L’impréparation domine face au risque de cyberattaque sur des infrastructures critiques

La commission aux transports et aux infrastructures du parlement américain semble inquiète, au moins point de se saisir de la question de la préparation des Etats-Unis au risque d’attaque informatique sur son réseau de distribution électrique. Dans un discours d’introduction à la réunion organisée la semaine dernière sur le sujet, Lou Barletta, président de la sous-commission du développement économique, des édifices publics et de la gestion des urgences, relève un nombre élevé d’audiences consacrées à la cybersécurité et « à comment arrêter les méchants ». Mais il estime que la gestion des conséquences d’une « cyberattaque massive, faisant tomber par exemple, une large part du réseau électrique pour une longue durée » n’a pas fait l’objet d’une attention comparable.

Et pourtant, Lou Barletta souligne que « le gouvernement fédéral fait aujourd’hui cela pour presque tous les risques significatifs qui nous concernent », qu’il s’agisse d’un cyclone majeur ou d’un important tremblement de terre. Mais pour une cyberattaque aux répercutions majeures sur le monde physique, « le gouvernement fédéral n’a pas de scénario de base », et tout particulièrement pour une interruption d’alimentation électrique dépassant quelques jours : en cas de coupure de plusieurs semaines, ou d’un mois ou plus, « les administrations locales ont potentiellement besoin de planifier pour renforcer la sécurité publique, assurer le traitement des eaux, fournir des abris ou évacuer, fournir le carburant nécessaire aux générateurs ». Entre autres.

Selon le ministère de l’Intérieur américain, le secteur de l’énergie aurait été la cible « de plus de 40 % de toutes les cyberattaques rapportées » - les industriels du domaine semblent d’ailleurs de plus en plus conscients de constituer des cibles. Lou Barletta ne peut en outre s’empêcher de rappeler le précédent ukrainien, de décembre dernier, où une cyberattaque a bien permis de déclencher une vaste coupure d’électricité. Mais la vétusté relative des installations a là permis une reprise d’alimentation rapide, en l’espace de quelques heures, de manière manuelle.

Ce n’est toutefois pas toujours le cas. Les équipes de Verizon ont été amenées, l’an passé, à intervenir auprès d’un opérateur d’infrastructure critique exécutant de nombreuses fonctions critiques informationnelles (IT) et opérationnelles (OT) sur un même système AS400. Des attaquants ont pu mettre à profit des vulnérabilités dans les applications Web destinées au client pour accéder à des identifiant permettant de compromettre l’AS400 et d’interférer, de là, avec le bon fonctionnement de l’application de gestion du circuit de distribution d’eau. Jusqu’à modifier les paramètres chimiques du traitement de l’eau. De quoi souligner, une fois de plus la vulnérabilité des systèmes industriels.