Les cyberattaques dans le secteur de l’énergie : ne vous demandez pas si, mais plutôt quand

En mai, les cyberrisques dans le secteur de l’énergie ont retenu l’attention du monde entier en raison d’une attaque par rançongiciel qui a causé l’arrêt du plus important pipeline de carburant aux États-Unis. La fréquence croissante des cybermenaces fait en sorte que les organisations ne peuvent plus ignorer les conséquences que peut avoir un unique événement sur leurs activités, ni les risques économiques et sociaux que cela peut présenter. En 2019, 65 % des organisations dans le secteur de l’énergie trouvaient difficile de suivre le rythme de l’évolution des cyberrisques.[1] Trois ans plus tard, le rapport sur les risques mondiaux 2021 du Forum économique mondial et de Marsh a révélé que l’échec de la cybersécurité demeure un risque important, autant sur le plan des probabilités que des conséquences.

L’ampleur, le raffinement et la gravité des cyberattaques continuent d’évoluer, avec l’aide de pays, de criminels, de terroristes, d’hacktivistes et d’initiés. La numérisation dans le secteur de l’énergie et la plus grande dépendance envers les données de technologie opérationnelle (TO) élargissent l’interface entre la technologie de l’information (TI) et la TO, ce qui crée une surface d’attaque considérablement plus grande pour d’éventuels pirates informatiques. Ces transformations opérationnelles créent des occasions et des risques que l’on doit évaluer en regard des avantages de la numérisation et du besoin de cybersécurité. À l’échelle du système, l’interconnectivité et la complexité des chaînes de valeur du secteur de l’énergie augmentent la vulnérabilité de l’infrastructure essentielle au mauvais fonctionnement ou au sabotage, avec un potentiel d’effet d’entraînement et de répercussions en cascade.

Les acteurs malveillants ciblent souvent les sociétés d’énergie au moyen de rançongiciels motivés par des objectifs financiers. Toutefois, le nouveau profil de risque se déplace vers le cyberrisque physique. La découverte du logiciel malveillant Triton, visant expressément à violer les systèmes de contrôle de la sécurité, et les attaques causant des dommages matériels aux installations, comme les attaques de Stuxnet, indiquent que la menace est croissante. Ces types d’attaques peuvent entraîner des dommages matériels à grande échelle ou des pertes de vie.

Le transfert de risques est un facteur essentiel à considérer dans tout programme de gestion des cyberrisques, tant pour les répercussions physiques que non physiques.

Le marché de l’assurance contre les cyberrisques est en transition. Le coût global associé à la reprise après une attaque par rançongiciel devrait dépasser 20 milliards de dollars américains en 2021. Les pertes liées aux rançongiciels ont accéléré la détérioration des conditions du marché, et certains des principaux assureurs de cyberrisques introduisent des limites de garantie, comme la coassurance contre les pertes liées aux rançongiciels. Les exclusions relatives aux cyberrisques silencieux présentent des difficultés en raison de l’augmentation du risque résiduel retenu sur les bilans. Toutefois, les options de transfert de risques demeurent disponibles pour les cyberévénements malveillants, tandis que les marchés traditionnels d’assurance de biens sont mieux placés pour souscrire de l’assurance contre les dommages accidentels et physiques aux biens.

Une police d’assurance classique contre les cyberrisques peut couvrir les coûts de première partie liés aux répercussions non physiques découlant de la confidentialité, de la disponibilité ou de l’intégrité des données et de la technologie. Une garantie est fournie pour la perte de revenu et les frais supplémentaires engagés pour atténuer une perte de revenu, la restauration des données pour recréer les renseignements essentiels aux processus, ainsi que les frais et dépenses d’enquête judiciaire engagés pour remédier à un cyberincident et y répondre. La figure 1 ci-dessous présente une liste complète des garanties offertes.

Bien que les organisations ne puissent pas éliminer les cyberrisques, elles peuvent se préparer à une attaque de façon proactive. Ces mesures peuvent inclure les suivantes :

Réunir les principaux intervenants, y compris les équipes de la gestion des risques, de la sécurité de l’information, de la technologie opérationnelle et de la technologie de l’information, de la trésorerie, des finances et des affaires juridiques, pour s’assurer de l’harmonisation dans la façon dont une attaque serait gérée.  

• Évaluer les contrôles existants et corriger les vulnérabilités détectées dans le réseau et la sécurité. Au cours du premier trimestre de 2021, les vecteurs d’attaque par rançongiciel les plus courants comprenaient la compromission du protocole de bureau à distance (RDP) et l’hameçonnage par courriel. La mise en œuvre de contrôles appropriés peut aider à contrecarrer une attaque, ou au moins à la détecter avant que les auteurs de la menace puissent se déplacer latéralement dans le réseau. Par exemple, la détection précoce peut permettre de mettre hors ligne la technologie opérationnelle dès qu’on apprend que les réseaux de l’entreprise ont été compromis, mais avant que tout système de contrôle industriel ne soit compromis.
• Évaluer et tester le plan d’intervention en cas de cyberincident, ou élaborer un « manuel » des activités visant à répondre à une menace de rançongiciel. Le plan doit être réévalué après chaque incident.
• Mesurer l’exposition aux cyberrisques de l’organisation en termes financiers. Cela aidera à accorder la priorité aux cyberrisques les plus importants pour le bilan. Cela permettra également d’évaluer le rendement du capital investi dans les produits de cybersécurité, ainsi que l’importance du risque associé à la rétention ou au transfert.
• Évaluer l’ensemble du portefeuille d’assurance, y compris la couverture d’assurance contre les cyberrisques, afin de déterminer si les divers programmes sont harmonisés. Vérifier que la couverture comprend les divers coûts matériels engagés à la suite d’une attaque par rançongiciel, y compris une attaque qui entraîne des dommages physiques ou des blessures corporelles.

Une préparation efficace peut aider à bâtir une organisation cyberrésiliente.

[1] D’après le sondage mondial de 2019 sur la perception des cyberrisques, mené par Marsh et Microsoft. En savoir plus Winning the Cyber Risk Challenge (mmc.com)