C'est un véritable cauchemar pour les responsables européens de l'énergie.
Henriette Borgund sait que les attaquants peuvent trouver des faiblesses dans les défenses d'une grande entreprise d'énergie renouvelable - elle les a trouvées elle-même. En avril dernier, elle a rejoint la société norvégienne Hydro en tant que "hacker éthique", mettant à profit ses années d'expérience dans le domaine de la cyberdéfense militaire en cette période de guerre en Europe et de chaos sur les marchés de l'énergie.
"Je ne suis pas sûre de vouloir faire des commentaires sur la fréquence à laquelle nous trouvons des failles dans notre système. Mais ce que je peux dire, c'est que nous avons trouvé des failles dans notre système", a-t-elle déclaré à Reuters au siège d'Hydro à Oslo, refusant de détailler la nature des vulnérabilités pour des raisons de sécurité.
Hydro fait partie des grands producteurs d'électricité qui renforcent leurs cyberdéfenses en raison notamment de l'invasion de l'Ukraine par la Russie, qui, selon eux, a renforcé la menace d'attaques de pirates informatiques sur leurs opérations, d'après des entretiens menés par Reuters avec une douzaine de cadres de sept des plus grands acteurs européens.
"Nous avons constaté l'année dernière, après le début de la guerre en Ukraine, que le risque de cyber-sabotage avait augmenté", a déclaré Michael Ebner, responsable de la sécurité de l'information chez l'opérateur allemand EnBW, qui est en train d'élargir son équipe de cybersécurité de 200 personnes pour protéger des opérations allant de l'énergie éolienne et solaire aux réseaux électriques.
Les dirigeants ont tous déclaré que la sophistication des cyberattaques russes contre l'Ukraine avait rappelé à quel point les réseaux électriques numérisés et interconnectés pouvaient être vulnérables aux attaquants. Ils surveillent avec nervosité une guerre hybride dans laquelle les infrastructures énergétiques physiques ont déjà été prises pour cible, des gazoducs Nord Stream au barrage de Kakhovka.
"Les cybercampagnes menées par la Russie contre l'Ukraine étaient très ciblées sur l'Ukraine. Mais nous avons pu les observer et en tirer des enseignements", a déclaré Torstein Gimnes Are, responsable de la cybersécurité chez Hydro, producteur d'aluminium et quatrième producteur d'électricité de Norvège.
M. Gimnes Are a déclaré qu'il craignait qu'un État-nation puisse travailler avec des groupes de pirates informatiques pour infecter un réseau avec des logiciels malveillants, mais, comme les autres dirigeants, il a refusé de divulguer des détails sur des attaques ou des menaces spécifiques, invoquant la confidentialité de l'entreprise.
Le service de sécurité ukrainien SBU a déclaré à Reuters que la Russie lançait en moyenne plus de dix cyberattaques par jour, le secteur énergétique ukrainien étant une cible prioritaire. Il a ajouté que la Russie avait tenté de détruire des réseaux numériques et de provoquer des coupures d'électricité, et que les attaques de missiles contre des installations étaient souvent accompagnées de cyberattaques.
Les responsables russes ont déclaré que l'Occident accusait régulièrement Moscou de cyberattaques sans fournir de preuves et que les États-Unis ainsi que leurs alliés menaient des cyberopérations offensives contre eux. Le ministère russe des affaires étrangères n'a pas immédiatement répondu à une demande de commentaire sur les points de vue des compagnies d'électricité ou sur les affirmations du SBU ukrainien.
Les compagnies d'électricité européennes, ainsi qu'une demi-douzaine d'experts indépendants en sécurité technologique, ont souligné que la technologie numérisée et interconnectée des milliers d'installations renouvelables et de réseaux énergétiques qui se développent dans toute l'Europe présentait des vulnérabilités majeures - et croissantes - à l'infiltration.
"Le nouveau monde de l'énergie est décentralisé. Cela signifie que nous avons de nombreuses petites unités - telles que des centrales éoliennes et solaires, mais aussi des compteurs intelligents - qui sont connectées de manière numérique", a déclaré Swantje Westpfahl, directrice de l'Institut allemand pour la sécurité et la sûreté.
"Cette mise en réseau accroît les risques, car il y a beaucoup plus de points d'entrée possibles pour les attaques, avec un impact potentiel beaucoup plus important.
LE VIRUS TRITON MET L'USINE À L'ARRÊT
Selon James Forrest, vice-président exécutif de Capgemini, qui conseille les entreprises sur les risques de sécurité, les effets possibles d'une cyberattaque vont de la saisie de données sensibles à la destruction d'un bien physique, en passant par des coupures de courant.
Il a notamment cité le risque de logiciels malveillants tels que le virus Triton, que des pirates ont utilisé pour prendre le contrôle à distance des systèmes de sécurité d'une usine pétrochimique saoudienne en 2017 et la mettre à l'arrêt.
Si des logiciels malveillants comme Triton peuvent être des armes algorithmiques exotiques, le mode d'entrée le plus courant utilisé par les pirates qui cherchent à les diffuser est plus familier, selon les cadres et les experts interrogés : via des courriels d'hameçonnage conçus pour obtenir des données de la part des employés, comme les mots de passe du réseau.
Ces attaques sont "plus ou moins constantes", selon Cem Gocgoren, responsable de la sécurité de l'information chez Svenska Kraftnaet. L'opérateur de réseau suédois a grosso modo quadruplé son équipe de cybersécurité, qui compte désormais une soixantaine de personnes, au cours des quatre dernières années, et sensibilise son personnel. "Nous devons leur faire comprendre que nous sommes attaqués en permanence. C'est la nouvelle normalité.
Mme Borgund, hacker éthique d'Hydro, a fait écho à ce sentiment d'un barrage incessant via le phishing, qu'elle a décrit comme le "premier vecteur initial" des cyberattaquants.
CYBERATTAQUE SUR UN SATELLITE
Les centrales électriques traditionnelles, telles que les centrales nucléaires et à gaz, fonctionnent généralement avec une infrastructure informatique hermétiquement fermée, ce qui les rend moins sensibles aux cyberattaques qu'au sabotage physique, a déclaré Stephan Gerling, chercheur principal au CERT ICS de Kasperky, qui étudie et détecte les cybermenaces pesant sur les installations industrielles.
En revanche, le nombre sans cesse croissant de petites installations renouvelables en Europe fonctionne sur des systèmes tiers diversifiés qui sont connectés numériquement au réseau électrique et sont en dessous du seuil de surveillance de la production d'énergie fixé par les autorités de sécurité, a-t-il ajouté.
Ce type d'interconnexion a été démontré en février dernier lorsqu'une cyberattaque russe sur un réseau ukrainien de communication par satellite a mis hors service la surveillance à distance de plus de 5 800 turbines éoliennes de l'entreprise allemande Enercon et les a arrêtées, a déclaré Mathias Boeswetter, responsable de la sécurité informatique au sein du groupe industriel allemand de l'énergie BDEW.
Bien que l'incident n'ait pas affecté le réseau électrique, il a montré l'escalade des vulnérabilités cybernétiques posées par la transition énergétique, a-t-il ajouté.
LA CLÉ DU PIRATAGE D'UN PARC ÉOLIEN
Le piratage d'un parc éolien peut être relativement facile.
Des chercheurs de l'université de Tulsa ont mené une expérience en piratant des parcs éoliens anonymes aux États-Unis en 2017 pour tester leurs vulnérabilités, avec l'autorisation des exploitants des parcs éoliens, selon un rapport sur les cybermenaces dans le secteur de l'énergie publié par le cabinet de conseil en gestion des risques DNV.
Les chercheurs ont crocheté une serrure pour accéder à une chambre située à la base d'une éolienne, indique le rapport. Ils ont accédé au serveur de l'éolienne et ont obtenu une liste d'adresses IP représentant chaque éolienne en réseau dans le champ. Ils ont ensuite empêché l'éolienne de tourner.
Stimulées par les efforts des gouvernements pour sevrer les nations des combustibles fossiles et doubler les énergies renouvelables, les énergies éolienne et solaire représentaient plus d'un cinquième de la demande énergétique européenne en 2021, selon les données de l'UE, une part qui devrait doubler d'ici à 2030.
E.ON, le plus grand opérateur de réseaux énergétiques d'Europe avec un réseau s'étendant sur plus d'un million de kilomètres, a également observé un risque croissant de cyberattaques, a déclaré son PDG Leonhard Birnbaum lors de la réunion des actionnaires du groupe en mai.
L'entreprise a augmenté son personnel spécialisé dans les cyberattaques à environ 200 personnes au fil des ans, a-t-il déclaré dans des commentaires envoyés par courriel, ajoutant que le groupe avait depuis longtemps reconnu l'importance de ce problème.
"Placer la cybersécurité en tête de liste des priorités seulement après le début de la guerre en Ukraine et la crise énergétique aurait été une grave omission", a-t-il déclaré.
Le secteur européen de l'énergie dans son ensemble n'est peut-être pas préparé à l'ampleur du défi de la sécurité - c'est le point de vue de nombreux travailleurs du secteur qui déclarent que le manque de compétences internes en matière de cybersécurité est le principal obstacle à une protection efficace contre les attaques, selon une enquête distincte de DNV menée en février et mars auprès d'environ 600 professionnels de l'énergie.
"Les entreprises du secteur de l'énergie ont pour activité principale la production d'énergie, pas la cybersécurité", a déclaré Jalal Bouhdada, PDG de la société de cybersécurité Applied Risk, une division de DNV.
"Cela signifie qu'elles doivent travailler avec diligence pour sécuriser tous les aspects de leur infrastructure, car les acteurs malveillants n'ont qu'à trouver une faille à exploiter.
