Les pirates affirment qu'ils s'en sont pris à l'infrastructure gazière du Canada. Les énergies renouvelables peuvent-elles résister aux mêmes cyberattaques ?

La nouvelle de pirates informatiques pro-russes qui auraient eu accès à l'infrastructure gazière du Canada a mis en évidence les problèmes de cybersécurité le mois dernier. Pour protéger notre réseau électrique, les initiés de l'industrie affirment que le Canada doit renforcer la réglementation protégeant les systèmes énergétiques vulnérables aux attaques.

Les infrastructures énergétiques du monde entier sont régulièrement ciblées à la fois par les cybercriminels qui cherchent à extorquer des entreprises et par des acteurs parrainés par l'État qui tentent d'avoir une longueur d'avance sur d'autres nations. Les infrastructures pétrolières ont été la cible de près d'un tiers des 45 incidents de cybersécurité contre les industries mondiales des matières premières comme le transport maritime, l'agriculture et la pétrochimie entre 2017 et 2022, selon les données de S&P Global. Cela comprend des incidents très médiatisés comme l'attaque par rançongiciel de 2021 contre le pipeline colonial américain, qui a entraîné une fermeture et le paiement d'une rançon lourde, et l'attaque de 2022 qui a perturbé les expéditions des principaux centres de raffinage de pétrole européens. La production d'électricité et les réseaux électriques étaient d'autres cibles populaires, selon S&P Global.

Toutes les attaques n'ont pas autant d'impact. La violation présumée de l'infrastructure gazière du Canada le mois dernier n'a entraîné aucune perturbation, et le site Web d'Hydro-Québec a été victime d'une attaque banale où le serveur a été submergé par le trafic, ce qui l'a fait planter. L'accident n'a pas eu d'impact sur la production, le transport ou la distribution d'électricité, selon Hydro-Québec.

Aujourd'hui, alors que le Canada développe ses énergies renouvelables, les experts affirment que les opérateurs de technologies propres seront confrontés aux mêmes menaces de cybersécurité que leurs homologues des combustibles fossiles et devraient saisir l'occasion de construire des défenses solides dans leur infrastructure.

Il n'y a pas de réponse simple aux types de systèmes énergétiques les plus vulnérables aux cyberattaques, ont déclaré Tarun Singh et Rich Hodgkinson d'Ammolite Technology dans une déclaration détaillée à l'Observateur national du Canada. Ammolite Technology est un fournisseur de services informatiques dont les services incluent des solutions de sécurité pour les petites et moyennes entreprises, les organisations caritatives et les organisations à but non lucratif.

Les infrastructures pétrolières et gazières sont une cible de choix pour les acteurs qui cherchent à perturber la vie des Canadiens, car les combustibles fossiles représentaient environ 64 % de la consommation d'énergie primaire du Canada en 2021, ont-ils souligné.

À l'heure actuelle, les infrastructures d'énergie renouvelable - comme les grands parcs éoliens et solaires - représentent une plus petite part du mix énergétique global du pays, et sont donc probablement une cible moins précieuse, ont déclaré Singh et Hodgkinson. Mais cette proportion pourrait augmenter dans les années à venir alors que le Canada intensifie l'énergie renouvelable dans sa tentative d'atteindre un réseau électrique net zéro d'ici 2035.

Le Centre de la sécurité des télécommunications (CST) du Canada, l'agence canadienne de renseignement sur la cybersécurité et les signaux étrangers, a déclaré à l'Observateur national du Canada dans un communiqué envoyé par courrier électronique que toutes les infrastructures essentielles sont de plus en plus menacées par les menaces de cybersécurité, bien qu'il n'ait "aucune information spécifique aux projets d'énergie renouvelable". "

Parmi les facteurs clés susceptibles de mettre les infrastructures énergétiques en danger, citons la valeur et la vulnérabilité d'une cible et qui cherche à attaquer.

Il existe de nombreux acteurs malveillants qui aimeraient faire du mal, avec des motivations diverses, a déclaré Ian L. Paterson, PDG de Plurilock, une société canadienne de cybersécurité. Les organisations criminelles cherchent souvent à gagner de l'argent en obtenant des rançons de la part d'entreprises et d'organisations (comme ce fut le cas avec l'attaque du Colonial Pipeline de 2021) ou en volant des données.

"Il est souvent cité que le plus grand transfert de richesse dans le monde a été des États-Unis vers la Chine à la suite des campagnes de vol de propriété intellectuelle qui ont eu lieu", a déclaré Paterson au National Observer du Canada lors d'un entretien téléphonique. Outre les motivations financières partagées avec les criminels, les États-nations hostiles ou les organisations parrainées par l'État peuvent également bénéficier d'attaques qui volent des informations sensibles ou cherchent à perturber l'infrastructure critique d'un pays, a-t-il ajouté.

Si la part du pays dans les énergies renouvelables augmente et que ses infrastructures sont accessibles au même degré que les infrastructures pétrolières et gazières, cela pourrait devenir "une cible tout aussi attrayante", ont déclaré Singh et Hodgkinson. Pour toute infrastructure, le problème est d'avoir un point de défaillance unique, c'est-à-dire un défaut qui peut être exploité et provoquer l'arrêt de tout un système.

Singh et Hodgkinson se disent "prudemment optimistes" car les infrastructures d'énergie renouvelable sont par nature moins centralisées que les infrastructures de combustibles fossiles. Il est également généralement conçu avec des batteries et un stockage d'énergie pour faire face aux temps d'arrêt causés par la tombée de la nuit ou les conditions météorologiques, qui offrent une résilience contre les perturbations causées par les pannes, contrairement aux systèmes à combustibles fossiles, ont-ils ajouté.

Mais cela ne veut pas dire que tous les systèmes d'énergie renouvelable n'ont pas actuellement ou n'auront pas à terme de grandes vulnérabilités que les pirates peuvent utiliser pour neutraliser le système, ont déclaré Singh et Hodgkinson.

Il y a d'innombrables facteurs en jeu. Par exemple, si le secteur des énergies renouvelables est finalement monopolisé ou dominé par une poignée d'entreprises, il est raisonnable de supposer qu'un incident de cybersécurité pourrait effondrer l'ensemble du système pour le fournisseur d'énergie concerné, selon Singh et Hodgkinson.

Pour Paterson, PDG de Plurilock, la naissance de l'infrastructure d'énergie renouvelable au Canada présente une occasion de relever la barre en matière de cybersécurité.

Dans de nombreux cas, les technologies propres sont construites à partir de zéro et, en règle générale, il est beaucoup plus facile d'avoir un système sécurisé si vous le construisez en gardant à l'esprit les normes de sécurité dès le départ, a déclaré Paterson à l'Observateur national du Canada.

"Il est très difficile de renforcer la sécurité après coup. Donc, de mon point de vue, les technologies propres et les énergies renouvelables présentent, en fait, une opportunité de mieux sécuriser et de renforcer le réseau", a-t-il déclaré. "Alors qu'essayer de sécuriser le réseau hérité, c'est en fait un problème beaucoup, beaucoup plus difficile."

Des inquiétudes ont également été soulevées concernant les vulnérabilités de l'énergie solaire.

Des recherches de 2016 ont révélé que des défauts dans les panneaux solaires d'une entreprise pourraient rendre le réseau électrique vulnérable au piratage, notamment par le biais des onduleurs connectés à Internet des panneaux. Les onduleurs prennent l'électricité générée par les panneaux et la convertissent afin qu'elle puisse être utilisée sur le réseau électrique. À l'époque, un autre chercheur a déclaré à la BBC qu'il pensait que le risque pour la stabilité du réseau électrique était présent, bien que moins extrême que l'étude décrite. Seuls certains modèles d'onduleurs présentaient des vulnérabilités, selon l'entreprise.

Réfléchissant à cette recherche sept ans plus tard, Singh et Hodgkinson ont déclaré qu'ils "ne considéreraient pas l'énergie solaire comme étant plus vulnérable que d'autres types d'infrastructures de combustibles renouvelables ou fossiles", principalement parce que la barre de la cybersécurité est assez basse pour tous les types d'énergie. Infrastructure.

Pour dissuader les attaquants, les infrastructures d'énergie renouvelable à venir doivent être soumises à une "application réglementaire vigoureuse", affirment-ils.

Il existe quelques normes différentes et couramment utilisées pour guider les mesures de cybersécurité et les meilleures pratiques : à savoir, une norme internationale et une norme américaine. Le Canada a une norme nationale, mais le pays n'exige pas que les entreprises et les organisations canadiennes respectent l'une de ces normes.

Un outil possible pour renforcer la cybersécurité du Canada est le projet de loi C-26, qui tenterait de mettre en place un cadre de cybersécurité clair qui, entre autres, obligerait les exploitants d'importants cybersystèmes dans des secteurs comme la finance, l'énergie, les transports et plus encore à établir un programme de cybersécurité pour protéger leurs systèmes, gérer les risques éventuels, détecter les incidents et faire face aux impacts éventuels. Les exploitants désignés sont tenus de « signaler immédiatement » tout incident de cybersécurité au CST et de se conformer à toute mesure émise par le gouverneur en conseil pour protéger les cybersystèmes critiques.

En vertu de la loi sur la protection des systèmes informatiques critiques proposée par le projet de loi, les opérateurs auraient également l'obligation permanente de "prendre des mesures raisonnables" pour faire face aux risques découlant de leur chaîne d'approvisionnement ou de l'utilisation de produits tiers. Le projet de loi C-26 doit être examiné par le Comité permanent de la sécurité publique et nationale. Elle n'oblige pas les opérateurs à adopter une norme de cybersécurité spécifique. En plus des lignes directrices de base du Canada pour la gestion des risques liés à la sécurité des TI, les États-Unis ont leur propre cadre similaire, et il existe également une norme internationale de cybersécurité bien reconnue.

La plupart des organisations "suivent une saveur qui est assez similaire à ces normes", a déclaré Paterson. Il dit qu'il est difficile pour les grandes organisations de se conformer à plusieurs normes sur différents marchés, il serait donc avantageux de simplifier et de s'aligner sur quelques normes existantes.

Mais d'un autre côté, les petites entreprises avec moins de ressources peuvent avoir plus de mal à s'aligner sur ces normes, a souligné Hodgkinson dans une interview Zoom.

Un autre initié de l'industrie affirme que des réglementations strictes en matière de cybersécurité sont essentielles, quel que soit le secteur.

"Tout est une question d'argent" et de trouver un équilibre entre la gestion des risques sans trop dépenser, a déclaré Alex Dow, directeur de l'innovation de la société de cybersécurité Mirai Security.

Les entreprises doivent légalement prendre les décisions qui sont les meilleures pour l'entreprise, pas nécessairement pour le pays, la population et l'environnement, de sorte que les gouvernements doivent mettre en place des réglementations et obliger les entreprises à prendre des mesures dans l'intérêt public, a déclaré Dow.

Le Centre canadien pour la cybersécurité, qui fait partie du CST, travaille avec des partenaires et des associations industrielles du secteur de l'énergie pour "partager des informations sur les cybermenaces et renforcer la cybersécurité et la cyberrésilience globales", a déclaré Robyn Hawco des relations avec les médias du CST dans un communiqué.

Interrogé sur des exemples liés à l'énergie, le CST a cité deux "collaborations en cours" qui reposent sur le partage d'informations. Le centre de cybersécurité et l'Association canadienne du gaz travaillent ensemble sur le programme Blue Flame, qui vise à renforcer la sécurité des systèmes de livraison de gaz à travers le Canada. L'autre partenariat, avec l'opérateur indépendant du réseau d'électricité de l'Ontario, vise à réduire les risques de cybersécurité et à fournir des informations et des analyses sur le secteur canadien de l'énergie.

"Je pense que là où nous allons obtenir des changements, c'est avec l'assurance cybersécurité", a déclaré Hodgkinson dans une interview Zoom.

"Si je suis une compagnie d'assurance et que je… veux souscrire une grande compagnie pétrolière et gazière ou… d'énergie renouvelable, je veux m'assurer qu'elle fait tout ce qu'elle peut pour renforcer sa cybersécurité", a-t-il déclaré.

Au sud de la frontière, les États-Unis poursuivent des recherches sur la cybersécurité solaire et ont publié en 2020 un plan pluriannuel pour améliorer la cybersécurité dans les systèmes d'énergie renouvelable et dans d'autres domaines. L'Office de l'énergie éolienne dispose également d'une feuille de route spécifique pour la cybersécurité de l'énergie éolienne.

Plus souvent qu'autrement, Singh et Hodgkinson disent qu'Ammolite Technology se tourne vers les États-Unis pour se tenir au courant des derniers développements réglementaires et techniques en matière de cybersécurité, notant qu'il y a un "manque de sources de rapports fiables et cohérentes" pour les développements canadiens en matière de cybersécurité.

— Avec des fichiers de La Presse canadienne

Natasha Bulowski / Initiative de journalisme local / Observatrice nationale du Canada