Sécuriser la révolution énergétique et l’avenir de l’IoT

Au début de 2021, les Américains vivant sur la côte Est ont reçu une leçon claire sur l’importance croissante de la cybersécurité dans le secteur de l’énergie. Une attaque de ransomware a frappé la société qui exploite le Colonial Pipeline, la principale artère d’infrastructure qui transporte près de la moitié de tous les combustibles liquides de la côte du Golfe vers l’est des États-Unis. Sachant qu’au moins certains de leurs systèmes informatiques avaient été compromis et incapable d’être certain de l’étendue de leurs problèmes, l’entreprise a été obligée de recourir à une solution de force brute : fermer l’ensemble du pipeline.

Leo Simonovich est vice-président et responsable mondial de la cybersécurité industrielle et de la sécurité numérique chez Siemens Energy.

L’interruption de la livraison de carburant a eu des conséquences énormes. Les prix du carburant ont immédiatement grimpé en flèche. Le président des États-Unis s’est impliqué, essayant d’assurer aux consommateurs et aux entreprises paniqués que le carburant serait bientôt disponible. Cinq jours et des millions de dollars de dommages économiques plus tard, l’entreprise a payé une rançon de 4,4 millions de dollars et a rétabli ses opérations.

Ce serait une erreur de voir dans cet incident l’histoire d’un seul pipeline. Dans le secteur de l’énergie, de plus en plus d’équipements physiques qui fabriquent et transportent du carburant et de l’électricité à travers le pays et dans le monde reposent sur des équipements en réseau à commande numérique. Les systèmes conçus et fabriqués pour les opérations analogiques ont été modernisés. La nouvelle vague de technologies à faibles émissions, du solaire à l’éolien en passant par les turbines à cycle combiné, est intrinsèquement une technologie numérique, utilisant des contrôles automatisés pour tirer chaque efficacité de leurs sources d’énergie respectives.

Pendant ce temps, la crise du covid-19 a accéléré une tendance distincte vers un fonctionnement à distance et une automatisation de plus en plus sophistiquée. Un grand nombre de travailleurs sont passés de la lecture des cadrans dans une usine à la lecture des écrans depuis leur canapé. Des outils puissants pour changer la façon dont l’alimentation est produite et acheminée peuvent désormais être modifiés par toute personne sachant comment se connecter.

Ces changements sont d’excellentes nouvelles : le monde obtient plus d’énergie, moins d’émissions et moins de prix. Mais ces changements mettent également en évidence les types de vulnérabilités qui ont brutalement interrompu le pipeline colonial. Les mêmes outils qui rendent les travailleurs légitimes du secteur de l’énergie plus puissants deviennent dangereux lorsqu’ils sont détournés par des pirates. Par exemple, des équipements difficiles à remplacer peuvent recevoir des commandes pour se secouer, mettant des morceaux d’un réseau national hors service pendant des mois d’affilée.

Pour de nombreux États-nations, la capacité d’appuyer sur un bouton et de semer le chaos dans l’économie d’un État rival est hautement souhaitable. Et plus l’infrastructure énergétique devient hyperconnectée et gérée numériquement, plus les cibles offrent exactement cette opportunité. Il n’est donc pas surprenant qu’une part croissante des cyberattaques observées dans le secteur de l’énergie soient passées du ciblage des technologies de l’information (TI) au ciblage des technologies d’exploitation (OT), les équipements qui contrôlent directement les opérations physiques des usines.

Pour rester à la hauteur du défi, les responsables de la sécurité de l’information (CISO) et leurs centres d’opérations de sécurité (SOC) devront mettre à jour leurs approches. La défense des technologies d’exploitation appelle des stratégies différentes – et une base de connaissances distincte – que la défense des technologies de l’information. Pour commencer, les défenseurs doivent comprendre l’état de fonctionnement et les tolérances de leurs actifs – une commande pour pousser de la vapeur à travers une turbine fonctionne bien lorsque la turbine est chaude, mais peut la casser lorsque la turbine est froide. Des commandes identiques peuvent être légitimes ou malveillantes, selon le contexte.

Même la collecte des données contextuelles nécessaires à la surveillance et à la détection des menaces est un cauchemar logistique et technique. Les systèmes énergétiques typiques sont composés d’équipements de plusieurs fabricants, installés et modernisés au fil des décennies. Seules les couches les plus modernes ont été construites avec la cybersécurité comme contrainte de conception, et presque aucun des langages machine utilisés n’a jamais été conçu pour être compatible.

Pour la plupart des entreprises, l’état actuel de la maturité de la cybersécurité laisse beaucoup à désirer. Les vues quasi omniscientes des systèmes informatiques sont associées à de grands angles morts OT. Les lacs de données se gonflent de résultats soigneusement collectés qui ne peuvent pas être combinés en une image cohérente et complète de l’état opérationnel. Les analystes s’épuisent sous la fatigue des alertes en essayant de trier manuellement les alertes bénignes des événements consécutifs. De nombreuses entreprises ne peuvent même pas produire une liste complète de tous les actifs numériques légitimement connectés à leurs réseaux.

En d’autres termes, la révolution énergétique en cours est un rêve pour l’efficacité et un cauchemar pour la sécurité.

Sécuriser la révolution énergétique appelle de nouvelles solutions tout aussi capables d’identifier et d’agir sur les menaces des mondes physiques et numériques. Les centres d’opérations de sécurité devront rassembler les flux d’informations IT et OT, créant ainsi un flux de menaces unifié. Compte tenu de l’ampleur des flux de données, l’automatisation devra jouer un rôle dans l’application des connaissances opérationnelles à la génération d’alertes : cette commande est-elle cohérente avec le statu quo ou le contexte montre-t-il qu’il est suspect ? Les analystes auront besoin d’un accès large et approfondi aux informations contextuelles. Et les défenses devront se développer et s’adapter à mesure que les menaces évoluent et que les entreprises ajoutent ou retirent des actifs.

Ce mois-ci, Siemens Energy a dévoilé une plate-forme de surveillance et de détection visant à résoudre les principaux défis techniques et capacitaires des RSSI chargés de défendre les infrastructures critiques. Les ingénieurs de Siemens Energy ont effectué les démarches nécessaires pour automatiser un flux de menaces unifié, permettant à leur offre, Eos.ii, de servir de SOC de fusion capable de libérer la puissance de l’intelligence artificielle pour relever le défi de la surveillance des infrastructures énergétiques.

Les solutions basées sur l’IA répondent au double besoin d’adaptabilité et de vigilance persistante. Les algorithmes d’apprentissage automatique qui analysent d’énormes volumes de données opérationnelles peuvent apprendre les relations attendues entre les variables, reconnaître des modèles invisibles à l’œil humain et mettre en évidence des anomalies pour une enquête humaine. Étant donné que l’apprentissage automatique peut être formé sur des données du monde réel, il peut apprendre les caractéristiques uniques de chaque site de production et peut être formé de manière itérative pour distinguer les anomalies bénignes et conséquentes. Les analystes peuvent ensuite régler les alertes pour surveiller des menaces spécifiques ou ignorer les sources de bruit connues.

L’extension de la surveillance et de la détection dans l’espace OT rend plus difficile la dissimulation des attaquants, même lorsque des attaques uniques et zero-day sont déployées. En plus d’examiner les signaux traditionnels tels que la détection basée sur les signatures ou les pics de trafic réseau, les analystes peuvent désormais observer les effets des nouvelles entrées sur les équipements du monde réel. Les logiciels malveillants intelligemment déguisés déclencheraient toujours des signaux d’alarme en créant des anomalies opérationnelles. Dans la pratique, les analystes utilisant les systèmes basés sur l’IA ont découvert que leur moteur de détection Eos.ii était suffisamment sensible pour identifier de manière prédictive les besoins de maintenance, par exemple, lorsqu’un roulement commence à s’user et que le rapport de la vapeur entrante sur la puissance hors tension commence à dériver. .

Bien fait, la surveillance et la détection qui s’étendent à la fois à l’IT et à l’OT devraient laisser les intrus exposés. Les analystes enquêtant sur les alertes peuvent retracer l’historique des utilisateurs pour déterminer la source des anomalies, puis avancer pour voir ce qui a été modifié dans un laps de temps similaire ou par le même utilisateur. Pour les sociétés énergétiques, une précision accrue se traduit par un risque considérablement réduit – si elles peuvent déterminer l’étendue d’une intrusion et identifier les systèmes spécifiques qui ont été compromis, elles obtiennent des options de réponses chirurgicales qui résolvent le problème avec un minimum de dommages collatéraux, par exemple la fermeture d’un une seule succursale et deux stations de pompage au lieu d’un pipeline entier.

Alors que les systèmes énergétiques poursuivent leur tendance à l’hyperconnectivité et aux contrôles numériques omniprésents, une chose est claire : la capacité d’une entreprise donnée à fournir un service fiable dépendra de plus en plus de sa capacité à créer et à maintenir des cyberdéfenses solides et précises. La surveillance et la détection basées sur l’IA offrent un début prometteur.

Pour en savoir plus sur la nouvelle plate-forme de surveillance et de détection basée sur l’IA de Siemens Energy, consultez leur récent livre blanc sur Eos.ii.

Apprenez-en plus sur la cybersécurité de Siemens Energy chez Siemens Energy Cybersecurity.

Ce contenu a été produit par Siemens Energy. Il n’a pas été écrit par l’équipe éditoriale du MIT Technology Review.