Le vérificateur général de la Norvège lève le voile sur les risques de cybersécurité du secteur de l’énergie

Le Bureau du vérificateur général de la Norvège (AGO) a remis en question la norme générale de compétence en matière de cyberdéfense parmi les principales entreprises et agences du secteur public de l’énergie du pays.

Il a identifié des lacunes dans la politique et la stratégie de cyberdéfense dans un certain nombre d’entreprises publiques, y compris l’organisation des ressources en eau et en électricité NVE (Norges Vassdrags-og Energidirektorat).

L’évaluation de la cybersécurité de l’AGO était basée sur une évaluation approfondie de l’agence d’État qui a commencé en 2020 et s’est terminée en mars. L’examen a examiné l’efficacité des politiques et stratégies de cyberdéfense pour protéger les systèmes informatiques critiques contre l’éventail croissant de cyberattaques dirigées contre les principales institutions publiques et entreprises en Norvège.

Le pays a connu une augmentation significative des cyberattaques depuis 2019. L’audit de l’AGO a fait suite à une série de mesures de sécurité des données très médiatisées. brèches à Norsk Hydro, les Parlement norvégien (le Storting) et la compagnie de croisière Hurtigruten. En mars, les systèmes informatiques du parlement ont été piratés et des données capturées, pour la deuxième fois en sept mois.

L’AGO exigera du ministère du Pétrole et de l’Énergie, qui contrôle les entreprises d’État telles que NVE, qu’il fasse davantage pour s’assurer que les entreprises dont il a la charge utilisent un niveau de préparation plus élevé contre les cyberattaques, a déclaré Per-Kristian Foss, le vérificateur général.

« La situation est grave lorsque nous découvrons que le risque d’attaques informatiques visant nos systèmes nationaux d’alimentation électrique augmente », a déclaré Foss. « Si nous ne prenons pas cette menace au sérieux maintenant, nous pourrions être confrontés à des cyberattaques aux conséquences très graves. »

L’AGO a identifié des faiblesses dans la préparation de la défense de NVE et sa capacité à empêcher les violations de données dans ses systèmes informatiques critiques. L’agence a reproché au ministère de ne pas avoir mis en œuvre des mesures suffisamment robustes pour développer des systèmes de gestion efficaces et transparents, en particulier des systèmes de surveillance de l’efficacité des politiques de sécurité des données et des technologies avancées utilisées pour protéger les opérations d’alimentation électrique de NVE.

Un élément clé de la stratégie d’amélioration des cybermenaces de NVE découle de la relation de l’entreprise avec KraftCERT, une organisation créée pour aider les services publics d’électricité norvégiens à renforcer leurs systèmes ICS, à remédier aux vulnérabilités de sécurité du réseau, à détecter les menaces et à renforcer leurs capacités à atténuer les attaques numériques.

Lancé en 2014, KraftCERT a été formé par NVE en partenariat avec les groupes énergétiques Statnett, Statkraft et Hafslund. L’organisation, qui sert d’outil de soutien à la cyberdéfense pour le secteur de l’énergie, fournit une analyse experte et une évaluation critique des cybermenaces, tout en faisant des recommandations sur les contre-mesures.

La gestion des cyber-risques est devenue une priorité accrue pour les acteurs norvégiens de l’énergie, dans le contexte d’une industrie avec une empreinte numérique en pleine expansion et une dépendance croissante à l’égard de l’informatique.

NVE a accepté de renforcer sa préparation globale et ses défenses de réseau de sécurité contre les cybermenaces pour se conformer aux directives de l’AGO, a déclaré Ingunn Åsgard Bendiksen, chef du département des plans d’urgence et d’urgence de NVE.

« En collaboration avec le secteur de l’énergie, nous avons mené un travail approfondi pour mettre en œuvre des contrôles et des mesures de sécurité afin de réduire le risque d’attaques sur les réseaux informatiques qui contrôlent l’alimentation électrique », a déclaré Bendiksen. « Jusqu’à présent, il n’y a eu aucune cyberattaque sur des systèmes informatiques critiques qui a réussi à compromettre nos systèmes avec des conséquences négatives pour l’alimentation électrique en Norvège. »

L’adhésion à KraftCERT offre également une passerelle aux entreprises énergétiques norvégiennes pour collaborer avec le spécialiste de la cybersécurité basé à Oslo, Mnemonic. Les principaux domaines de coopération comprennent la gestion des risques de sécurité, la protection des données et les stratégies de défense contre les cybermenaces. De plus, les accords de partenariat avec KraftCERT signifient que les services publics peuvent accéder à mIRT, l’équipe de réponse aux incidents de Mnemonics, en temps de crise.

Le fardeau de la protection de la production et de la distribution d’énergie en Norvège est compliqué par les centaines de petites et grandes centrales hydroélectriques et éoliennes qui parsèment le pays. À ce risque s’ajoute la particularité des systèmes de gestion de l’approvisionnement en électricité de la Norvège, avec des lignes électriques exploitées par Statnett ainsi que par de nombreuses sociétés de réseau régionales et locales.

L’ampleur du défi auquel sont confrontés les principaux groupes énergétiques norvégiens se reflète dans la campagne d’investissement en capital de l’entreprise publique Equinor pour résoudre les faiblesses du réseau de sécurité informatique dans deux domaines clés qui ont été identifiés pour la première fois en 2019. projet parallèle visant à étendre la fonction multirôle de l’équipe de réponse aux incidents de sécurité informatique d’Equinor.

Pour Equinor, les deux principaux domaines de préoccupation sont l’amélioration du contrôle de l’accès des utilisateurs aux systèmes d’information et les échanges de marché qui s’interfacent avec les systèmes d’information du groupe. Les accords commerciaux d’Equinor sur l’achat et la vente de pétrole, de gaz et d’électricité et le renforcement continu des défenses dans ces domaines, qui restreint l’accès aux ordinateurs et aux réseaux informatiques au personnel détenant un niveau d’habilitation de sécurité approprié, visent à réduire le risque de cyber attaques.

Comme en témoigne le violation de données chez Norsk Hydro, les cyberattaques ont le potentiel d’infliger d’importantes perturbations mondiales aux opérations des grandes sociétés multinationales. Hydro a été victime d’une cyberattaque malveillante et soutenue menée par un ransomware le 19 mars 2019 qui a nui à l’ensemble des opérations internationales du groupe.

La cyberattaque a touché, dans une certaine mesure, tous les 35 000 employés et 150 usines de production d’Hydro dans 40 pays à travers le monde.

Huit mois pour reconstruire

Il a fallu près de huit mois à l’organisation pour reconstruire entièrement son infrastructure informatique critique et ses systèmes de sécurité réseau, et la production normale a été rétablie au troisième trimestre de 2019. À ce stade, les équipes informatiques d’Hydro, en collaboration avec l’équipe de cybersécurité de Microsoft et d’autres cybersécurité externes. experts, avait effectué un nettoyage complet des logiciels malveillants de tous les PC et serveurs du groupe. Les PC et serveurs cryptés ont été reconstruits sur la base de sauvegardes.

La cyberattaque a entraîné la réorganisation de l’unité de sécurité informatique d’Hydro, qui a été réformée et mise à niveau pour mieux détecter et répondre aux cyberincidents. Hydro a calculé l’impact financier de l’attaque entre 800 et 1 milliard de NOK (78,8 à 98,5 millions d’euros). La facture finale comprenait les coûts encourus pour réparer les systèmes et les données touchés.

« La cyberattaque a affecté l’ensemble de notre organisation dans le monde », a déclaré Hilde Merete Aasheim, PDG d’Hydro. « Hydro a eu la chance d’avoir une solide police de cyber-assurance en place auprès d’assureurs reconnus. C’était extrêmement important pour nous d’avoir.

Les cyber-attaquants non identifiés ont utilisé la variante du ransomware LockerGoga pour déconnecter de force les utilisateurs de leur PC et coder en dur les mots de passe administratifs. Les capacités perturbatrices des fichiers cryptés LockerGoga sur les ordinateurs de bureau, les ordinateurs portables et les serveurs de toute l’entreprise. Des notes de rançon ont été affichées sur les écrans d’ordinateurs corrompus, mais Hydro a refusé de payer la rançon demandée en bitcoin.

Hydro a reçu un total de 769 millions de NOK en indemnisation d’assurance liée à la cyberattaque en 2019. Sur ce montant, 216 millions de NOK ont été accordés en 2019 et 553 millions de NOK en 2020.

La mission de renforcement des cyberdéfenses d’Hydro depuis 2019 comprend la mise en place d’un programme de cyber-réponse couvrant la période 2020-2022. Le projet est axé sur le renforcement de l’infrastructure informatique centrale du groupe et des systèmes de contrôle industriel dans tous les domaines d’activité clés de l’organisation.