Les énergéticiens sont conscients d’être des cibles pour des cyberattaques

Il y aura d’autres incidents de production et pannes électriques comme celle provoquée, fin décembre dernier, par une cyberattaque, en Ukraine. C’est du moins la conclusion que l’on est tenté de tirer de l’édition 2016 de l’étude de Tripwire sur la sécurité informatique dans le secteur de l’énergie, des utilités, du pétrole et du gaz.

Récemment, Mathieu Hernandez, architecte-référent SSI chez Engie Ineo, observait que « beaucoup de personnes pensent que leurs systèmes ne constituent pas une cible », tandis que d’autres s’avèrent défaitistes et disent : « je ne peux pas lutter contre ce type d’attaque ». Mais cette étude, conduite en novembre dernier par Dimensional Research auprès de 150 DSI œuvrant dans ce secteur, fait apparaître une véritable prise de conscience.

Ainsi, 75 % des sondés estiment que leur organisation constitue une cible pour des cyberattaques susceptibles de causer des dommages physiques. Et près de 80 % considèrent qu’elle pourrait même faire une cible alléchante pour des attaques conduites par des états. Parmi les sondés, tous les dirigeants estiment qu’une attaque informatique sur les systèmes opérationnels est susceptible de provoquer des dommages matériels, contre 70 % pour les autres.

Reste à pouvoir se défendre ou, au moins, pouvoir détecter et suivre les menaces éventuelles. Et là, force est de constater que tout, ou presque, reste à faire. Ainsi 35,4 % des sondés s’estiment capables de suivre toutes les menaces visant leur réseau. 16 % n’ont pas la visibilité nécessaire, et plus de 35 % considèrent que les menaces sont tout simplement trop nombreuses. 8,1 % des sondés ne suivent que les menaces concernant directement leur département et le reste… se sait pas répondre à la question.

Dans un billet de blog, Tim Erlin, directeur stratégie sécurité et risque IT de Tripwire, souligne pourtant l’importance de telles capacités : « il est irréaliste de croire que 100 % des menaces peuvent être éliminées, donc il est nécessaire de pouvoir détecter précisément les attaques réussies […] Par certains égards, un environnement ICS est plus simple à défendre qu’un système d’information. Les entreprises du pétrole et du gaz devraient chercher comment elles peuvent détecter des activités anormales ou des changements non autorisés dans leurs environnements de contrôle ».