Un constat inquiétant qui a conduit l’Union Européenne à adopter la directive
Network and Information Security (NIS) dédiée à la cybersécurité, dont l’entrée en
vigueur est prévue en 2018. Un budget de près d’1,87 milliards de dollars est
également envisagé par les industries du gaz et du pétrole afin de se prémunir
contre des attaques d’une telle ampleur. Ainsi, pour accompagner ces démarches, les
organisations doivent également revoir et renforcer leurs pratiques de sécurité.

Jean-François Pruvot, Regional Director France chez CyberArk, a fait les
commentaires suivants :

« Les Opérateurs d’Importance Vitale (OIV) doivent plus que jamais être sur le pied
de guerre face aux cyberattaques plus virulentes et sophistiquées qui sévissent
actuellement. Longtemps épargnés par les cybermenaces car ils n’étaient pas
connectés à internet, ces secteurs sont aujourd’hui vulnérabilisés par la
digitalisation ; si bien qu’ils font face à de nouvelles menaces non ou mal
anticipées. Pour autant, la plupart n’ont pas immédiatement changé leurs habitudes,
laissant la porte ouverte aux failles des systèmes. Or, le secteur nucléaire est bel
et bien une cible de choix pour les hackers, comme l’ont démontré les dernières
attaques contre les centrales nucléaires en Ukraine fin 2015, et plus récemment la
panne sur une centrale nucléaire ou la révélation de l’infection par virus de la
centrale de Gundremmingen au nord-ouest de Munich.

En outre, les dernières attaques identifiées révèlent que les problèmes surviennent
au-delà de l’environnement sensible visé ; les équipes informatiques manquant
souvent de données concrètes pour confirmer leurs suppositions quant à de
potentielles failles. Or, la montée des cyberguerres et du cyber terrorisme
transforme le visage des attaques. C’est pourquoi les organisations doivent assurer
la protection de leurs systèmes, à commencer par leurs comptes d’administration – ou
comptes à privilèges – qui permettent de prendre le contrôle de l’intégralité des
machines. Ces comptes sont la voie royale des hackers. En fonction de la taille de
l’organisation, ceux-ci peuvent être plus ou moins nombreux. Ainsi, pour en assurer
une gestion précise et efficace, un système de rotation automatique des accès
permettrait d’éviter des écueils aussi classiques que l’échange de mots de passe sur
post-it, clé USB, par email ou encore leur enregistrement dans un document Word.

De manière générale, les organisations doivent partir du fait qu’elles seront
attaquées tôt ou tard, voire que la menace se trouve déjà à l’intérieur afin d’en
bloquer la progression, notamment en sécurisant les points d’accès aux systèmes. 73 %* des entreprises françaises considèrent qu’une attaque de grande envergure contre
des infrastructures critiques – conduisant à une coupure générale d’électricité ou
pouvant impacter la qualité de l’eau – serait catastrophique. C’est pourquoi la
sécurité des OIV doit sans équivoque devenir une priorité nationale, voire
internationale. Les associations telles que l’ANSSI n’ont d’ailleurs pas attendu
avec la publication de deux décrets en mars
2015, dans le cadre de la loi de programmation militaire de 2013 pour aider ce secteur à
mieux se protéger. Selon la loi, le secteur énergétique, doit anticiper les mesures
sécuritaires, faire réaliser un audit par un prestataire qualifié par l’agence,
reporter auprès de l’ANSSI tous les points susceptibles de poser problème, ainsi que
le moindre incident de sécurité identifié tout au long de l’année. Les OIV
n’échappent pas aux règles de base de protection et doivent donc mettre en place les
bonnes pratiques propres à n’importe quelle organisation souhaitant prévenir la
perte ou le vol de leurs données. Par conséquent, la combinaison de l’ensemble de
ces mesures ne peut que contribuer à renforcer la sécurité du secteur énergétique. »

* Source : 10e Etude CyberArk « Threat Landscape report 2016”