Au cours du mois de janvier, une possible erreur de manœuvre dans un poste à haute tension d’Amsterdam, aux Pays-Bas, a causé une panne de courant totale dans la capitale et dans quelques villes avoisinantes. Plus de 350 000 personnes ont été privées d’électricité pendant une demi-journée. En décembre 2015, 230 000 résidents de l’Ukraine ont vécu une panne de courant pendant jusqu’à 6 heures, en raison d’une attaque de logiciel malveillant qui a interrompu la production de 60 sous-stations. Bien que l’incident d’Amsterdam soit véritablement dû à une erreur, celui de l’Ukraine a été causé par une cyberattaque ciblée visant à causer préjudice aux citoyens, à la propriété et à l’économie en général.
Alors que les sociétés d’énergie et des services publics commencent à s’intéresser aux avantages de la convergence entre les technologies de l’information (TI) et les technologies opérationnelles (TO), elles font également face à des défis grandissants en matière de vulnérabilité aux cyberattaques. Comprendre la différence fondamentale entre un environnement classique de système de contrôle industriel (SCI) et un réseau électrique est la clé de la mise en œuvre des solutions de sécurité appropriées, pour assurer la distribution d’énergie aux consommateurs ainsi que protéger les employés et les citoyens.
Impact potentiel des failles de sécurité
Un réseau électrique constitue un environnement SCI. Alors que les systèmes informatiques servent à gérer l’information, un environnement SCI sert à contrôler les processus physiques et les objets. Mais contrairement à un environnement SCI classique, par exemple une usine, qui est restreinte à un emplacement géographique précis, un réseau électrique s’étend dans tout l’état ou le pays. Une atteinte à la sécurité dans une usine aura ainsi un grand impact sur l’entreprise, mais ses effets seront localisés.
Dans le cas du système énergétique, les effets potentiels d’une atteinte à la sécurité peuvent être dangereux et à plus grande échelle, non seulement pour les résidences et les entreprises, mais également pour la société civile et l’économie. Par exemple, l’interruption ou la coupure de l’approvisionnement en électricité des unités de soins intensifs des hôpitaux ou des stations de pompage d’eau potable pourrait mettre en danger la santé et la vie des gens.
D’autres points à sécuriser
Dans le cas des réseaux de transport et de distribution d’énergie, dont les « usines » sont réparties sur des milliers de kilomètres, la sécurité opérationnelle constitue un défi de taille. Pour ce qui est des environnements des exploitants de systèmes décentralisés, le nombre de sites clients peut s’élever à des dizaines de milliers (et à un plus grand nombre dans les pays plus vastes), ce qui représente également le nombre de points de vulnérabilité. Si leur système de contrôle industriel n’est pas sécurisé, les éléments malveillants auront plus de facilité à endommager la fiabilité du réseau ou même du système énergétique en entier.
Augmentation des possibilités de risques
La numérisation modifie la collecte, l’utilisation et le traitement de données par les systèmes énergétiques. Par exemple, le relevé des compteurs était traditionnellement effectué par une personne qui faisait un relevé physique d’un compteur électrique. Maintenant, les compteurs intelligents permettent à cette opération d’être effectuée en ligne. Cependant, cette même connexion est utilisée pour l’approvisionnement électrique, donc pour couper l’électricité ou encore modifier l’alimentation en électricité en cas de panne sur le réseau.
Le fait que les systèmes opérationnels à grande échelle soient intégrés à l’Internet fait augmenter la vulnérabilité des infrastructures essentielles, puisque les mêmes canaux utilisés pour le partage et l’échange d’information peuvent également être utilisés par des intrus pour pénétrer et manipuler le système.
Génération décentralisée d’énergie
La demande grandissante en énergie verte et renouvelable fait augmenter les sources d’énergies renouvelables (éolienne, solaire et hydroélectrique). Les consommateurs et les entreprises installent des panneaux solaires sur leurs toits et produisent leur propre énergie. De plus, des concepts tels que les îles énergétiques et les technologies novatrices telles que les batteries Tesla permettent de générer et de stocker de l’énergie à la maison et dans les entreprises, ainsi qu’à la redistribuer dans le réseau électrique. Ces développements ont fait augmenter dramatiquement le nombre de sources d’énergie connectées au réseau de distribution, et par le fait même le nombre de points à contrôler et à sécuriser.
Assurer l’avenir
Un nouvel écosystème énergétique est en cours d’évolution, qui permet la génération, le stockage et la consommation distribuée et qui transforme la façon dont l’énergie est utilisée et générée. Les sociétés de services publics doivent s’ouvrir à la réalité d’un véritable réseau décentralisé. Ces changements marquent l’arrivée d’une tarification énergétique plus dynamique et de plus grandes possibilités pour les organisations de générer leur propre électricité, mais ils entraînent également davantage de risques, tant du côté des TI que des TO. La mise en place de mesures préventives contre les cybermenaces dans le système énergétique est primordiale pour s’assurer que les intégrations existantes au sein de l’entreprise ou auprès d’entreprises externes continuent de fonctionner de façon sécuritaire.
Avec ce nouveau système énergétique, l’intégration TI/TO fait partie intégrante de l’équilibre du réseau. Il est également essentiel d’éliminer les opérations en vases clos créés par les ressources, les systèmes et les données, afin d’assurer une circulation fluide de l’information pour soutenir le contrôle automatique du réseau décentralisé. Cependant, le tout doit être effectué de la façon la plus sécuritaire possible, afin d’éviter tout impact sur les entreprises, sur la sécurité des citoyens et sur l’économie.
CGI aide les clients du secteur des services publics à atteindre un haut niveau de préparation afin de déterminer et d’atténuer les menaces internes et externes, grâce à une approche globale à l’échelle de l’entreprise couvrant tous les aspects des ressources, des processus, des technologies et de la gouvernance. Apprenez-en davantage sur la façon de vous préparer à contrer les cybermenaces associées à la convergence des TI et de TO en lisant le plus récent blogue de mon collègue Jim Menendez et notre étude technique intitulée La convergence, moteur d’occasions et de risques.