Les infrastructures pétrolières et gazières américaines sont particulièrement exposées aux risques cybersécurité. C'est ce qui ressort d'un dernier rapport du service d'audit, d'évaluation et d'enquête de la branche du Congrès US, The Government Accountability Office (GAO). « Les acteurs de la menace sont de plus en plus capables de la réalisation d'attaques contre des infrastructures critiques, y compris le pétrole offshore et infrastructures gazières », peut-on lire dans le document. « Plus précisément, l'OT dans le pétrole et le gaz l'infrastructure est de plus en plus susceptible d'être exploitée dans des cyberattaques pouvant entraîner de graves dommages à la sécurité humaine, à l'environnement et à l'économie ». Cela s'explique en particulier par le fait que les systèmes OT étaient autrefois largement isolés d'Internet et les systèmes informatiques d'entreprise, alors que ce n'est plus forcément le cas. « En conséquence, les cyberattaques sont désormais plus susceptibles de provenir de systèmes informatiques d'entreprise et migrer vers OT », prévient le GAO.

Selon l'évaluation annuelle des menaces 2022 des États-Unis, la Chine, l'Iran, la Corée du Nord et la Russie représentent le plus grand vivier mondial de cyberattaquants. Des Etats aussi bien que des groupes cybercriminels ou des hacktivistes ciblent les infrastructures énergétiques depuis plusieurs années. Selon l'Agence de la cybersécurité et des infrastructures (CISA) et le FBI, de décembre 2011 à 2013, des acteurs chinois parrainés par l'État ont notamment mené une campagne de phishing et d'intrusion ciblant les sociétés américaines d'oléoducs et de gazoducs. En mai 2021, c'est Colonial Pipeline Company qui a subi une cyberattaque retentissante  par ransomware. 

Des techniques d'attaques variées

Selon le cadre largement accepté de MITRE pour la classification cyberattaques, les acteurs malveillants utilisent plusieurs techniques pour avoir accès à l'OT et contrôler les infrastructures pétrolières et gazières offshore. Les tactiques s'avèrent variées et comprennent aussi bien l'exécution, la fuite de données, le déplacement latéral, ... Les directives fédérales pertinentes, les systèmes OT - y compris ceux utilisés par les opérateurs pétroliers et gaziers offshore - peuvent être vulnérables à ces tactiques en raison de mauvaises pratiques de cybersécurité liées, par exemple, au chiffrement, à l'authentification, à la gestion des configurations et des correctifs ...

Plus tôt cette année, le BSEE (bureau de la sécurité et de l'environnement du ministère de l'Intérieur aux Etats-Unis) a proposé de développer une « capacité fondamentale » de cybersécurité via un programme sur les menaces offshore pour réduire l'exposition aux risques. Cela passe par élaborer et mettre en œuvre une évaluation des risques, déterminer les objectifs, activités, et mesures de rendement ainsi que les responsabilités et la coordination sans oublier l'identification des ressources et des investissements nécessaires. Ce projet n'en est cependant qu'au tout premier stade de développement et les mesures concrètes n'ont pas été annoncées. Les responsables ont en effet déclaré que le programme en est au tout premier stade de développement et que le BSEE ne s'attend pas à prendre des décisions clés ou à rédiger des documents et politiques jusqu'au cours de l'exercice 2023. Une situation ubuesque où l'on se demande si parfois, il est vraiment urgent d'attendre ...