L’International Electrotechnical Commission (« IEC », ou Commission Électrotechnique Internationale en français) rédige les standards qui régissent le fonctionnement du monde de l’industrie électrique. Et parmi la multitude de ces standards dont les abréviations sont parfois un peu barbares, l’un d’entre eux occupe une place toute particulière, puisqu’il définit les communications des infrastructures de distribution d'électricité… Décryptage de l’IEC 61850 face au risque cyber.
Si prendre les transports en commun, regarder la TV, écouter la radio, ou encore faire bouillir de l’eau semble simple comme bonjour, c’est parce que tout le monde de l’énergie, et notamment le monde de l’industrie électrique, est à pied d’œuvre pour garantir une distribution et un accès à l’énergie en continu. Ce secteur est très normé, et il doit répondre aux exigences de nombreux standards internationaux. Parmi eux, se trouve le standard IEC 61850, qui régit le fonctionnement de réseaux intelligents – ou smart grids. Et qui dit réseaux intelligents, dit d’une part réseaux connectés vers l’extérieur et d’autre part interopérabilité. Dans les deux cas, ces échanges viennent donc ajouter une dimension supplémentaire pour cette industrie, qui doit désormais aussi composer avec la question de la cybersécurité des infrastructures de distribution électrique. Mais les acteurs cyber, avec en tête les éditeurs, sont là pour faciliter la transition vers une adoption de la cybersécurité – en tenant autant compte des contraintes imposées par le standard IEC 61850 que des enjeux de sureté.
IEC 61850 : les enjeux qui se cachent derrière cet acronyme
Qu'est-ce que le standard IEC 61850 ? Ce standard international est dédié au monde de l’énergie et notamment à l’industrie électrique. Si des exigences matérielles pour des environnements électriques font également partie de ce standard, ce sont surtout les protocoles qui y sont définis qui vont nous intéresser ici. Ces protocoles s’adressent plus précisément aux « IED » (Dispositifs Électroniques Intelligents en français), des composants du réseau intelligent situés dans les sous-stations électriques. L’enjeu de ces protocoles ? Cadrer et assurer le fonctionnement de ces réseaux intelligents justement, autour de la définition des communications, des interconnexions entre les productions d’énergie et les réseaux électriques, etc. « L’IEC 61850 structure les communications et le travail entre les équipements, cela permet de définir le modèle de données échangées et le niveau d’abstraction : qui fait quoi dans un environnement électrique ? Etc. Cela permet d’aller du design jusqu’à l’opération », explique Simon Dansette, Product Manager chez Stormshield.
Le standard IEC 61850 a donc vocation à simplifier la gestion et le contrôle des sous-stations électriques, et à garantir leur intégrité et leur disponibilité. Par exemple, les activités réalisées par ces sous-stations se font avec des temps de latence très courts, et l’IEC 61850 répond à cette contrainte en préconisant une surveillance en temps réel du fonctionnement des systèmes. Afin de remplir correctement le cahier des charges inhérent aux sous-stations électriques, ce standard comporte donc plusieurs protocoles qui ont un rôle de régulateur et sont garants du fonctionnement du réseau électrique. Parmi eux, trois grands protocoles de communication pour les IED sont à retenir : le protocole MMS (Manufacturing Message Specification), qui permet d’envoyer des actions de configuration, le protocole GOOSE (Generic Object Oriented Substation Event), protocole temps réel qui permet une réelle interopérabilité entre les équipements de marques différentes et des temps de latence très courts pour la prise de décision, et enfin, le protocole SV (Sampled Values), qui est aussi un protocole temps réel et qui s’occupe de la transmission de valeurs vers les IED. Tout ce petit monde avance donc en ordre de bataille, au service du bon fonctionnement des sous-stations électriques.
À l’origine, les infrastructures des sous-stations électriques ne sont pas connectées à des réseaux externes, donc elles n’ont pas été conçues pour prendre en compte les aspects de cybersécurité. Mais avec l’arrivée des réseaux intelligents, on change de paradigme
Simon Dansette, Product Manager Stormshield
Si le standard IEC 61850 impose un cadre très normé et formalisé, toutes les communications qui passent par les différents protocoles semblent vulnérables d’un point de vue cyber. Les données qui transitent dans ces communications sont en clair – donc non chiffrées – et il n’existe pas de mécanisme permettant de vérifier l’authenticité des messages (c’est le cas notamment du système de protection, d’automatisation et de contrôle, « SPAC »). « À l’origine, les infrastructures des sous-stations électriques ne sont pas connectées à des réseaux externes, donc elles n’ont pas été conçues pour prendre en compte les aspects de cybersécurité. Mais avec l’arrivée des réseaux intelligents, on change de paradigme », précise Simon Dansette. Pour répondre aux besoins business et écologiques, l’optimisation de la production et du transport d’électricité doit en effet passer par une plus grande interconnectivité. Et faire face aux risques cyber.
En effet, si les réseaux électriques pouvaient déjà faire l’objet de cyberattaques, comme des attaques par rebond (infection d’un poste pour ensuite pénétrer au sein d’un réseau électrique et corrompre des communications par exemple), les réseaux intelligents posent indéniablement la question de la cybersécurité des sous-stations électriques.
Les réseaux intelligents, une cible au goût des cyberattaquants
Le standard IEC 61850 ne prend donc pas ou peu en compte la sécurité des communications et la question de la cybersécurité (ces notions sont embarquées dans un autre standard, l’IEC 62351). Or, les sous-stations électriques sont des points-clés dans l’ensemble du processus de distribution de l’énergie où l’arrêt ou le sabotage d’un système électrique peut s’avérer extrêmement critique. « S’attaquer à l’industrie électrique, c’est s’attaquer au cœur du fonctionnement de la société. Si une attaque cyber provoque un blackout par exemple, cela peut avoir des conséquences dramatiques et causer de nombreux dégâts humains et matériels », prévient Nebras Alqurashi, Responsable du développement commercial et technique pour le Moyen-Orient et l'Afrique chez Stormshield.
Parce que tous les points qui la composent sont connectés, l’intégralité de l’infrastructure de l’industrie électrique est fragile et sensible. Et que ce soit l’arrêt d’une ligne électrique, une surcharge en énergie ou un blackout total, l’industrie électrique doit avoir les moyens de réagir vite pour limiter les impacts. L’Italie se souvient encore du plus grand blackout qu’elle a subi en 2003, non pas à la suite d’une cyberattaque, mais à la suite d’une chute d’arbre sur une ligne électrique. La majeure partie du pays s’est alors retrouvée dans l’incapacité de fonctionner normalement, et, entre autres, les trains qui circulaient à ce moment-là ont été stoppés net, bloquant 30 000 passagers. « Il faut partir du principe que, s’il n’y a plus d’électricité, plus grand-chose ne fonctionne et les conséquences sont immédiates : arrêt des feux de trafic entraînant des accidents en cascade par exemple, ou encore arrêt de l’approvisionnement en eau dans les régions les plus isolées… », souligne Nebras Alqurashi. Un dysfonctionnement dans l’univers de l’énergie aura ainsi forcément un effet domino et un impact sur plusieurs secteurs qui en sont dépendants – en dépit des systèmes de secours. En 2011, l’Allemagne listait dans un rapport les conséquences matérielles possibles d’un blackout : réduction des télécommunications, paralysie des stations de traitement de l’eau, arrêt de la chaîne du froid, etc. ; et en 2015, l’assureur britannique Lloyd’s s’est intéressé aux dégâts économiques, en prenant l’exemple d’un blackout touchant simultanément 15 états américains : cela aurait pu coûter aux États-Unis une modique somme allant de 243 milliards à 1 000 milliards de dollars.
S’attaquer à l’industrie électrique, c’est s’attaquer au cœur du fonctionnement de la société. Si une attaque cyber provoque un blackout par exemple, cela peut avoir des conséquences dramatiques et causer de nombreux dégâts humains et matériels
Nebras Alqurashi, Responsable du développement commercial et technique pour le Moyen-Orient et l'Afrique chez Stormshield
Une cyberattaque réussie sur une industrie électrique aura donc une ampleur phénoménale. Mais pour être en mesure de la réaliser, il faut avoir une excellente connaissance des protocoles, des systèmes et des infrastructures des réseaux électriques. Et les attaquants qui se risquent à cet exercice sont souvent des groupes mandatés par des acteurs étatiques. En effet, le monde de l’énergie, d’une manière générale, et l’industrie électrique en particulier, sont ciblés par des cyberattaques à portée géopolitique. L’Ukraine et son réseau électrique en ont déjà fait plusieurs fois les frais. En 2016, le malware BlackEnergy a été utilisé pour stopper une partie des ressources en électricité du pays, touchant environ 1,5 million de personnes. Les attaquants avaient alors ciblé un fournisseur d’électricité de l’ouest de l’Ukraine et ont coupé une partie des lignes. Selon des chercheurs, le mode opératoire des attaquants aurait été le suivant : utilisation des fonctionnalités du malware BlackEnergy pour effacer une partie du disque dur de la station électrique et empêcher le redémarrage des systèmes d’exploitation, avant une prise de contrôle à distance des postes infectés par le malware. La Russie est, par ailleurs, soupçonnée d’être à l’initiative de cette attaque.
En 2017, c’est cette fois-ci la capitale ukrainienne qui a été ciblée, avec une attaque visant le fournisseur d’énergie Ukrenergo et plongeant une partie de la ville de Kiev dans le noir. Si la Russie est une fois encore suspectée d’être le commanditaire de l’attaque, le mode opératoire des attaquants varie, avec l’utilisation du malware Industroyer, connu pour sa capacité à prendre le contrôle de sous-stations électriques, en s’adaptant au fonctionnement de leurs protocoles de communication. « Un attaquant va pouvoir profiter des fonctionnalités des protocoles pour mener son attaque, décortique Marco Genovese, Ingénieur Avant-Vente chez Stormshield. Dans le cadre de l’exemple du standard IEC 61850, le protocole GOOSE doit assurer des communications à grande vitesse et n’a de fait pas le temps d’attendre la confirmation de la bonne réception de paquets. Un attaquant pourrait profiter de cette faiblesse pour injecter des paquets malveillants dans le réseau ».
Après l’Ukraine, ce sont les États-Unis qui, en 2018, ont affirmé, par le biais du département de la sécurité intérieure du pays, être la cible d’attaques cyber visant leurs infrastructures d’énergie depuis 2016. Les attaques auraient été menées par le groupe Energetic Bear (aussi appelée Dragonfly), affiliée à la Russie. D’après les autorités américaines, Energetic Bear aurait d’abord infecté le réseau de petites structures de production, puis aurait ensuite mené des campagnes de phishing ciblé (spear phishing) pour remonter petit à petit jusqu’aux plus grosses industries et prendre le contrôle à distance de réseaux d’entreprises du secteur de l’énergie.
L’industrie électrique est donc bien l’un des secteurs les plus critiques quant aux cyberattaques, et, bien qu’il y ait une prise de conscience face à l’augmentation du risque cyber, les systèmes et les infrastructures restent complexes. Et leur mutation se fait à petits pas. Les éditeurs ont donc un rôle-clé à jouer dans l’accompagnement de ces industries, en proposant des solutions qui répondent aux contraintes opérationnelles du standard IEC 61850, tout en garantissant la sécurité informatique des infrastructures.
Comment composer entre cybersécurité et exigences du standard IEC 61850 ?
Prendre en considération à la fois les exigences de sécurité informatique et celles du standard IEC 61850 représente un défi de taille pour les éditeurs. Car si les éditeurs ne répondent pas à la contrainte métier de cette industrie, il est difficile voire impossible de pouvoir imaginer répondre à la contrainte cyber. En effet, dans le contexte de l’IEC 61850, les trois protocoles embarqués par le standard – GOOSE, MMS et SMV – font partie des rares à pouvoir être utilisés, même si d’autres protocoles comme l’IEC 104 peuvent également répondre parfois à cet impératif de sécurité. Le standard entraîne ainsi de fortes contraintes hardware tandis que les protocoles auront des incidences métier, auxquelles les solutions de cybersécurité doivent s’adapter. L’objectif des éditeurs est donc de venir poser une couche de cybersécurité sur les infrastructures existantes. « Les solutions doivent pouvoir s’intégrer de manière transparente au sein des réseaux électriques et vérifier la conformité des messages au niveau des trois protocoles », détaille Simon Dansette. Autre point important, comme l’industrie électrique fonctionne avec des temps de latence très courts, il faut éviter, autant que possible, de proposer des solutions qui ralentiraient la cadence des sous-stations électriques. Enfin, petite difficulté supplémentaire : les éditeurs doivent prendre en compte les problèmes de sécurité des sous-stations électriques au-delà du monde de l’OT… Par exemple, le protocole GOOSE fonctionnant sur le réseau Ethernet, toutes les attaques réussies contre ce réseau marcheront aussi bien pour le protocole GOOSE.
Si les éditeurs ne répondent pas à la contrainte métier de cette industrie, il est difficile voire impossible de pouvoir imaginer répondre aux enjeux cyber
Khobeib Ben Boubaker, Head of Industrial Security Business Line Stormshield
Mais quelles sont alors les solutions qui permettent à la fois de coller aux exigences de l’IEC 61850 et d’apporter cette couche de cybersécurité dont l’industrie électrique a besoin ? Plusieurs options sont possibles, après une première étape incontournable de segmentation réseau, au niveau des différentes infrastructures des réseaux électriques afin de limiter les risques d’intrusion au sein des systèmes. Les fonctions IPS (Intrusion Prevention System) de certains pare-feux industriels sont basées sur la détection de signatures afin de bloquer des attaques ou des anomalies. Ce système est néanmoins insuffisant pour garantir à lui-seul la sécurité des réseaux électriques car, comme le précise Marco Genovese : « l’IPS par signatures ne permet de détecter que ce qui est connu et répertorié. Mais il est difficile de prévoir à l’avance une cyberattaque et la forme qu’elle va prendre ». Certains éditeurs ont également développé des solutions avec des plugins intégrés permettant de renforcer les contrôles de conformité sur les communications des sous-stations électriques, et de s’assurer que ces communications remplissent bien les exigences de l’IEC 61850. « Via l’implémentation de pare-feux industriels, cette approche permet une supervision et une inspection des paquets en profondeur et en prenant en compte le contexte de la communication (Stateful DPI), avec un objectif simple : autoriser uniquement ce qui est considéré comme légitime », précise Nebras Alqurashi. Le monde de l’énergie électrique doit pouvoir disposer de systèmes capables d’analyser et de reconstruire du trafic pour le recontextualiser, et déterminer s’il est légitime ou si une tentative d’injection de paquets avec une charge malveillante au sein des communications a eu lieu par exemple.
La prise en considération du risque cyber doit être au monde de l’industrie électrique, ce que le standard IEC 61850 est au monde des sous-stations électriques : une composante indispensable !