D’après Reuters, l’amiral Mike Rogers, directeur de la NSA, a déclaré à la commission américaine du renseignement sur les cyber-menaces de la Chambre des représentants que  la Chine, et « probablement un ou deux » autres pays étaient capables de paralyser les systèmes informatiques des fournisseurs d’électricité, des réseaux aériens et des sociétés financières des États-Unis.

Selon les déclarations de Mike Rogers, les attaquants peuvent s’introduire dans ces systèmes et effectuer des missions de reconnaissance afin de déterminer comment les réseaux sont constitués et le gouvernement s’inquiète du fait que cet accès puisse être utilisé par des états-nations, des groupes ou des individus dans le but de démanteler ces systèmes.

Les menaces de cyber-sécurité à l’encontre du réseau électrique et des secteurs de l’énergie et des services publics dans leur ensemble nous touchent tous de près.

Préoccupations chez les employés du secteur de l’énergie

Et les entreprises de ce secteur d’activités sont assurément confrontées à un certain nombre d’incidents de sécurité. Selon une étude réalisée par le cabinet de conseil PwC et les magazines CIO et CSO, The Global State of Information Security Survey 2015, au cours de laquelle 9 700 cadres commerciaux et techniques du monde entier ont été interrogées entre mars et mai 2014, 45% de ceux travaillant dans les secteurs de l’énergie, des services publics et miniers ont déclaré avoir détecté au moins 10 incidents de sécurité au cours des 12 derniers mois et plus d’un quart au moins 50 incidents.

À titre de comparaison, ils sont 39%, tous secteurs confondus,  à déclarer avoir détecté au moins 10 incidents et 24% au moins 50. Le rapport indique que les entreprises de ces secteurs sont potentiellement menacées par des attaquants pouvant être leurs employés (ou leurs anciens employés), leurs fournisseurs de services actuels et antérieurs, leurs concurrents, des hackers, le crime organisé et des activistes.

Une autre étude brosse un portrait effroyable des menaces de cyber-sécurité affectant ces secteurs. Le rapport de l’étude publié par Ponemon Institute etUnisys en juillet 2014, Critical Infrastructure: Security Preparedness and Maturity, signale des « lacunes alarmantes en matière de sécurité dans les entreprises du monde entier ayant des infrastructures essentielles qui pourraient avoir un impact sur leur capacité à empêcher des attaques aux effets dévastateurs, sur la production d’électricité et d’autres fonctions indispensables. »

Cette étude a demandé aux participants quelle réponse ils apportaient aux menaces de cyber-sécurité pour  protéger les données des entreprises et l’infrastructure  essentielle et les résultats, selon les chercheurs, ont mis en lumière les préoccupations de nombreux cadres au sujet des systèmes de contrôle industriels (ICS) et des systèmes de contrôle et d’acquisition de données (SCADA)  qui surveillent et contrôlent les processus et opérations de production d’électricité et d’autres fonctions essentielles de l’infrastructure.

• Presque 70% des responsables d’infrastructures essentielles interrogés ont fait part d’au moins une faille de sécurité ayant entraîné la perte de données confidentielles ou ayant perturbé les activités au cours des 12 derniers mois.
• Un peu moins de 80% d’entre eux considèrent qu’une attaque à l’encontre des systèmes ICS et SCADA de leur entreprise pourrait aboutir dans les deux prochaines années.
• Malgré cela, seul un participant sur six a considéré que les activités et les programmes relatifs à la sécurité informatique de son entreprise étaient « aboutis ».

Selon ce rapport, la plupart des entreprises n’ont pas intégralement déployé leurs programmes de sécurité informatique.

• Seuls 17% des participants ont déclaré que la plupart des mesures de leur programme de sécurité informatique étaient mises en place.
• La moitié d’entre eux affirment que leurs mesures de sécurité informatique n’avaient pas encore été définies ni adoptées ou qu’ils avaient défini des actions mais qu’elles n’avaient été appliquées que partiellement.
• Seuls 28% ont cité la sécurité comme faisant partie des cinq principales priorités stratégiques de leur entreprise.

Le témoignage de Mike Rogers auprès du Congrès américain et les études réalisées dans ce secteur d’activité au sujet des attaques réelles et potentielles devraient permettre de prendre conscience du fait que ces domaines essentiels ont besoin d’être protégés contre les failles de sécurité à l’aide de la technologie de sécurité la plus efficace et complète possible.

Les technologies telles que les logiciels antimalwares, les outils de sécurité mobile et la sécurité des environnements informatiques virtualisés peuvent contribuer à ce que les services publics et les sociétés du secteur de l'énergie protègent mieux leurs systèmes et données. En tant que VAR ou MSP, vous pouvez les aider à déployer ces solutions et à éviter que les composantes de cette infrastructure essentielle ne soient mises en péril.