Les entreprises du secteur de l’énergie, de l’eau et d’autres infrastructures critiques sont quotidiennement confrontées à des cyberattaques. Les services publics sont l’un des secteurs les plus ciblés dans tous les pays. Pourquoi ? En raison des ravages potentiels qu’une intrusion peut causer chez ces acteurs.
Les menaces évoluent plus vite que la cybersécurité ne peut le faire. Que veulent les pirates informatiques ? Voler des données confidentielles appartenant à l’organisation visée, à ses clients et ses fournisseurs, et envahir les systèmes de contrôle. Souvent, une attaque peut provenir d’un élément aussi petit et apparemment inoffensif qu’une clé USB. Le tristement célèbre virus Stuxnet qui a infiltré une centrale nucléaire iranienne en 2010 provenait d’une clé USB utilisée par un ingénieur sur son ordinateur personnel.
Une main-d’œuvre de plus en plus mobile implique des risques encore plus élevés, et plus de la moitié des entreprises du secteur de l’énergie et des services publics craignent déjà que leurs collaborateurs à distance aient été piratés. Avec la montée en puissance du BYOD, une cyberattaque est désormais inévitable. Les clients de People’s Energy se sont vu voler leurs coordonnées lors d’une importante attaque en 2020, lorsqu’un tiers non autorisé a eu accès à ses systèmes de stockage de données. Et en 2018, un vol de données par un tiers sur une vanne de régulation intelligente a presque détruit une usine chimique d’Arabie saoudite.
Mais le périmètre ne concerne pas seulement les collaborateurs des professionnels de l’énergie. Comment être sûr que les fournisseurs et les partenaires de la chaîne d’approvisionnement prennent la cybersécurité au sérieux ? En 2018, une grande entreprise de services publics a été condamnée à une amende de 2,7 millions de dollars pour un vol de données par un tiers.
Les services publics d’électricité comptent parmi les moins performants en matière de correction de la catastrophique vulnérabilité BlueKeep, à laquelle de nombreux services publics sont encore exposés. Il faut donc offrir à chaque employé, fournisseur et client une tranquillité d’esprit totale. En ce sens, prendre en considération les menaces liées aux périphériques USB personnels et à ceux appartenant à l’entreprise est aujourd’hui un impératif.
L’objectif est de réduire les risques que des logiciels malveillants s’introduisent dans les réseaux IT par l’intermédiaire de collaborateurs à distance, indépendamment de ce que le propriétaire a accidentellement téléchargé. Sur ce point, au final il sera alors possible de ne plus subir de cyberattaques coûteuses, de perte de réputation et d’amendes réglementaires.