Des chercheurs de l’Université de Tulsa ont rapporté qu’il a fallu moins d’une minute de crochetage sur la porte d’une turbine non surveillée pour accéder au serveur non sécurisé. À partir de là, le chercheur a connecté les ordinateurs portables via le serveur de cette turbine singulière pour accéder instantanément aux adresses IP représentant chaque turbine du réseau.
Ce n’est qu’un exemple de la vulnérabilité des parcs éoliens aux cyberattaques. Notre capacité à nous défendre contre ces attaques devient de plus en plus critique. Selon le département américain de la Sécurité intérieure, le secteur de l’énergie est une cible sérieuse pour les pirates. Le secteur de l’énergie a dominé toutes les industries en 2014 et en 2015, il est considéré comme le deuxième plus ciblé. Selon WindEurope, l’énergie éolienne se développe plus que toute autre forme de production d’électricité. En 2017, les installations à terre ont augmenté de 14,3%, tandis que l’offshore a augmenté de 101% par rapport à 2016.
Les pannes d’électricité en Ukraine en décembre 2015 et 2016 ont été imputées à des cyberattaques sur le réseau électrique. Des pirates informatiques ont perturbé le système électrique alimentant certaines parties de la capitale Kiev, apparemment grâce au contrôle à distance du SCADA et de l’infrastructure des sous-stations. Ces systèmes sont également appliqués pour les parcs éoliens offshore.
Sécurité énergétique de l’UE
Le coût de l’énergie éolienne terrestre est compétitif par rapport aux autres sources d’électricité et le potentiel de l’énergie éolienne offshore est très élevé – mais le secteur doit réduire les coûts. La mer du Nord est bien adaptée au développement de l’énergie éolienne offshore et jouera un rôle clé dans l’augmentation de la sécurité énergétique de l’UE et la décarbonation de l’économie.
Cependant, en raison de leur incertitude inhérente, les éoliennes sont souvent incapables de participer aux marchés de l’électricité comme les générateurs conventionnels plus prévisibles et contrôlables. Compte tenu de cela, les centrales électriques virtuelles (VPP) sont préconisées comme solution pour augmenter la fiabilité de ces sources renouvelables intermittentes. Le nombre croissant de parcs éoliens offshore utilisés comme VPP à l’avenir, combiné au ciblage des parcs éoliens par des pirates informatiques, pourrait déstabiliser sérieusement le réseau électrique à travers l’Europe.
Vulnérabilité des parcs éoliens
Il y a plusieurs raisons pour lesquelles les parcs offshore et éoliens en général sont vulnérables aux pirates.
- L’approche de la cybersécurité était principalement centrée sur l’informatique, sans avoir en tête une approche différente pour la technologie des opérations (OT)
- Il existe d’anciens parcs éoliens, y compris des systèmes de communication, qui n’ont jamais été conçus avec la mentalité de «sécurité dès la conception» comme la norme CEI / ISO 62443
- Les technologies opérationnelles telles que SCADA et leurs sous-stations pour les parcs éoliens offshore nécessitent une approche différente de la sécurité par rapport à la sécurité informatique
- La sécurité physique n’a souvent pas été suffisamment couverte dans la conception, ce qui entraîne une mauvaise qualité des serrures, par exemple appliquées aux armoires de parcs éoliens.
- L’accès à distance du fournisseur n’est pas toujours géré correctement (séparation des tâches)
- Les liaisons de communication avec les parcs éoliens peuvent être réalisées par plus d’un fournisseur sans préavis
- Utilisation de protocoles de communication obsolètes sans amélioration de la sécurité
La technologie opérationnelle / les systèmes de contrôle industriel (OT / ICS) des parcs éoliens offshore sont la plupart du temps décentralisés. Des interactions mutuelles pour remplir la fonctionnalité totale sont nécessaires pour l’optimisation des processus. Avec la technologie de l’information (TI), différents éléments fournissent leurs propres fonctionnalités et ne nécessitent pas d’autres systèmes.
OT et informatique: faites une différence cybernétique
Il est nécessaire de comprendre les différences entre IT et OT pour la cybersécurité. Pour l’informatique, la confidentialité est le plus important, pour OT: la disponibilité. L’un des exemples est que l’informatique traite des processus transactionnels et OT avec des processus en temps réel. Bien que la disponibilité soit l’aspect et la priorité les plus importants, elle ne faisait souvent pas partie de la conception et de la mise en œuvre.
Outre ces nombreuses interconnexions existent et seront étendues. Avons-nous le temps, les connaissances et l’expérience pour vraiment vérifier l’intégrité complète du système chaque jour ou même toutes les heures? Notre priorité doit être de maintenir l’intégrité du système en temps réel avant sa disponibilité. Les systèmes de surveillance pour détecter les changements aideront les ingénieurs à maintenir et à vérifier l’intégrité des systèmes de contrôle en temps réel.
Le piratage de parcs éoliens en mer / de systèmes de contrôle industriel nécessite une connaissance approfondie du domaine du système, des processus physiques et de l’organisation spécifiques
- Les attaques parrainées par l’État demandent beaucoup de temps
- ils n’attaquent que lorsqu’ils sont sûrs de réussir
- ils ont tout le temps du monde
- lors d’une attaque, vous êtes toujours derrière.
La menace interne est également une grande menace, car il / elle a déjà une connaissance approfondie du domaine.
Approche holistique pour capturer les problèmes de cybersécurité
Le holisme est l’idée que les systèmes naturels (physiques, biologiques, chimiques, économiques, etc.) et leurs propriétés doivent être considérés comme des ensembles et non comme un ensemble de parties. Une approche holistique pour garantir la robustesse et la résilience de la cybersécurité est donc inévitable.
Ceci peut être réalisé en combinant le modèle V bien connu avec des services de cybersécurité. Dans toute la communauté des tests, le modèle V est largement connu comme une représentation illustrative d’un processus de développement, décrit pour les testeurs. Les services mentionnés ci-dessus comprennent la révision du code, le test de santé de l’appareil, y compris les tests fonctionnels, négatifs et de robustesse. Enfin, des tests de vulnérabilités connues et une exploitation de la base de données de vulnérabilité globale peuvent être ajoutés. Le résultat est un aperçu holistique des résultats et des recommandations. En plus de cela, les tests de système de bout en bout sont inévitables.
On peut avoir l’impression que ces projets sont coûteux, une approche basée sur les risques est donc recommandée pour les projets de cybersécurité.
Cette approche holistique fournira une validation technique efficace et rentable pour fournir la preuve «ascendante» que des mesures de sécurité appropriées ont été prises pour un système complet usines de valorisation énergétique dans une perspective de bout en bout. Les résultats comprennent:
- principes de conception de réseau sécurisé
- cyberdéfenses physiques et prévention des intrusions
- analyse de flux de données
- politique et procédures de prévention, de détection, d’atténuation et de récupération.
Sur la base de notre expérience, il est essentiel de commencer dès aujourd’hui et de vérifier les appareils connectés à Internet et en particulier l’accès à distance. Contrôlez-vous votre parc éolien offshore? Souvent, le personnel ne connaît pas les appareils connectés à Internet.
