Les acteurs de l’énergie sont-ils prêts face à la menace cyber ?
D’ici un an à peine, la directive NIS 21, visant à renforcer la cybersécurité sur le marché européen, entrera en vigueur en France. Elle concerne tout particulièrement les moyennes et grandes entreprises des secteurs considérés comme essentiels, comme les transports, la santé, mais aussi l’énergie. Ces acteurs n’ont que quelques mois pour se conformer à cette réglementation et entrer dans une nouvelle ère en matière de cybersécurité : plus rigoureuse mais surtout plus proactive !
Protéger les infrastructures critiques face aux cyberattaques
Réponse aux incidents 24 heures sur 24, cryptographies, formation des collaborateurs, contrôle renforcé de la gestion des accès… La directive NIS 2 prévoit toute une batterie de mesures auxquelles sont tenues de se soumettre les organisations des secteurs dits essentiels. Pour y veiller, des autorités compétentes ont été désignées et auront le pouvoir de procéder à des inspections, à tout moment.
Ce nouveau cadre réglementaire, s’il peut paraître contraignant, a surtout pour ambition de protéger nos infrastructures critiques. Parmi l’ensemble des activités économiques, l’énergie est le 4ème secteur le plus touché par les cyberattaques, selon le rapport 2022 de X-Force Threat Intelligence2. Or, si la plupart des acteurs de ce secteur s’emploient à mettre de l’ordre dans leur sécurité, beaucoup le font encore de manière incomplète, oubliant des pans entiers de leur système, en particulier leurs API (Application Programming Interface). Ainsi, plus d’un tiers des organisations n’ont mis en place aucune stratégie de sécurité spécifique dans ce domaine. Les API, ces solutions informatiques qui permettent à des applications de communiquer entre elles et de s’échanger des données, ouvrent pourtant un accès direct aux informations sensibles. Selon Gartner, elles deviendront dans les prochaines années les cibles les plus courantes des attaques, 40 % d’entre elles qui y seront confrontées.
Sécuriser les API : un enjeu vital pour les acteurs de l’énergie
En parallèle, le recours aux API se développe de manière exponentielle. Dans le secteur de l’énergie, elles sont utilisées pour collecter et partager des données sur la distribution, la production, la consommation. Les acteurs du marché y ont également recours pour gérer l’approvisionnement ou les programmes de réponses à la demande. En visant ces applications, les cybercriminels ont non seulement accès à des informations confidentielles, comme les données clients ou financières, mais ils peuvent aussi paralyser le système productif. Les conséquences, sur les prix et l’économie, mais aussi sur le fonctionnement de services essentiels peuvent être dramatiques. D’autant que le risque d’effet domino est majeur. En effet, les API font souvent partie d’un écosystème plus large de services qui communiquent entre eux. Une faille au sein d’une seule entreprise peut ainsi entraîner des répercussions en chaine et à très grande échelle.
Une approche proactive et spécifique de la cybersécurité
Face à ce danger, une observation attentive et régulière des API s’avère indispensable. En permettant de mieux comprendre leur fonctionnement habituel au moment de l’exécution, elle facilitera l’identification plus rapide des anomalies. Des tests, en phase de préproduction, devront également être effectués, afin de mieux prévenir les attaques. Chaque API étant unique, une approche spécifique est toutefois requise pour chacune d’elle, ce qui est loin d’être simple tant leur écosystème est complexe.
C’est pourquoi les entreprises ne doivent pas hésiter à se faire accompagner. Des partenaires experts pourront les aider à obtenir une visibilité complète du paysage API de leur organisation. Ils mettront en exergue les points d’extrémité et les risques associés dans l’ensemble des environnements applicatifs. Aussi, ils formuleront des recommandations pour remédier aux vulnérabilités, en amont. À l’aide d’algorithmes avancés de machine learning, ou de techniques d’analyse comportementale, ces experts pourront neutraliser les menaces potentielles en temps réel, en détectant automatiquement dans le trafic API les comportements malveillants.
Une chose est sûre : les solutions existent et, comme toujours, mieux vaut prévenir que guérir. Reste, pour les entreprises, à prendre réellement la menace au sérieux en anticipant, ce à quoi la directive NIS 2 les encourage aujourd’hui. Il s’agit là de l’unique façon de garantir un avenir numérique sûr, au sein duquel nos infrastructures vitales seront protégées, et nous protègeront.
1 La directive NIS 2 (Network and Information System Security) succède à la directive NIS et a été votée par les députés européens le 10 novembre 2022. Elle concerne principalement les secteurs essentiels comme les infrastructures énergétiques, les aéroports, les chemins de fer, la santé, les fournisseurs d’eau, banques mais aussi les fournisseurs de cloud, les data centers, les réseaux publics de communications électroniques, les services postaux, la production alimentaire, les eaux usées, la gestion des déchets ou encore le secteur spatial, etc.
2 Rapport Force Threat Intelligence Index 2022, IBM Security
