Depuis que des pirates informatiques russes ont entraîné la fermeture d’un important pipeline de carburants liquides, les services publics de gaz et les exploitants de pipelines américains se sont davantage concentrés sur la mise en place de moyens de défense contre les cybermenaces, mais la conformité aux directives de sécurité fédérales est devenue une distraction gênante.
Quelques semaines avant l’invasion de l’Ukraine par la Russie en février, le groupe d’experts en cybersécurité Cisco Talos Intelligence Group avait déjà lancé des mises en garde au sujet des cyberattaques menées par des acteurs malveillants aux États-Unis et ailleurs en vue d’éroder le soutien à l’Ukraine. Talos prédisait alors que les cyberattaques viseraient probablement les infrastructures critiques dans le but de créer des perturbations graves, mais dont on peut se remettre assez facilement.
Cela éveillait un sentiment de déjà vu. En effet, les pirates russes à l’origine de l’attaque par rançongiciel de Colonial Pipeline en mai 2021 avaient alors ciblé les systèmes d’entreprise de l’exploitant, tout en laissant les systèmes opérationnels intacts. Ils ont pourtant forcé Colonial Pipeline à fermer un important réseau de livraison d’essence, de carburéacteur et de diesel sur la côte Est et à payer une rançon de quatre millions de dollars en cryptomonnaie.
Près d’un an plus tard, les exploitants américains de pétrole et de gaz naturel sont-ils mieux équipés pour se défendre contre de telles attaques de la part de divers cybercriminels indépendants ou commandités par un État? Peut-être, mais certains représentants de l’industrie s’inquiètent du fait que de nombreux exploitants ont dû rediriger leur attention vers le respect des nouvelles directives fédérales en matière de sécurité plutôt que de renforcer réellement leurs cyberdéfenses.
La cyberattaque de Colonial Pipeline a certainement attiré l’attention des dirigeants de l’industrie gazière et a contribué à redéfinir les priorités en matière de cybersécurité pour certains. Peu après l’incident de mai, la Transportation Security Administration (TSA) a publié deux directives de sécurité destinées à fortifier une centaine de réseaux de pipelines critiques désignés par la TSA pour contrer les rançongiciels, les logiciels malveillants et autres menaces.
Les deux directives comptent plusieurs exigences. La première oblige les exploitants de ces réseaux à désigner un coordonnateur de la cybersécurité à titre de personne-ressource pour la TSA. Cette personne sera responsable de signaler les incidents de cybersécurité à la Cybersecurity and Infrastructure Security Agency (agence de cybersécurité et de sécurité des infrastructures) du Department of Homeland Security (département de la Sécurité intérieure) des États-Unis. La deuxième directive, plus épineuse, oblige les exploitants à prendre des mesures d’atténuation précises pour se protéger contre les cybermenaces, ainsi qu’à élaborer et à mettre en oeuvre des plans d’urgence et des mesures d’atténuation des effets.
« Sommes-nous plus protégés? Je ne vais pas dire que nous ne le sommes pas, a déclaré Kimberly Denbow, gestionnaire de la sécurité et des opérations pour l’American Gas Association (AGA), qui représente plus de 200 entreprises énergétiques. Je dirai donc que oui, en un mot, nous sommes davantage protégés, mais en même temps, nous sommes distraits par la conformité. » [Traduction]
Mme Denbow a indiqué que lors d’un récent appel avec David Pekoske, administrateur de la TSA, un président-directeur général du secteur du gaz naturel avait expliqué à l’organisme de réglementation comment les directives de sécurité avaient forcé son entreprise à « ajouter beaucoup plus de personnel cybernétique, non pas parce qu’ils avaient un mauvais programme cybernétique, mais pour pouvoir être conforme en cochant les cases qui doivent être cochées. » [Traduction]
Renforcer les capacités d’alerte en cas de menaces
Pour sa part, l’AGA a fait des progrès l’année dernière en améliorant les capacités du Downstream Natural Gas Information Sharing and Analysis Center (DNG-ISAC), le premier système d’alerte de l’industrie en cas de menaces physiques ou cybernétiques. Le système dessert les membres de l’AGA, l’Association canadienne du gaz (ACG) et les exploitants de gazoducs représentés par l’Interstate National Gas Association of America (INGAA).
L’AGA a amélioré la plateforme du DNG-ISAC en 2021 pour la rendre plus sûre et plus conviviale, avec une application mobile et de meilleures capacités de notifications poussées au sujet des menaces et des possibilités de soumission d’information. La plateforme a publié 1 200 alertes l’année dernière, ce qui comprenait des renseignements sur des centaines de cybermenaces, de vulnérabilités potentielles et de cyberintrusions réelles présentant un intérêt pour les exploitants de pipelines.
David McConkey, directeur des opérations de sûreté et de sécurité à l’Association canadienne du gaz, a déclaré que le DNG-ISAC est un complément important au Programme de la flamme bleue, un système de diffusion d’information et d’analyse sur les menaces en temps quasi réel mis en place par l’ACG l’an dernier en partenariat avec le Centre canadien pour la cybersécurité (Centre pour la cybersécurité).
L’ACG a contribué à faciliter l’étroite relation de travail qui existe maintenant entre le DNGISAC, le Centre pour la cybersécurité et d’autres organismes du côté canadien, « de sorte qu’ils ont un flux d’information vraiment sain et actif, ce qui profite à nos membres parce que l’information provenant du DNG-ISAC a également une saveur canadienne » [traduction], a déclaré M. McConkey.
Le système d’alerte en cas de menaces n’est qu’un des domaines où la collaboration transfrontalière renforce les cyberdéfenses. Cet automne, l’AGA pilotera son premier événement NGX, un exercice de planification de la cybersécurité qui comptera des participants américains et canadiens des services publics de gaz naturel, des pipelines de transmission et du gouvernement. Il s’agira d’une version à plus petite échelle du GridEx, un exercice de planification qui a vu le jour dans le secteur de l’électricité, mais qui inclut désormais les exploitants de gaz. Le plan de Mme Denbow consiste à faire évoluer le NGX au fil du temps.
Les cybervulnérabilités devraient-elles être vues sous un nouvel angle?
Les préoccupations en matière de cybersécurité ont tendance à porter sur le sac d’astuces que les acteurs étrangers malveillants et les « cyberactivistes » nationaux peuvent utiliser pour ravager les infrastructures critiques dans la poursuite de leur projet. Toutefois, les représentants de l’industrie américaine affirment que l’impact potentiel de l’électrification totale du réseau énergétique sur la cybersécurité devrait susciter plus d’attention.
Selon eux, le passage au tout-électrique ne rendra pas seulement le réseau énergétique global moins résilient pour ce qui est des menaces physiques (p. ex. les phénomènes météorologiques violents ou les attaques d’activistes), mais pourrait également simplifier les règles du jeu pour ceux qui planifient des cyber-chaos.
Le réseau électrique est déjà mis à rude épreuve. En effet, selon une analyse du Wall Street Journal publiée en début d’année, 182 perturbations majeures du réseau ont été enregistrées en 2020, comparativement à moins de deux douzaines en 2000. Les coupables sont l’âge du réseau de transmission américain, la vulnérabilité inhérente d’un système de transmission en surface, et les caprices de l’éolien et du solaire.
« Tout est lié au fait d’avoir de l’électricité, mais nous ne nous concentrons pas sur la fiabilité du réseau. C’est absurde et effrayant, a déclaré Curt Morgan, président-directeur général du grossiste en électricité Vistra Corp., au Wall Street Journal en février. Il y a un tel élan émotionnel, que je comprends, pour atteindre nos objectifs en matière de changements climatiques. Toutefois, nous ne pouvons pas rejeter l’idée d’avoir un réseau fiable. » [Traduction]
Mme Denbow de l’AGA a établi un lien entre l’électrification totale et l’accroissement des risques pour la cybersécurité lors d’une récente réunion de la National Association of Regulatory Utility Commissioners (NARUC). Mme Denbow avait alors lancé une mise en garde contre la poursuite de politiques qui atténuent la résilience du réseau en « mettant tous nos oeufs énergétiques dans le même panier » [traduction] et en ignorant leur impact sur le paysage de la cybersécurité.
« La politique énergétique continue d’être élaborée en vase clos, a déclaré Mme Denbow. La cybersécurité devient une considération secondaire. On demande aux exploitants : qu’en est-il de la cybersécurité? Je réponds : qu’en est-il de la politique énergétique qui a accru notre cybervulnérabilité? » [Traduction]
Comme tant d’autres aspects du débat sur l’électrification totale (p. ex. son impact sur les changements climatiques, la résilience et l’accessibilité financière), on se demande ce que l’on perd en n’incluant pas le gaz naturel dans la solution.
« Je pense que le message est que le secteur du gaz naturel fait beaucoup, que nous prenons les choses bien en main, que nous sommes un grand atout du point de vue de la sécurité physique et de la cybersécurité et que nous faisons preuve de leadership dans de nombreux domaines, a déclaré M. McConkey, de l’ACG. En mettant notre industrie à l’écart, vous perdez un atout à de très nombreux égards. » [Traduction]
« Comme tant d’autres aspects du débat sur l’électrification totale (p. ex. son impact sur les changements climatiques, la résilience et l’accessibilité financière), on se demande ce que l’on perd en n’incluant pas le gaz naturel dans la solution ».
Toujours à peaufiner
L’AGA et ses entreprises membres travaillent avec la TSA depuis le mois de juillet pour traiter des aspects des directives de sécurité à « taille unique » qui ont créé des problèmes pour les exploitants; par exemple, les exigences d’authentification multifactorielle qui ne sont pas compatibles avec les systèmes de contrôle et les divers composants utilisés actuellement.
Les problèmes persistent et de nouvelles vulnérabilités font leur apparition dans le processus. En février, la TSA a demandé aux exploitants de pipelines désignés de lui soumettre par voie électronique leurs plans d’intervention en cas d’incident de cybersécurité — une demande qui a suscité de grandes inquiétudes chez les exploitants.
« La TSA a rassemblé tous ces plans sensibles dans une seule base de données, a déclaré Mme Denbow. Dans un environnement de menaces où nous nous inquiétons de voir des États-nations compromettre nos réseaux, le stockage de tous ces plans d’intervention en un seul endroit ne rassure pas les exploitants, quelles que soient les assurances en matière de sécurité fournies par le gouvernement. » [Traduction]
À peu près au moment où la deuxième directive de la TSA a été publiée en juillet dernier, les fonctionnaires fédéraux ont simultanément publié des documents précédemment classifiés révélant qu’une campagne chinoise de « harponnage » avait réussi à nuire à 13 des 23 exploitants de gazoducs américains entre 2010 et 2013, ce qui aurait pu permettre aux pirates de prendre le contrôle des opérations du gazoduc.
Ces révélations, qui se sont ajoutées à l’incident de Colonial Pipelines et aux directives de la TSA qui ont suivi, ont sans doute eu une influence salutaire sur les exploitants pétroliers et gaziers qui tardaient à renforcer leur cybersécurité, mais ceux-ci étaient probablement déjà en minorité.
« Pour la majorité des entreprises visées par les directives de sécurité, la cybersécurité constitue une priorité depuis longtemps, a déclaré Mme Denbow. Pour celles qui n’avaient peut-être pas encore accordé à la cybersécurité l’intérêt que celle-ci devrait susciter, il est certain que ces entreprises s’intéressent davantage à ce sujet maintenant. » [Traduction]
David Coburn est un penseur stratégique, un écrivain, un expert en relations avec les médias et un consultant en communication qui s’appuie sur plus de 30 ans d’expérience en journalisme imprimé et en relations publiques d’agences.