Cyberattaques : des énergéticiens trop confiants ?

Tripwire égratigne à nouveau les énergéticiens dans leurs certitudes. Pour l’édition 2016 de son étude sur la détection de brèches de sécurité, il a demandé à Dimension Data d’interroger 763 professionnels de la sécurité informatique outre-Atlantique, dont cent dans le secteur de l’énergie.

Un tiers des sondés estiment savoir exactement combien de temps il faut à des outils automatisés pour les alerter sur des changements de configuration de points de terminaison de leur infrastructure. 40 % indiquent en avoir une « idée générale » quand le reste ne sait pas ou indique ne pas utiliser de tels outils. Pour autant, 40 % des sondés estime qu’une telle alerte serait notifiée en l’espace d’heures, voire de jours pour 22 %. Seuls 3 % envisagent ne pas détecter de tels changements de configuration avant des mois.

Dans le secteur de l’énergie, 73 % des sondés estiment toutefois que de tels événements leur seraient notifiés en l’espace de quelques heures. Toutefois, comme le relève Tripwire, 52 % des professionnels de la sécurité des systèmes d’information du secteur reconnaissent que leurs outils automatisés ne collectent pas toutes les informations nécessaires pour cela.

Ces professionnels évaluent-ils alors correctement les capacités de détection de leur infrastructure ? Pas sûr, juge Tripwire qui souligne que « près de la moitié des répondants du secteur de l’énergie n’ont pas la compréhension de base du temps qu’il leur faut pour détecter une intrusion, recevoir une alerte des systèmes d’analyse après la détection d’une vulnérabilité, ou encore être informé de l’échec d’un système à rapporter correctement » son état. 59 % des sondés indiquent ainsi ne pas savoir exactement combien de temps prendrait la détection de ce genre d’anomalies.

Surtout, 44 % des professionnels du secteur reconnaissent que moins de 80 % des correctifs sont appliqués avec succès dans le cadre d’un cycle normal d’application de rustines.

Pour Travis Smith, ingénieur recherche en sécurité sénior chez Tripwire, le verdic est sans appel : « ces résultats montrent que la plupart des professionnels de la sécurité estiment faire ce qu’il faut pour sécuriser leurs environnements, mais manquent de données concrètes pour confirmer leurs suppositions ».

En début d’année, Tipwire relevait que trois quarts des DSI dans les secteurs de l’énergie, des utilités, du pétrole et du gaz estiment que leurs organisations constituent des cibles pour les attaques informatiques. Mais seulement 35,4 % des sondés s’estimaient alors capables de suivre toutes les menaces visant leur réseau.

Un peu plus tôt, à l’occasion du Forum International de la Cybersécurité, à Lille, Mathieu Hernandez, architecte-référent SSI chez Engie Ineo, observait que « beaucoup de personnes pensent que leurs systèmes ne constituent pas une cible », tandis que d’autres s’avèrent défaitistes et disent : « je ne peux pas lutter contre ce type d’attaque ».