211service.com
Sécuriser la révolution énergétique et l'avenir de l'IdO
Fourni par Siemens Énergie
Début 2021, les Américains vivant sur la côte Est ont reçu une leçon précise sur l'importance croissante de la cybersécurité dans l'industrie de l'énergie. Une attaque de ransomware a frappé la société qui exploite le Colonial Pipeline, la principale artère d'infrastructure qui transporte près de la moitié de tous les combustibles liquides de la côte du Golfe vers l'est des États-Unis. Sachant qu'au moins certains de leurs systèmes informatiques avaient été compromis et incapables d'être certains de l'étendue de leurs problèmes, l'entreprise a été forcée de recourir à une solution brutale : arrêter l'ensemble du pipeline.
Leo Simonovich est vice-président et responsable mondial de la cybersécurité industrielle et de la sécurité numérique chez Siemens Energy.
L'interruption de la livraison de carburant a eu d'énormes conséquences. Les prix du carburant ont immédiatement grimpé en flèche. Le président des États-Unis s'est impliqué, essayant d'assurer aux consommateurs et aux entreprises paniqués que le carburant serait bientôt disponible. Cinq jours et des millions de dollars de dommages économiques incalculables plus tard, la société a payé une rançon de 4,4 millions de dollars et a rétabli ses opérations.
Ce serait une erreur de considérer cet incident comme l'histoire d'un seul pipeline. Dans le secteur de l'énergie, de plus en plus d'équipements physiques qui fabriquent et transportent du carburant et de l'électricité à travers le pays et dans le monde reposent sur des équipements en réseau à commande numérique. Les systèmes conçus et fabriqués pour les opérations analogiques ont été modernisés. La nouvelle vague de technologies à faibles émissions - du solaire à l'éolien en passant par les turbines à cycle combiné - est intrinsèquement une technologie numérique, utilisant des commandes automatisées pour tirer le meilleur parti de leurs sources d'énergie respectives.
Pendant ce temps, la crise du covid-19 a accéléré une tendance distincte vers un fonctionnement à distance et une automatisation toujours plus sophistiquée. Un grand nombre de travailleurs sont passés de la lecture de cadrans dans une usine à la lecture d'écrans depuis leur canapé. Des outils puissants pour changer la façon dont l'énergie est produite et acheminée peuvent désormais être modifiés par quiconque sait se connecter.
Ces changements sont une excellente nouvelle : le monde reçoit plus d'énergie, moins d'émissions et des prix plus bas. Mais ces changements mettent également en évidence les types de vulnérabilités qui ont brutalement stoppé le pipeline colonial. Les mêmes outils qui rendent les travailleurs légitimes du secteur de l'énergie plus puissants deviennent dangereux lorsqu'ils sont détournés par des pirates. Par exemple, des équipements difficiles à remplacer peuvent recevoir des commandes pour se secouer en morceaux, mettant des morceaux d'un réseau national hors service pendant des mois d'affilée.
Pour de nombreux États-nations, la capacité d'appuyer sur un bouton et de semer le chaos dans l'économie d'un État rival est hautement souhaitable. Et plus les infrastructures énergétiques deviennent hyperconnectées et gérées numériquement, plus les cibles offrent exactement cette opportunité. Il n'est donc pas surprenant qu'une part croissante des cyberattaques observées dans le secteur de l'énergie soient passées du ciblage des technologies de l'information (IT) au ciblage des technologies d'exploitation (OT) - l'équipement qui contrôle directement les opérations physiques de l'usine.
Pour rester à la hauteur du défi, les responsables de la sécurité de l'information (CISO) et leurs centres d'opérations de sécurité (SOC) devront mettre à jour leurs approches. La défense des technologies d'exploitation nécessite des stratégies différentes – et une base de connaissances distincte – de la défense des technologies de l'information. Pour commencer, les défenseurs doivent comprendre l'état de fonctionnement et les tolérances de leurs actifs - une commande pour pousser la vapeur à travers une turbine fonctionne bien lorsque la turbine est chaude, mais peut la casser lorsque la turbine est froide. Des commandes identiques peuvent être légitimes ou malveillantes, selon le contexte.
Même la collecte des données contextuelles nécessaires à la surveillance et à la détection des menaces est un cauchemar logistique et technique. Les systèmes énergétiques typiques sont composés d'équipements de plusieurs fabricants, installés et modernisés au fil des décennies. Seules les couches les plus modernes ont été construites avec la cybersécurité comme contrainte de conception, et presque aucun des langages machine utilisés n'a jamais été censé être compatible.
Pour la plupart des entreprises, l'état actuel de la maturité de la cybersécurité laisse beaucoup à désirer. Des vues quasi omniscientes sur les systèmes informatiques sont associées à de grands angles morts OT. Les lacs de données gonflent avec des sorties soigneusement collectées qui ne peuvent pas être combinées en une image cohérente et complète de l'état opérationnel. Les analystes s'épuisent sous la fatigue des alertes en essayant de trier manuellement les alertes bénignes des événements consécutifs. De nombreuses entreprises ne peuvent même pas produire une liste complète de tous les actifs numériques légitimement connectés à leurs réseaux.
En d'autres termes, la révolution énergétique en cours est un rêve d'efficacité et un cauchemar de sécurité.
Sécuriser la révolution énergétique nécessite de nouvelles solutions capables d'identifier et d'agir sur les menaces des mondes physiques et numériques. Les centres d'opérations de sécurité devront rassembler les flux d'informations IT et OT, créant ainsi un flux de menaces unifié. Compte tenu de l'ampleur des flux de données, l'automatisation devra jouer un rôle dans l'application des connaissances opérationnelles à la génération d'alertes : cette commande est-elle cohérente avec le statu quo ou le contexte montre-t-il qu'elle est suspecte ? Les analystes auront besoin d'un accès large et approfondi aux informations contextuelles. Et les défenses devront se développer et s'adapter à mesure que les menaces évoluent et que les entreprises ajoutent ou retirent des actifs.
Ce mois-ci, Siemens Energy a dévoilé une plateforme de surveillance et de détection visant à résoudre les principaux défis techniques et capacitaires des RSSI chargés de défendre les infrastructures critiques. Les ingénieurs de Siemens Energy ont fait le travail nécessaire pour automatiser un flux de menaces unifié, permettant à leur offre, Eos.ii, de servir de SOC de fusion capable de libérer la puissance de l'intelligence artificielle pour relever le défi de la surveillance des infrastructures énergétiques.
Les solutions basées sur l'IA répondent au double besoin d'adaptabilité et de vigilance permanente. Les algorithmes d'apprentissage automatique parcourant d'énormes volumes de données opérationnelles peuvent apprendre les relations attendues entre les variables, reconnaître des modèles invisibles aux yeux humains et mettre en évidence des anomalies pour une enquête humaine. Étant donné que l'apprentissage automatique peut être formé sur des données du monde réel, il peut apprendre les caractéristiques uniques de chaque site de production et peut être formé de manière itérative pour distinguer les anomalies bénignes et consécutives. Les analystes peuvent ensuite régler les alertes pour surveiller des menaces spécifiques ou ignorer les sources de bruit connues.
L'extension de la surveillance et de la détection dans l'espace OT rend plus difficile la dissimulation des attaquants, même lorsque des attaques uniques de type « jour zéro » sont déployées. En plus d'examiner les signaux traditionnels tels que la détection basée sur les signatures ou les pics de trafic réseau, les analystes peuvent désormais observer les effets que les nouvelles entrées ont sur les équipements du monde réel. Des logiciels malveillants intelligemment déguisés déclencheraient toujours des signaux d'alarme en créant des anomalies opérationnelles. Dans la pratique, les analystes utilisant les systèmes basés sur l'IA ont découvert que leur moteur de détection Eos.ii était suffisamment sensible pour identifier de manière prédictive les besoins de maintenance, par exemple, lorsqu'un roulement commence à s'user et que le rapport entre la vapeur entrante et la puissance sortante commence à dériver. .
Bien faites, la surveillance et la détection qui couvrent à la fois l'IT et l'OT devraient exposer les intrus. Les analystes enquêtant sur les alertes peuvent suivre l'historique des utilisateurs pour déterminer la source des anomalies, puis avancer pour voir ce qui a été modifié dans une période similaire ou par le même utilisateur. Pour les entreprises énergétiques, une précision accrue se traduit par un risque considérablement réduit - s'ils peuvent déterminer l'étendue d'une intrusion et identifier les systèmes spécifiques qui ont été compromis, ils obtiennent des options pour des réponses chirurgicales qui résolvent le problème avec un minimum de dommages collatéraux - par exemple, fermer un succursale unique et deux stations de pompage au lieu d'un pipeline entier.
Alors que les systèmes énergétiques poursuivent leur tendance à l'hyperconnectivité et aux contrôles numériques omniprésents, une chose est claire : la capacité d'une entreprise donnée à fournir un service fiable dépendra de plus en plus de sa capacité à créer et à maintenir des cyberdéfenses solides et précises. La surveillance et la détection basées sur l'IA offrent un début prometteur.
Pour en savoir plus sur la nouvelle plate-forme de surveillance et de détection basée sur l'IA de Siemens Energy, consultez leur livre blanc récent sur Eos.ii .
En savoir plus sur la cybersécurité de Siemens Energy sur Siemens Energy Cybersécurité .
Ce contenu a été produit par Siemens Energy. Il n'a pas été écrit par la rédaction de MIT Technology Review.
