Colonial Pipeline Co. a envoyé une vague de panique du Texas au New Jersey au printemps dernier lorsque les dirigeants de l'entreprise ont décidé comment ils réagiraient aux pirates : ils ont fermé le pipeline, coupant le flux d'essence et d'autres carburants vers le Cote est.
Le PDG colonial Joseph Blount a témoigné devant le Congrès que la décision devait être prise. Si la forme insidieuse de logiciels malveillants était passée des ordinateurs commerciaux de Colonial à la technologie de contrôle du pipeline, a déclaré Blount, tous les paris étaient ouverts. Les pénuries de gaz qui ont duré une semaine auraient pu durer des mois.
La décision en mai de fermer un important robinet de carburant a déclenché la sonnette d'alarme dans tout le secteur de l'énergie. Le piratage affectant le système de pipeline de 5 500 milles de Colonial a rappelé brutalement la facilité avec laquelle un groupe de criminels en ligne, cherchant à gagner facilement de l'argent, pouvait saper le système énergétique américain.
Colonial - l'exemple le plus frappant de la vulnérabilité de l'Amérique à l'ère numérique en 2021 - a préparé le terrain pour une 2022 qui pourrait apporter des changements significatifs à la surveillance gouvernementale et à l'autocontrôle de l'industrie.
Pendant des années, les entreprises énergétiques de tous bords ont résisté aux mandats gouvernementaux en matière de cybersécurité. Cela commence à changer dans l'ère post-coloniale.
L'administration Biden a lancé plusieurs initiatives visant à renforcer la capacité des agences fédérales à gérer la menace contre les infrastructures critiques. Biden a nommé Chris Inglis au poste de directeur national de la cybersécurité, chargé de coordonner la stratégie américaine de cybersécurité. Et la Maison Blanche a publié un décret exécutif réorganisant la défense numérique fédérale.
Voici quatre tendances en matière de cybersécurité à surveiller en 2022 :
Le fléau des ransomwares
En quelques années, les ransomwares sont passés d'une préoccupation moyenne à un problème majeur pour les entreprises.
L'attaque du pipeline Colonial par le groupe de rançongiciels DarkSide a donné lieu à de multiples audiences à Capitol Hill sur des questions liées à la sécurité des infrastructures énergétiques.
Les ransomwares sévissent partout, des services publics d'électricité aux agences gouvernementales locales.
Une coopérative d'électricité du Colorado a été touchée par une attaque présumée de ransomware en novembre qui a entraîné une perte de 90 % des réseaux internes (Energywire, 6 décembre 2021). Au cours du même mois, le géant de l'énergie éolienne Vestas Wind Systems A/S a été touché par une cyberattaque (Energywire, 22 novembre 2021).
Il semble y avoir peu de fin en vue. Un rapport récent de la société de cybersécurité Mandiant a noté que "le commerce des ransomwares est tout simplement trop lucratif" pour que les cybercriminels l'ignorent. Mandiant a également averti que les pirates informatiques continueront probablement d'explorer la technologie opérationnelle au cours de l'année à venir "et utiliseront de plus en plus les ransomwares dans leurs attaques".
Cadeau des dieux : Log4j
La fin de 2021 a couronné une année pleine de défis historiques en matière de cybersécurité. Une vulnérabilité découverte début décembre dans le composant logiciel Log4j basé sur Java a été décrite par Jen Easterly, directrice de la Cybersecurity and Infrastructure Security Agency (CISA), comme "la vulnérabilité la plus grave que j'ai vue au cours de mes décennies de carrière".
Dans une alerte conjointe, le FBI ; CISA ; Agence de Sécurité Nationale; et les agences de sécurité représentant l'Australie, le Canada, la Nouvelle-Zélande et le Royaume-Uni ont averti que "des acteurs sophistiqués de la cyber-menace analysent activement les réseaux pour potentiellement exploiter" la vulnérabilité Log4j. La CISA a également publié une directive d'urgence exigeant que toutes les agences fédérales corrigent la vulnérabilité d'ici la fin décembre.
Log4j est une vulnérabilité logicielle omniprésente qui peut être facilement exploitée. Mais pour le secteur de l'énergie, ce n'est pas aussi simple que de télécharger le dernier patch. Les experts ont noté qu'il peut s'écouler des mois, voire des années avant que la vulnérabilité ne soit corrigée et que son impact total soit connu (Energywire, 14 décembre 2021).
"Si vous utilisez Hoover Dam ou si vous utilisez un processus chimique", a déclaré Chris Grove, stratège en cybersécurité chez Nozomi Networks, "alors les ramifications de la reconfiguration et du redémarrage ou même de l'accès à un correctif sont plus grand, et le risque aussi.
Les analystes en sécurité affirment que des pirates informatiques bien connus profitent de la vulnérabilité. Mais le secteur de l'énergie n'a pas encore vu d'attaques qui pourraient éteindre les lumières, selon le Electricity Information Sharing and Analysis Center, le centre d'échange d'informations sur la sécurité de l'industrie de l'électricité.
Chaîne d'approvisionnement et failles logicielles
La vulnérabilité du logiciel Log4j n'est que le signal d'alarme le plus récent pour une industrie de l'énergie qui dépend des chaînes d'approvisionnement mondiales pour tout, des logiciels de sécurité aux panneaux solaires.
La campagne de cyberespionnage liée à la Russie qui a exploité le logiciel SolarWinds a incité la Maison Blanche l'année dernière à publier un décret ciblant la chaîne d'approvisionnement en logiciels. Entre autres choses, cela oblige les éditeurs de logiciels à fournir ce qu'on appelle une nomenclature logicielle - une liste de composants dans un logiciel similaire à une liste d'ingrédients dans une recette.
"Nous avons une grande visibilité sur les réseaux fédéraux. Nous n'avons pas de visibilité sur les infrastructures critiques », a déclaré Easterly, le directeur de la CISA, lors d'un appel consultatif.
Une nomenclature logicielle est une étape vers une meilleure compréhension des risques liés aux logiciels, mais ce n'est pas la solution miracle, a déclaré Ron Brash, vice-président de la recherche technique chez aDolus Technology Inc.
"La plupart des entreprises énergétiques, même les plus grandes, n'ont même pas la capacité de consulter une nomenclature logicielle et de voir ce qui est à risque", a déclaré Brash.
Le ministère de l'Énergie a publié une demande d'informations sur un certain nombre de problèmes liés à la chaîne d'approvisionnement mondiale, dont l'un est la cybersécurité. Mais le secteur de l'énergie est aux prises avec les politiques fédérales de la chaîne d'approvisionnement depuis l'administration Trump, dont certaines découlent de tensions commerciales avec la Chine.
"Il est extrêmement positif que nous adoptions une vision aussi large de la chaîne d'approvisionnement et que nous examinions le paysage concurrentiel pour ne pas nécessairement immédiatement, du jour au lendemain, aliéner certains pays", a déclaré Tobias Whitney, vice-président de la société de cybersécurité Fortress. Sécurité des informations. "Je pense que c'était le défi avec l'ordonnance d'interdiction de l'administration précédente."
Jim Cunningham, directeur exécutif de Protect Our Power, a déclaré que la première moitié de 2022 pourrait en dire long sur l'orientation de la politique fédérale sur les questions de chaîne d'approvisionnement.
Législation et mandats
Les membres du Congrès ont publié une série de lois en 2021 visant à renforcer les défenses américaines contre les pirates. Certaines d'entre elles se sont retrouvées dans la Loi sur l'autorisation de la défense nationale.
Cependant, le projet de loi bipartisan sur la notification des incidents cybernétiques qui devrait atterrir dans la NDAA a rencontré un obstacle de dernière minute lorsque le sénateur Rick Scott (R-Fla.) s'y est opposé. Scott craignait qu'une exigence de notification d'incident cybernétique ne soit un fardeau pour les petites entreprises. Cela n'a jamais été inclus dans le projet de loi.
Rep. Jim Langevin (D-R.I.), qui a récemment annoncé qu'il ne se présentait pas aux élections, a déclaré à E&E News que le projet de loi sur la notification des cyberincidents était l'une de ses priorités cette année (Energywire, 19 janvier).
Norma Krayem, experte en cybersécurité chez Van Scoyoc Associates, a déclaré que le Congrès devrait revenir au mandat de rapport, qui s'applique aux services publics d'électricité. Elle a noté que les législateurs étudient également la meilleure façon de protéger les infrastructures jugées supercritiques pour l'économie américaine.
Surnommées « infrastructures critiques d'importance systémique » par les législateurs et « entités d'importance systémique primaire » par la CISA, les efforts viseront à garantir que l'épine dorsale qui maintient l'économie américaine en marche bénéficie à la fois des ressources et de l'attention du gouvernement fédéral.
"J'espère que ces efforts seront synchronisés, mais on s'attend à ce que cette nouvelle catégorie ait de nouveaux mandats réglementaires imposés à toute entité qui reçoit cette désignation", a déclaré Krayem.
Rep. John Katko (R-N.Y.) a présenté H.R. 5491, qui autoriserait CISA à identifier les propriétaires et exploitants d'infrastructures critiques. Easterly a soutenu le projet de loi, affirmant que l'agence s'attend à ce que 150 à 200 entités figurent sur la liste.
