Article

Un cadre pratique pour protéger les sous-stations numériques

Explorez les défis uniques en matière de cybersécurité auxquels sont confrontées les sous-stations numériques et un cadre pratique permettant aux opérateurs de réseaux de renforcer leur posture de sécurité, en donnant aux ingénieurs plus de contrôle, plus de visibilité et des limites défensives plus solides que jamais.

En savoir plus sur les sous-stations numériques

Briser la chaîne de destruction de l'ICS

Les sous-stations numériques jouent un rôle clé dans la transformation numérique en cours des réseaux électriques. Bien que cette modernisation apporte des améliorations sans précédent en termes d'efficacité et de visibilité, elle ouvre également la porte à d'éventuels problèmes de cybersécurité. La convergence des technologies opérationnelles (OT) et des technologies de l'information (IT) dans les sous-stations numériques permet aux attaquants de provoquer des pannes de courant généralisées, d'endommager des équipements et de menacer la sécurité publique. Dans cet article, nous examinons les défis de cybersécurité auxquels sont confrontées les sous-stations numériques et proposons un cadre pratique aux opérateurs de réseaux pour renforcer leur dispositif de sécurité.

L'attaque du réseau électrique ukrainien en 2015 : un signal d'alarme

En décembre 2015, environ 225 000 citoyens ukrainiens ont été victimes d'une panne d'électricité, marquant ainsi un tournant en matière de sécurité des sous-stations numériques. Cette attaque, attribuée au groupe de menaces Sandworm à l'aide du malware BlackEnergy, était la première attaque réussie reconnue publiquement contre l'infrastructure électrique, entraînant une coupure de courant pour les clients.

Les assaillants ont mené une opération de cyberpiratage délibérée et bien planifiée en plusieurs étapes après des mois de reconnaissance et d'infiltration du réseau par le biais de campagnes de spear phishing et ont accédé aux réseaux informatiques de l'entreprise. À partir de là, les attaquants se sont tournés vers les réseaux OT des sous-stations, pour finalement utiliser une combinaison d'outils d'accès à distance légitimes et de microprogrammes malveillants pour perturber le service électrique et entraver les efforts de reprise.

Cet incident a révélé plusieurs problèmes de sécurité critiques pour les opérateurs de sous-stations numériques : segmentation réseau inadéquate entre les environnements informatiques et OT, surveillance insuffisante des réseaux OT, absence d'authentification multifactorielle pour l'accès à distance et visibilité limitée sur le fonctionnement des sous-stations.

Explorons comment relever ces défis et placer les sous-stations numériques sur une base solide en matière de cybersécurité.

c9535eff-9a54-464e-9c05-0960d993ad1b | Cybersecurity Visual 2022 1:1

Définir le problème : penser comme un attaquant

Afin de mieux comprendre comment protéger les sous-stations numériques, prenons le point de vue de l'attaquant en utilisant la Kill Chain du système de contrôle industriel. Cette chaîne de destruction organise les actions des attaquants en une série d'opérations qui se superposent pour produire l'effet escompté au bout de la chaîne (dans notre exemple en Ukraine, une perte de courant électrique). Pour nos besoins, nous utiliserons une version condensée de la chaîne de destruction, qui décrit les étapes suivantes : préparation, intrusion, passage à l'OT, exécution de l'OT et attaque.

Préparation

Les attaquants commencent par recueillir des informations sur leur cible. Pour les services publics, cela peut inclure l'identification de l'emplacement des sous-stations, la compréhension de l'architecture SCADA, la recherche des équipements des fournisseurs et la cartographie de l'infrastructure réseau. Les assaillants ukrainiens de 2015 ont passé des mois à étudier leurs cibles. De même, l'attaque du Colonial Pipeline en 2021 a débuté par une reconnaissance qui a permis d'identifier des identifiants VPN vulnérables.

Contrôles défensifs: Les services publics devraient minimiser leur empreinte numérique en limitant les informations accessibles au public sur la configuration des sous-stations et les systèmes de contrôle. Le training de sensibilisation à la sécurité des employés devrait mettre l'accent sur les risques liés au partage excessif de détails opérationnels sur les réseaux sociaux ou professionnels, ainsi que sur le traitement approprié des données sensibles.

Intrusion

Les attaquants accèdent à l'environnement cible. Les méthodes de saisie courantes incluent les e-mails de spear phishing, les mises à jour logicielles compromises, les clés USB infectées ou l'exploitation de systèmes connectés à Internet. Les attaquants ukrainiens ont utilisé le spear-phishing à l'aide de pièces jointes malveillantes de Microsoft Office, ce qui a permis d'installer le malware BlackEnergy et de prendre les mesures nécessaires pour y donner suite.

Contrôles défensifs: Suivez les meilleures pratiques en matière de cybersécurité informatique des entreprises, notamment des solutions robustes de sécurité des e-mails dotées de fonctionnalités avancées de protection contre les menaces et de sandboxing, des solutions antivirus/EDR pour les postes de travail des entreprises, des systèmes de détection des intrusions sur le réseau et des centres d'opérations de sécurité (internes ou gérés). Assurez-vous que les équipes OT sont alignées et mises à jour sur la stratégie de cybersécurité informatique de l'entreprise.

Passez à l'OT

Après avoir accédé aux réseaux informatiques de l'entreprise, les attaquants cherchent à étendre leur portée aux réseaux OT, comme ceux que l'on trouve dans les sous-stations numériques. Cela se fait généralement en exploitant des solutions d'accès à distance non sécurisées, en volant des informations d'identification valides sur des systèmes informatiques compromis ou en utilisant des appareils transitoires infectés tels que des téléphones et des ordinateurs portables. L'utilisation de clés USB infectées lors de l'attaque de Stuxnet est un exemple de la manière dont même des réseaux isolés peuvent être compromis. Lors de l'attaque en Ukraine, les attaquants ont utilisé des informations d'identification volées sur des systèmes informatiques pour accéder aux réseaux OT via des connexions VPN.

Contrôles défensifs: Établissez des règles strictes pour les supports amovibles et les appareils externes. Tenez un inventaire à jour de tous les logiciels et micrologiciels, et tenez les actifs à jour à l'aide de correctifs de sécurité signés numériquement (dans la mesure où les opérations le permettent). Les solutions de contrôle d'accès au réseau (NAC) peuvent empêcher des appareils non autorisés de se connecter aux réseaux de sous-stations, tandis que le réseau entre les réseaux informatiques et OT et les zones de sous-stations perturbe les mouvements latéraux. Déployez des systèmes de détection des intrusions industrielles (IDS) qui comprennent les protocoles OT et peuvent identifier les communications anormales. Sécurisez l'accès à distance à l'aide de l'authentification multifactorielle et assurez-vous que l'accès à distance tiers (généralement pour la maintenance des fournisseurs) est sécurisé de la même manière. Éliminez les informations d'identification par défaut sur tous les IED, relais et appareils réseau, idéalement en mettant en œuvre un contrôle d'accès basé sur les rôles. Enfin, des évaluations régulières de la vulnérabilité des réseaux OT permettent d'identifier les points faibles avant que les attaquants ne le fassent.

Exécutez une attaque OT

La dernière étape consiste à ce que les attaquants atteignent leurs objectifs, qu'il s'agisse de vol de données, de manipulation du système ou d'actions destructrices. En Ukraine, cela impliquait d'ouvrir des disjoncteurs (via les HMI des sous-stations) pour provoquer des pannes de courant. Les attaquants ukrainiens ont utilisé le téléchargement de micrologiciels malveillants pour couper les communications avec les appareils de terrain tout en lançant des attaques par déni de service contre des centres d'appels, ce qui a retardé les efforts de restauration et frustré les clients qui n'ont pas pu obtenir de réponses.

Contrôles défensifs: Déployez des systèmes instrumentés de sécurité (SIS) qui fonctionnent indépendamment des systèmes de contrôle. Effectuez des sauvegardes hors ligne des configurations et vérifiez les procédures de restauration. Organisez régulièrement des exercices de simulation et des exercices de réponse aux incidents spécifiques aux environnements OT, afin de garantir une réponse rapide même en cas d'échec des contrôles de cybersécurité.

Tout mettre en place : un cadre exploitable

Lorsque vous défendez des sous-stations numériques, la mise en œuvre de contrôles de sécurité ne représente que la moitié de la bataille. Les compagnies d'électricité doivent également aligner leurs contrôles sur les cadres réglementaires et industriels établis et adapter les mesures défensives aux exigences du NERC CIP et au NIST Cybersecurity Framework (CSF).

Alignement NERC CIP

Les normes de protection des infrastructures critiques (CIP) de la North American Electric Reliability Corporation fournissent des exigences obligatoires en matière de cybersécurité des réseaux électriques de masse. Les principales normes relatives aux sous-stations numériques sont les suivantes :

CIP-004 (Personnel et formation): Se concentre sur l'élément le plus critique de la cybersécurité : les humains. Définit les exigences en matière de recrutement, de formation et d'intégration et de déconnexion.

CIP-005 (Electronic Security Perimeters): Aborde la segmentation du réseau et les mesures de contrôle d'accès abordées dans le cadre de la défense contre les intrusions et du passage à l'OT.

CIP-007 (System Security Management) : Couvre le « blocage et la résolution » quotidiens de la cybersécurité : gestion des correctifs, prévention des malwares, surveillance des événements de sécurité et gestion des comptes. Cela inclut les pratiques de protection des terminaux, de journalisation et de gestion des vulnérabilités essentielles à une détection précoce.

CIP-008 (Planification de la réponse aux incidents) : Veille à ce que les organisations développent, maintiennent et mettent en pratique leur capacité à répondre aux attaques.

CIP-009 (Planification de la reprise) : Se concentre sur le retour à la « normale » après une attaque. Veille à ce que les procédures de sauvegarde soient déployées et vérifiées, et à ce que la rapidité et la précision de la restauration soient testées périodiquement.

CIP-010 (Gestion des modifications de configuration) : Définit les configurations de base pour les actifs et met en place un processus structuré de gestion des modifications pour ces bases de référence, y compris des tests de correctifs pour l'intégrité opérationnelle. Inclut également les exigences relatives aux évaluations périodiques des vulnérabilités.

CIP-015 (Internal Network Security Monitoring) : La nouvelle norme CIP, approuvée à l'été 2025 et qui entrera en vigueur début octobre 2028. Le CIP-015 vise à savoir ce qui se passe « sur le réseau » : surveiller les réseaux OT, détecter toute activité anormale et prendre des décisions de réponse éclairées.

Intégration du NIST au CSF

Le NIST Cybersecurity Framework propose une approche flexible basée sur les risques, organisée autour de six fonctions principales qui constituent une stratégie de cybersécurité complète :

Gouverner: Établir et suivre la stratégie, les attentes et les politiques de gestion des risques de cybersécurité de l'organisation.

Identifiez : Développez une compréhension commune des risques de cybersécurité liés aux systèmes, aux actifs, aux données et aux personnes. Gagnez en visibilité sur la situation de sécurité actuelle et les risques associés.

Protégez : Mettez en œuvre les contrôles techniques évoqués précédemment : segmentation du réseau, contrôles d'accès, protection des terminaux, etc. Essayez de réduire la surface d'attaque globale qu'un attaquant peut utiliser pour prendre pied sur le réseau.

Détecter : Déployez des capacités permettant d'identifier correctement la survenue d'événements malveillants en matière de cybersécurité en temps opportun. Utilisez les données agrégées à partir d'une grande variété d'actifs pour ajouter du contexte à la visibilité.

Répondez : Dès qu'une cyberattaque est détectée, prenez des mesures pour ralentir la progression des attaquants, en atténuer l'impact et, en fin de compte, expulser les attaquants du réseau.

Récupérer : Après avoir neutralisé une menace, rétablissez toutes les capacités ou tous les services qui ont été altérés à la suite de l'incident. Utilisez les leçons apprises pour élaborer votre future stratégie de sécurité.

Combinant le CIP de la NERC, le NIST CSF et les commandes défensives

Exigence NERC CIP	Fonction (s) NIST CSF	Exemples de contrôles défensifs
CIP-004	Gouverner, identifier	Sensibilisation des employés à la sécurité
CIP-005	Identifier, protéger	Pare-feux, zones démilitarisées, accès distant sécurisé
CIP-007	Protéger, détecter, répondre, récupérer	Patching, journalisation, renforcement du système
CIP-008	Répondez	Exercices de réponse aux incidents
CIP-009	Récupérer	Sauvegardes hors ligne, tests et procédures de restauration
CIP-010	Gouverner, identifier, protéger	Gestion du changement, évaluations des vulnérabilités
CIP-015	Détectez, répondez	ID réseau OT, journalisation du réseau

Conclusion

L'attentat de 2015 en Ukraine a démontré que les sous-stations numériques constituent des cibles critiques où les cybervulnérabilités peuvent se traduire directement par des conséquences physiques. Cependant, en comprenant la chaîne de destruction de l'attaquant et en mettant en œuvre des défenses multicouches, les utilitaires peuvent réduire son profil de risque de manière significative. Avec l'adhésion des équipes informatiques et OT et une application réfléchie de la stratégie, les sous-stations numériques peuvent bénéficier d'une base de sécurité exceptionnellement solide et être préparées à affronter toutes les prochaines tentatives des attaquants.

Cet article a été initialement publié dans Énergie propre en Amérique du Nord.