Article

Un cadre pratique pour protéger les sous-stations numériques

Explorez les défis uniques en matière de cybersécurité auxquels sont confrontées les sous-stations numériques et un cadre pratique permettant aux opérateurs de réseau de renforcer leur posture de sécurité en donnant aux ingénieurs plus de contrôle, plus de perspicacité et des limites défensives plus solides que jamais auparavant.

En savoir plus sur les sous-stations numériques

Briser la chaîne de l'ICS Kill Chain

Les sous-stations numériques sont un élément clé de la transformation numérique en cours des systèmes d'alimentation électrique. Bien que cette modernisation apporte des améliorations d'efficacité et de visibilité sans précédent, elle ouvre également la porte à des problèmes potentiels de cybersécurité. La convergence de la technologie opérationnelle (OT) et de la technologie de l'information (TI) dans les sous-stations numériques crée des opportunités pour les attaquants d'infliger des pannes de courant généralisées, des dommages à l'équipement et des menaces pour la sécurité publique. Dans cet article, nous examinons les défis de cybersécurité auxquels sont confrontées les sous-stations numériques et fournissons un cadre pratique aux opérateurs de réseau pour renforcer leur posture de sécurité.

L'attaque du réseau électrique ukrainien de 2015 — Un signal d'alarme

En décembre 2015, environ 225 000 citoyens ukrainiens ont connu une panne d'électricité, ce qui a marqué un tournant dans la sécurité des sous-stations numériques. L'attaque, attribuée au groupe menaçant Sandworm utilisant le malware BlackEnergy, a marqué la première attaque réussie reconnue publiquement contre l'infrastructure d'énergie électrique entraînant une perte d'énergie pour les clients.

Les attaquants ont exécuté une opération de cyberpiratage délibérée, bien planifiée et en plusieurs étapes après des mois de reconnaissance et d'infiltration de réseau par le biais de campagnes de spear-phishing et ont eu accès aux réseaux informatiques d'entreprise du service public. À partir de là, les attaquants ont pivoté vers les réseaux OT des sous-stations, utilisant finalement une combinaison d'outils d'accès à distance légitimes et de microprogrammes malveillants pour perturber le service d'alimentation et entraver les efforts de récupération.

Cet incident a révélé plusieurs problèmes de sécurité critiques pour les opérateurs de sous-stations numériques : segmentation inadéquate du réseau entre les environnements IT et OT, surveillance insuffisante des réseaux OT, absence d'authentification multifacteur pour l'accès à distance et visibilité limitée sur les opérations des sous-stations.

Explorons comment résoudre ces défis et mettre les sous-stations numériques sur des bases solides en matière de cybersécurité.

c9535eff-9a54-464e-9c05-0960d993ad1b | Cybersecurity Visual 2022 1:1

Définir le problème : Penser comme un attaquant

Afin de mieux comprendre comment protéger les sous-stations numériques, prenons le point de vue de l'attaquant en utilisant la chaîne de destruction du système de contrôle industriel. Cette chaîne de destruction organise les actions des attaquants en une série d'opérations qui se renforcent les unes sur les autres pour produire l'effet escompté à la fin de la chaîne (dans notre exemple en Ukraine, perte d'énergie électrique). Pour nos besoins, nous utiliserons une version condensée de la chaîne d'élimination, décrivant les étapes comme Préparation, Intrusion, Pivot vers OT, Exécuter l'OT et Attaquer.

Préparation

Les attaquants commencent par recueillir des renseignements sur leur cible. Pour les services publics, cela peut inclure l'identification des emplacements des sous-stations, la compréhension de l'architecture SCADA, la recherche d'équipement des fournisseurs et la cartographie de l'infrastructure réseau. Les attaquants ukrainiens de 2015 ont passé des mois à étudier leurs cibles. De même, l'attaque du Colonial Pipeline 2021 a commencé par une reconnaissance qui a identifié des informations d'identification VPN vulnérables.

Contrôles défensifs: Les services publics devraient minimiser leur empreinte numérique en limitant les informations accessibles au public sur les configurations des sous-stations et les systèmes de contrôle. La training de sensibilisation à la sécurité des employés devrait mettre l'accent sur les risques de partage excessif des détails opérationnels sur les médias sociaux ou les réseaux professionnels, ainsi que sur le traitement approprié des données sensibles.

Intrusion

Les attaquants ont accès à l'environnement cible. Les méthodes de saisie courantes comprennent les e-mails de spear-phishing, les mises à jour logicielles compromises, les clés USB infectées ou l'exploitation de systèmes connectés à Internet. Les attaquants ukrainiens ont utilisé le spear-phishing avec des pièces jointes malveillantes de Microsoft Office, ce qui a permis l'installation du malware BlackEnergy et la prise d'pied nécessaire pour les actions de suivi.

Contrôles défensifs: Suivez les meilleures pratiques pour la cybersécurité informatique d'entreprise, y compris des solutions robustes de sécurité des e-mails avec des capacités avancées de protection contre les menaces et de sandboxing, des solutions antivirus/EDR pour les postes de travail d'entreprise, des systèmes de détection d'intrusion réseau et des centres d'opérations de sécurité (services internes ou gérés). Veiller à ce que les équipes OT soient alignées et à jour avec la stratégie de cybersécurité informatique de l'entreprise.

Pivoter vers OT

Ayant eu accès aux réseaux informatiques d'entreprise, les attaquants cherchent à étendre leur portée aux réseaux OT comme ceux trouvés dans les sous-stations numériques. Cela se fait généralement par l'exploitation de solutions d'accès à distance non sécurisées, le vol d'informations d'identification utilisateur valides à partir de systèmes informatiques compromis, ou l'utilisation de dispositifs transitoires infectés comme les téléphones et les ordinateurs portables. L'utilisation de clés USB infectées dans l'attaque Stuxnet est un exemple de la façon dont même les réseaux à interstices aériens peuvent être compromis. Lors de l'attaque en Ukraine, des attaquants ont utilisé des informations d'identification volées provenant de systèmes informatiques pour accéder aux réseaux OT via des connexions VPN.

Contrôles défensifs: Établir des politiques strictes pour les supports amovibles et les périphériques externes. Maintenez un inventaire des actifs à jour de tous les logiciels et microprogrammes, et gardez les actifs à jour avec des correctifs de sécurité signés numériquement (dans la mesure où les opérations le permettent). Les solutions de contrôle d'accès réseau (NAC) peuvent empêcher les appareils non autorisés de se connecter aux réseaux de sous-stations, tandis que le réseau entre les réseaux IT et OT et les zones de sous-stations perturbera le mouvement latéral. Déployer des systèmes de détection d'intrusion industrielle (IDS) qui comprennent les protocoles OT et peuvent identifier les communications anormales. Sécurisez l'accès à distance à l'aide de l'authentification multifacteur et assurez-vous que l'accès à distance tiers (généralement pour la maintenance du fournisseur) est sécurisé de la même manière. Éliminez les informations d'identification par défaut sur tous les EEI, relais et périphériques réseau, en mettant idéalement en œuvre un contrôle d'accès basé sur les rôles. Enfin, des évaluations régulières des vulnérabilités des réseaux OT aident à identifier les faiblesses avant que les attaquants ne le fassent.

Exécuter une attaque OT

La dernière étape implique que les attaquants atteignent leurs objectifs, qu'il s'agisse de vol de données, de manipulation du système ou d'actions destructrices. En Ukraine, cela signifiait ouvrir des disjoncteurs (via des IHM de sous-station) pour créer des pannes de courant. Les attaquants ukrainiens ont utilisé des téléchargements de microprogrammes malveillants pour couper les communications vers les appareils de terrain tout en exécutant des attaques par déni de service contre les centres d'appels, ce qui a retardé les efforts de récupération et frustré les clients incapables d'obtenir des réponses.

Contrôles défensifs: Déployer des systèmes instrumentés de sécurité (SIS) qui fonctionnent indépendamment des systèmes de contrôle. Maintenir des sauvegardes hors ligne des configurations et vérifier les procédures de restauration. Effectuez régulièrement des exercices sur table et des exercices de réponse aux incidents spécifiques aux environnements OT, pour assurer une réponse rapide même lorsque les contrôles de cybersécurité échouent.

Mettre tout ensemble — Un cadre exploitable

Lorsque la défense des sous-stations numériques, la mise en œuvre de contrôles de sécurité n'est que la moitié de la bataille et que les services publics d'électricité doivent également aligner les contrôles sur les cadres réglementaires et industriels établis et adapter les mesures défensives aux exigences CIP de la NERC et au cadre de Cybersecurity (CSF) du NIST.

Alignement NERC CIP

Les normes de protection des infrastructures critiques (CIP) de North American Electric Reliability Corporation fournissent des exigences obligatoires pour la cybersécurité des systèmes d'alimentation en vrac. Les principales normes pertinentes pour les sous-stations numériques comprennent :

CIP-004 (Personnel et formation): Se concentre sur l'élément le plus critique de la cybersécurité : les humains. Dépose les exigences pour l'embauche, la training et l'intégration et l'offboarding.

CIP-005 (Périmètres de Security électroniques): Aborder la segmentation du réseau et les mesures de contrôle d'accès discutées dans la défense contre les intrusions et le pivotement vers OT.

CIP-007 (Gestion de la Security du système) : Couvre le « blocage et lutte » quotidiens de la cybersécurité : gestion des correctifs, prévention des logiciels malveillants, surveillance des événements de sécurité et gestion des comptes. Cela inclut les pratiques de protection des endpoints, de journalisation et de gestion des vulnérabilités essentielles pour la détection précoce.

CIP-008 (Planification de la réponse aux incidents) : Veille à ce que les organisations développent, maintiennent et mettent en pratique leur capacité à répondre aux attaques.

CIP-009 (Planification du rétablissement) : Se concentre sur le retour à la « normale » après une attaque. S'assure que les procédures de sauvegarde sont déployées et vérifiées, et que la restauration est testée périodiquement pour la vitesse et la précision.

CIP-010 (Gestion des changements de configuration) : Définit les configurations de base pour les actifs et établit un processus structuré de gestion des changements pour ces lignes de base, pour inclure des tests de correctifs pour l'intégrité opérationnelle. Comprend également les exigences pour les évaluations périodiques de vulnérabilité.

CIP-015 (Surveillance interne de la Security du réseau) : La plus récente norme CIP, approuvée à l'été 2025 et qui entrera en vigueur à partir d'octobre 2028. CIP-015 consiste à savoir ce qui se passe « sur le fil » : surveiller les réseaux OT, détecter toute activité anormale et prendre des décisions éclairées en matière de réponse.

Intégration NIST CSF

Le cadre de Cybersecurity du NIST offre une approche flexible et basée sur les risques organisée autour de six fonctions principales qui représentent une stratégie de cybersécurité complète :

Gouverner: Établir et surveiller la stratégie, les attentes et les politiques de gestion des risques de cybersécurité de l'organisation.

Identifier : Construire une compréhension commune du risque de cybersécurité entre les systèmes, les actifs, les données et les personnes. Gagnez en visibilité sur la posture de sécurité actuelle et les risques associés.

Protéger : Mettre en œuvre les contrôles techniques évoqués précédemment : segmentation du réseau, contrôles d'accès, protection des points de terminaison, etc. Visez à réduire la surface d'attaque globale qu'un attaquant peut utiliser pour prendre pied dans le réseau.

Détecter : Déployer des capacités pour identifier correctement la survenue d'événements malveillants de cybersécurité en temps opportun. Utilisez des données agrégées à partir d'une grande variété d'actifs pour ajouter du contexte à la visibilité.

Répondez : Dès la détection d'une cyberattaque, prenez des mesures pour atténuer les progrès des attaquants, atténuer l'impact et finalement expulser les attaquants du réseau.

Récupérer : Après avoir neutralisé une menace, restaurez toutes les capacités ou services qui ont été altérés par l'incident. Utilisez les leçons apprises pour éclairer la stratégie de sécurité future.

Combinaison NERC CIP, NIST CSF et contrôles défensifs

Exigence NERC CIP	Fonction (s) CSF NIST	Exemples de contrôle défensif
CIP-004	Gouverner, identifier	Sensibilisation des employés à la sécurité
CIP-005	Identifier, protéger	Pare-feu, DMZ, accès distant sécurisé
CIP-007	Protéger, Détecter, Répondre, Récupérer	Correctifs, journalisation, durcissement du système
CIP-008	Répondre	Exercices de réponse aux incidents
CIP-009	Récupérer	Sauvegardes hors ligne, procédures de récupération des tests
CIP-010	Gouverner, identifier, protéger	Gestion du changement, évaluation des vulnérabilités
CIP-015	Détecter, répondre	ID réseau OT, enregistrement réseau

Conclusion

L'attaque de 2015 en Ukraine a démontré que les sous-stations numériques représentent des cibles critiques où les cybervulnérabilités peuvent se traduire directement par des conséquences physiques. Cependant, en comprenant la chaîne de destruction de l'attaquant et en mettant en œuvre des défenses en couches, les utilitaires peuvent réduire considérablement leur profil de risque. Avec l'adhésion des équipes IT et OT, et une application réfléchie de la stratégie, les sous-stations numériques peuvent être placées sur des bases de sécurité exceptionnellement solides et être préparées à tout ce que les attaquants pourraient essayer ensuite.

Cet article a été initialement publié dans Énergie propre nord-américaine.