Washington s’inquiète de l’exposition du secteur de l’énergie au risque cyber

L’organisme d'audit, d'évaluation et d'investigation du Congrès des États-Unis, le GAO, s’alarme de l’obsolescence des systèmes d’information dans la filière offshore du gaz et du pétrole.

Partager
Washington s’inquiète de l’exposition du secteur de l’énergie au risque cyber

Dix ans après que le président Obama a demandé, en février 2013, aux gestionnaires d’infrastructures critiques, notamment dans le domaine du gaz et du pétrole, de mettre en œuvre des procédures afin de se protéger des cyberattaques, la branche législative du gouvernement fédéral des États-Unis pointe les vulnérabilités qui fragilisent l’ensemble des systèmes d’information des infrastructures énergétiques en mer. Avec à la clé des risques économiques, financiers et également environnementaux.

Obsolescence des logiciels

Dans un rapport publié en octobre 2022, le Government Accountability Office (GOA) dénonce l’obsolescence de nombre des logiciels sur lesquels reposent les activités des quelque 1600 installations présentes en mer pour exploiter/forer le gaz et le pétrole, et faire fonctionner les infrastructures de transport de ces hydrocarbures. Les investigations de l’instance états-unienne ont conduit à caractériser des cyberattaques ciblant précisément ces équipements. Les rapporteurs citent les travaux des services de renseignement des USA, qui dans une note de mars 2022, établissent même une liste de pays desquels émaneraient les cybermenaces dans ce domaine : la Chine, l'Iran, la Corée du Nord et la Russie.

L’interconnexion tardive des systèmes industriels de production de cette filière, leur branchement récent à des réseaux relativement ouverts comme Internet et la prise en compte progressive de la cybersécurité en matière de technologies opérationnelles expliquent en partie le caractère global de la surface d’attaque envisagée par les experts fédéraux.

Une aubaine pour les cybercriminels

En 2021, les auditeurs gouvernementaux constataient dans une publication officielle du GAO que le Bureau de la sécurité et de l'environnement (BSEE) du Département de la Sécurité intérieure des États-Unis (DHS), qui supervise les opérations pétrolières et gazières en mer, avait entamé des démarches pour faire face à ces risques de cybersécurité, mais n'avait "pas encore pris de mesures substantielles".

Un constat partagé dans nombre d’entreprises issues du secteur industriel, qui devraient déployer des dispositifs de protection à même de prendre en compte la combinaison de plusieurs générations de suites logicielles dont la maintenance de certaines n’est bien souvent même plus assurée par leurs éditeurs originels. Alors qu’elles continuent à fonctionner sans mesures de sécurité ad hoc. Une aubaine pour des pirates qui disposent alors d’un terrain favorable pour conduire leurs opérations d’intrusion.

Une situation qui se rencontre bien au-delà des géographies placées sous l’autorité administrative du GAO. Et donc dans la grande majorité des entités actives sur ce marché de l’énergie. Et pas seulement en mer.

Nicolas Arpagian, Directeur de la stratégie en cybersécurité de Trend Micro.
Auteur de Frontières.com, Editions de l’Observatoire (2022).


Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction.

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS