Les dirigeants du secteur pétrolier et gazier pensent qu’une cyber attaque entraînera des fermetures, endommagera des actifs, fera même effondrer certaines nations et mettra en danger l’ensemble de l’économie mondiale, selon une enquête de DNV. Les dirigeants de l’énergie anticipent ainsi des cyberattaques compromettantes dans le secteur pétrolier et gazier au cours des deux prochaines années, selon une nouvelle étude publiée par DNV.
Le fournisseur indépendant de gestion des risques et d’assurance qualité (DNV) a interrogé plus de 940 professionnels de l’énergie dans le monde pour la recherche « The Cyber Priority ».
DNV a révélé que plus des quatre cinquièmes des professionnels travaillant dans les secteurs de l’énergie, des énergies renouvelables et du pétrole et du gaz pensent qu’une cyberattaque contre l’industrie est susceptible de provoquer des arrêts opérationnels et des dommages aux actifs énergétiques et aux infrastructures critiques. Les trois quarts s’attendent à ce qu’une attaque nuise à l’environnement tandis que plus de la moitié s’attendent à ce qu’elle cause des pertes de vie.
Les craintes croissantes concernant les conséquences nouvelles et plus extrêmes des cyberattaques font suite à une série de failles de sécurité très médiatisées dans le secteur de l’énergie ces dernières années. Les recherches de DNV indiquent également que les inquiétudes concernant les menaces émergentes ont augmenté après le conflit Russo-Ukrainien. Un peu plus des deux tiers des professionnels de l’énergie affirment que les récentes cyberattaques contre l’industrie ont poussé leurs organisations à apporter des changements majeurs à leurs stratégies et systèmes de sécurité.
« Les entreprises énergétiques s’attaquent à la sécurité informatique depuis plusieurs décennies. Cependant, la sécurisation des technologies opérationnelles (OT) – les systèmes informatiques et de communication qui gèrent, surveillent et contrôlent les opérations industrielles – est un défi plus récent et de plus en plus urgent pour le secteur », a déclaré « Trond Solberg », Directeur Général, Cyber Security, DNV. « À mesure que l’Operational Technology (OT) devient de plus en plus réseauté et connecté aux systèmes informatiques, les attaquants peuvent accéder et contrôler les systèmes exploitant des infrastructures critiques telles que les réseaux électriques, les parcs éoliens, les pipelines et les raffineries. Nos recherches révèlent que l’industrie de l’énergie prend conscience de la menace pour la sécurité OT, mais qu’il faut agir plus rapidement pour la combattre. Moins de la moitié des professionnels de l’énergie estiment que leur sécurité OT est aussi robuste que leur sécurité informatique ».
L’action tarde alors que certaines entreprises énergétiques « espèrent le meilleur » avec la technologie
Six répondants sur dix au niveau de la suite « C » à l’enquête de DNV reconnaissent que leur organisation est plus vulnérable à une attaque qu’elle ne l’a jamais été – mais certaines entreprises adoptent une approche « attendre et voir » pour faire face à la menace. Moins de la moitié des répondants de la suite « C » estiment qu’ils doivent apporter des améliorations urgentes au cours des prochaines années pour prévenir une attaque grave contre leur entreprise, et plus d’un tiers des professionnels de l’énergie affirment que leur entreprise aurait besoin d’être impactée par un incident grave avant d’investir dans leur défense.
Une explication de l’hésitation de certaines entreprises à investir dans la cyber sécurité peut être que la plupart des répondants pensent que leur organisation a, jusqu’à présent, évité une cyberattaque majeure. Moins d’un quart pensent avoir fait l’objet d’une violation grave au cours des cinq dernières années.
« Il est inquiétant de constater que certaines entreprises énergétiques adoptent une approche « espérer le meilleur » en matière de cyber sécurité plutôt que de s’attaquer activement aux cyber menaces émergentes. Cela établit des parallèles distincts avec l’adoption progressive de pratiques de sécurité physique dans l’industrie de l’énergie au cours des 50 dernières années », a déclaré le DG de DNV. « Il a fallu des événements tragiques tels que l’incident de Piper Alpha en 1988 et la catastrophe de Macondo en 2010 pour que l’industrie donne la priorité et institutionnalise les protocoles de sécurité mondiaux, et pour qu’une réglementation plus stricte soit mise en place. Notre recherche donne un signal fort que l’industrie doit faire des investissements urgents pour s’assurer que la cyber sécurité ne devienne pas la cause de futurs dommages à la vie, aux biens et à l’environnement », a-t-il ajouté.
Les angles morts de la cyber sécurité dans la chaîne d’approvisionnement énergétique suscitent l’inquiétude
DNV recommande que la première étape pour renforcer les défenses soit d’identifier où l’infrastructure critique est vulnérable aux attaques. « La Cyber Priority » révèle que, bien que de nombreuses organisations investissent dans la découverte de vulnérabilités, ces efforts ne sont pas suffisamment étendus pour inclure les entreprises avec lesquelles elles s’associent et auprès desquelles elles s’approvisionnent. Seuls 28% des professionnels de l’énergie travaillant dans l’Operational Technology déclarent que leur entreprise fait de la cyber sécurité de leur chaîne d’approvisionnement une priorité d’investissement. Cela contraste avec les 45% de répondants opérant dans les OT qui déclarent que les dépenses en mises à niveau du système informatique constituent une priorité d’investissement élevée.
« Les entreprises énergétiques peuvent avoir une surveillance complète de leurs propres vulnérabilités et avoir toutes les bonnes mesures en place pour gérer le risque, mais cela ne fera aucune différence s’il existe des vulnérabilités non découvertes dans leur chaîne d’approvisionnement », a déclaré « Jalal Bouhdada », fondateur et PDG d’ « Applied Risk », une entreprise de cyber sécurité industrielle acquise par DNV en 2021. « Notre recherche identifie l’accès à distance aux systèmes OT parmi les trois principales méthodes de cyberattaques potentielles sur l’industrie de l’énergie »
Plus de formation des salariés est nécessaire pour contrer les menaces de cyber sécurité énergétique
Malgré les menaces émergentes en matière de cyber sécurité, les recherches de DNV révèlent que moins d’un tiers des professionnels de l’énergie affirment avec confiance qu’ils savent exactement quoi faire s’ils étaient préoccupés par un risque potentiel ou une menace pour leur organisation.
Cette constatation souligne la nécessité pour les entreprises énergétiques d’investir dans la formation de leurs employés pour repérer les cas de tentatives criminelles d’accéder à leurs systèmes. Moins de six (6) professionnels de l’énergie sur dix (10) déclarent que la formation en cyber sécurité de leur employeur est efficace.
« Le personnel d’une entreprise est sa première ligne de défense contre les cyber attaques. Une formation efficace des salariés, associée à la garantie que vous disposez de l’expertise appropriée en matière de cyber sécurité, peut faire toute la différence pour protéger les infrastructures critiques » a déclaré « Jalal Bouhdada » avant d’ajouter « Notre recherche montre clairement que les entreprises doivent évaluer soigneusement leurs investissements pour tenir leurs employés bien informés de la manière d’identifier et de répondre aux incidents en temps opportun »
Source : https://www.energymagazinedz.com/?p=2291
