Par Arnaud Le Hung, Senior Channel Account Manager, France & Iberia chez BlackBerry
Plus que jamais, le changement climatique et la course à la neutralité carbone sont au cœur des préoccupations. Dans un contexte d’inflation en France, mais aussi dans le monde entier principalement au niveau des prix du carburant et de l’énergie, les politiques et investissements prennent la direction de la transition écologique notamment via l’adoption massive de véhicules électriques (VE), d’infrastructures de recharge et d’énergies renouvelables. Par anticipation et au travers du plan France Relance, le gouvernement français s’est donné pour objectif d’économiser plus de 6 millions de tonnes de CO2 d’ici 2030.
Alors qu’une véritable course contre la montre s'est engagée, les responsables cybersécurité ne sont pas en reste. De leurs côtés, ils ont adressé des avertissements auprès du grand public face à l’augmentation des attaques contre les objets connectés et autres endpoints connectés à ces réseaux. De plus, dans un environnement géopolitique instable et particulièrement tendu, l’État et ses services dédiés se préoccupent également de nouvelles cyber-attaques sur les infrastructures critiques et tout particulièrement sur la chaîne d'approvisionnement informatique via les fournisseurs de services gérés (MSP).
Les risques liés aux énergies renouvelables, une cyber-préoccupation
Malgré le plan France Relance et les actions de transition écologique en cours, il faut néanmoins rappeler que la cybersécurité doit aller de pair avec durabilité.
Si l'explosion des endpoints permettra de réaliser des économies et d’avoir une consommation plus efficace dans ce contexte compliqué, cela engendrera une plus forte exposition des infrastructures à la menace. On peut tout à fait imaginer que les entreprises et les services publics miseront davantage sur les dispositifs et systèmes dits à « longue durée de vie », tels que les villes et les véhicules intelligents, mais ces dispositifs seront potentiellement plus vulnérables face à la cybermenace de l’Y2Q (l’année 0 de l'informatique quantique qui se caractérise par la peur des bugs comme nous avons pu connaître avec le célèbre « bug de l’an 2000 »).
Bien que la France ait déjà fait des progrès encourageants dans le renforcement de la sécurité nationale et de la cyber-résilience, elle doit encore légiférer pour encadrer ce domaine spécifique. Toutefois, il ne faut pas se leurrer : la législation ne suffira pas à elle-seule à résoudre la complexité et les vulnérabilités de certains secteurs tels que l'énergie où la cyber-protection des IoT a un impact sur les environnements d’aujourd’hui et de demain.
La convergence de la technologie opérationnelle (OT) et de la technologie de l'information (IT) dans ces industries – qu’on peut appeler les « technologies physiques et numériques » – représente un danger évident. Plus le matériel, les logiciels et les systèmes existants sont connectés, plus il y aura de vulnérabilités. Si des mesures ne sont pas prises, comme l'utilisation préventive de l'intelligence artificielle (IA) pour prévoir les attaques avant qu’elles n’arrivent, les acteurs de la menace trouveront toujours n'importe quel moyen pour pénétrer ces réseaux connectés, et ainsi provoquer des conséquences désastreuses.
Le facteur humain à prendre en compte
Intéressons-nous un moment à l’exploitation de l’énergie solaire. Dans de nombreux cas, les panneaux solaires sont connectés à Internet, afin de suivre et de contrôler facilement leurs activités à partir d'applications sur smartphone ou tablette. Si ne serait-ce qu'UN seul de ces panneaux solaires présente une vulnérabilité logicielle, les cybercriminels seront en mesure de l'exploiter pour rentrer et attaquer le réseau électrique dans sa globalité. Prenons un autre exemple de menace imminente : les chargeurs de véhicules électriques. Préoccupé par la complexité croissante des interactions entre les couches cybernétiques et physiques dans le secteur de l'énergie, Yury Dvorkin, professeur adjoint d'ingénierie électrique et informatique à la NYU Tandon School of Engineering, a publié des recherches sur les stations de recharge publiques de VE qui pourraient devenir un levier pour les cyberattaques sur le réseau énergétique américain.
Alors que les recharges pour VE s’installent de plus en plus sur le territoire, la cybersécurité doit toujours rester une priorité, et ce dès sa conception. À l’échelle planétaire, la chaîne d'approvisionnement informatique va continuer de s'interconnecter ; par conséquent chaque élément de cette chaîne peut devenir un « maillon faible ». Bien au-delà du vol de données et de l'interruption des activités – à craindre particulièrement pour les réseaux électriques, d'hôpitaux et de transports – les cyber-incidents peuvent entraîner des dommages physiques et la destruction de l'environnement.
Le cabinet Gartner a prédit que d'ici 2025, les cyber-attaquants se seront militarisés et auront investi les environnements technologiques opérationnels pour toucher l’intégrité physique des êtres humains. Il prévoit également que l'impact financier de ces attaques sur les systèmes cyber-physiques (CPS) entraînant des pertes humaines, dépasserait les 50 Mrds$ d'ici 2023. La responsabilité des incidents de sécurité liés aux CPS engagera la responsabilité des entreprises mais aussi celles de 75% des PDG en tant que personne d'ici 2024. Si l'on considère que la France dispose d’industries particulièrement importantes pour le pays - telles que l'énergie, l'agriculture, la santé et les transports - les enjeux sont désormais encore plus élevés pour ces dirigeants.
Des moyens de se prémunir de ces attaques
Alors que de plus en plus d'industries continuent d'adopter les initiatives d’économie d’énergie en investissant dans des dispositifs et des infrastructures intelligents et durables, comment la France peut-elle protéger ces dispositifs « physiques » et les réseaux auxquels ils sont connectés ? Il n’est plus question de se contenter uniquement au respect des normes de sécurité élémentaires ou de se cantonner aux obligations de déclaration après incident. Il faut envisager une approche Prevention First pour garantir une sécurité intelligente, du système d'exploitation aux endpoints.
Cela peut s’inclure par l’intégration de la sécurité dès la conception, en s'appuyant sur des logiciels certifiés de sécurité au niveau des systèmes de contrôle, mais aussi par la protection de la chaîne d'approvisionnement en logiciels. Les fabricants ont désormais accès à des outils d'analyse de la composition des logiciels pour détecter les vulnérabilités tout au long de la chaîne d'approvisionnement en logiciels. Cela peut également passer par l’utilisation d’outils utilisant l'IA et le Machine Learning pour mettre en place une posture de cybersécurité axée sur la prévention pour les terminaux et les réseaux. Autre levier non-négligeable, il faut remédier au manque de compétences et à la « fatigue des alertes », en complétant les équipes IT par des services gérés offrant un accès à des chasseurs de menaces et des analystes en cybersécurité qualifiés. Enfin, il est aussi possible d’utiliser des moyens de gestion des urgences critiques : il s’agit simplement d’une technologie d'alerte intelligente qui offre des communications fiables via un réseau sécurisé pour assurer la sécurité des personnes. Tous ces moyens peuvent renforcer un système critique dont le fonctionnement précieux ne saurait être violé.
Alors que nous nous efforçons d'améliorer notre planète, il est tout aussi important de veiller à la sécurité des données, des objets et des personnes. Il est donc essentiel que les secteurs publics et privés, à l'échelle locale et internationale, collaborent plus étroitement pour garantir la fiabilité de l'innovation dans le domaine des énergies vertes.
En plaçant la cybersécurité au centre de la durabilité, la France peut contribuer au « Security by design » à chaque niveau et mieux se préparer aux risques que courent les IoT sur le chemin de la réduction énergétique.