d’un cybercriminel qui pourra par la suite prendre plus de contrôle. Briser la chaîne d’attaque permettra aux entreprises de limiter tous les types d’attaque et de réduire ainsi les risques de dommages.

Comprendre les privilèges

Alors que les entreprises du secteur de l’énergie se rendent compte de l’importance de la gestion des accès à privilèges, l’identification de tous ces comptes et identifiants protégés demeure un problème majeur. Les différentes technologies requièrent souvent des identifiants à privilèges afin d’effectuer des tâches et de nouveaux identifiants sont automatiquement créés à chaque fois que les instances sont créées. Ces identifiants forts sont pour un cybercriminel les "clés du royaume" qui peuvent verrouiller le réseau d’un fournisseur d’électricité et même l’empêcher d’y accéder.

Ainsi, avant tout déploiement d’outils de protection, il est important que les entreprises comprennent quelle stratégie de cybersécurité permettra de réduire les risques au maximum. Les accès et identifiants à privilèges peuvent exister partout et la surface d’attaque s’étend continuellement avec les processus robotiques automatisés (RPA ou robotic process automation), l’IoT, le DevOps ou encore les environnements cloud. Dans ce contexte, mettre en place des contrôles des accès à privilèges semble être un point de départ évident. Cependant, les entreprises ont besoin de faire l’inventaire de leurs comptes, d’identifier ceux qui pourraient provoquer le plus de dommages s’ils étaient piratés, et enfin de les verrouiller. En fin de compte, il importe peu à un cybercriminel quel(s) accès à privilèges il va attaquer, du moment que cela lui ouvre la voie vers les informations les plus sensibles.

C’est pourquoi les fournisseurs d’énergie – et les entreprises de manière générale – anticipent autant que possible les menaces et mettre en place une stratégie de sécurité leur permettant la sécurisation proactive de leurs ressources et actifs les plus critiques ; ce qui leur permettra ainsi de se prémunir contre de potentielles attaques aux conséquences pouvant être irréversibles.