Au milieu de l’augmentation des attaques, comment les opérateurs de réseau peuvent-ils passer de stratégies de sécurité réactives à proactives ?
Les cyberattaques sont un défi en constante évolution pour le secteur de l’énergie. Le réseau électrique américain comprend 6 413 centrales électriques totalisant plus de 1 TW de capacité installée. Avec une variété de matériels et de logiciels connectés au réseau, il ne manque pas de cibles exploitables pour les États-nations, les pirates informatiques et autres acteurs malveillants.
Les 79 000 postes de transformation et autres installations du pays sont de plus en plus vulnérables, car les incidents de sécurité physique entraînant des pannes ont augmenté de 71% depuis 2021. Des dizaines d’attaques physiques, de cyberattaques et de vandalisme ont eu lieu en 2023. Deux incidents cybernétiques au Texas et en Floride ont menacé l’adéquation et la fiabilité du système. À Washington, un autre a interrompu les processus de surveillance d’un centre de contrôle du système électrique en vrac pendant au moins 30 minutes. Dans un événement de vandalisme/vol en Floride, quelqu’un a tenté de compromettre un système électrique en vrac.
Un pylône de transmission. Image fournie par Pixabay/par jplenio
Alors que les services publics et les opérateurs de réseau travaillent à la lutte contre les risques cyber-physiques, le Pacific Northwest National Laboratory (PNNL) basé à Washington développe un modèle basé sur l’IA qui donne la priorité aux menaces les plus impactantes pour l’infrastructure réseau.
En quoi le réseau électrique est-il vulnérable ?
Les dispositifs programmables appartenant aux services publics tels que les transformateurs et les générateurs peuvent être des cibles attrayantes pour les adversaires motivés à perturber les infrastructures critiques. Le réseau comprend également une part croissante de ressources basées sur des onduleurs, comme les panneaux solaires et les batteries, ce qui ajoute à la multitude d’actifs potentiellement à risque.
Les pirates informatiques peuvent compromettre le réseau électrique via des dispositifs grand public en réseau. Image fournie par Government Accountability Office (Figure 3, Page 23)
Les cyberattaques ciblant le réseau pourraient permettre d’accéder illégalement aux systèmes de contrôle dans des composants opérationnels critiques tels que les changements de prises des transformateurs. Si les attaquants pénètrent un appareil central tel qu’un contrôleur d’automatisation de sous-station, ils peuvent accéder directement ou par le biais d’un réseau de communication à des appareils connectés tels que des relais de protection et des onduleurs intelligents.
Les adversaires étrangers peuvent utiliser des logiciels malveillants et d’autres outils pour contourner les mesures de sécurité physique. L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a récemment signalé une campagne soutenue par l’État chinois, Volt Typhoon, qui a infiltré les réseaux informatiques du secteur de l’énergie grâce à des informations d’identification compromises. Cela pourrait permettre aux attaquants de manipuler les systèmes de chauffage, de ventilation et de climatisation dans les salles de serveurs et de causer des perturbations supplémentaires aux commandes de l’énergie et de l’eau.
Un autre problème concerne les logiciels qui n’ont pas encore été corrigés. La CISA signale régulièrement de nouvelles menaces liées aux produits liés à l’énergie. Les avis récents citent des fournisseurs importants comme Hitachi Energy. Fin 2023, la CISA a signalé des vulnérabilités dans le système de contrôle MACH de Hitachi pour les systèmes de transmission HVDC et son système de gestion des opérations de changement électronique et sa suite d’actifs énergétiques pour l’industrie de la production d’énergie.
PNNL cartographie les stratégies de prévention des cyberattaques
Le projet du PNNL utilise des graphes d’attaque hybrides (HAG) qui cartographient et suivent les itinéraires d’attaque tels qu’ils évoluent ou tels que les défenses les arrêtent efficacement. Les chercheurs ont utilisé des données historiques d’attaque sur le réseau pour former le modèle d’IA via l’apprentissage par renforcement. L’équipe a noté qu’il existe des milliers de façons d’attaquer les opérations du réseau, mais que le modèle d’apprentissage par renforcement a identifié moins de 100 éléments de la plus haute priorité.
Le projet du PNNL est basé sur le travail de l’organisation à but non lucratif MITRE Corporation pour relier les objectifs de haut niveau des adversaires avec les techniques d’attaque existantes et les méthodes de prévention pertinentes. Les chercheurs ont utilisé le cadre MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK), une base de données contenant des informations sur les menaces cybernétiques, pour définir l’efficacité des efforts d’atténuation et le taux de réussite des différentes séquences d’attaque.
Le cadre des chercheurs utilisait des bases de données de vulnérabilités et de modèles d’attaque pour obtenir une liste des techniques possibles ciblant un onduleur intelligent. Image fournie par PNNL (Figure 1, Page 3)
Graphes d’attaque hybrides
En se basant sur des archives publiques, le PNNL a créé un HAG montrant la séquence des techniques pouvant être utilisées sur un contrôleur d’automatisation de sous-station et un onduleur intelligent. Après avoir déterminé quelles techniques MITRE ATT&CK peuvent être exécutées sur chaque composant, les chercheurs ont utilisé le cadre HAG pour générer 100 HAG d’échantillon.
Les chercheurs ont identifié 397 séquences d’attaque possibles pour les contrôleurs d’automatisation de sous-station et 364 pour les onduleurs intelligents. Ils ont réduit la liste aux techniques d’adversaires ayant le plus d’impact dans le cadre ATT&CK.
Le PNNL a supposé que les techniques HAG avaient un taux de réussite de 100% sans atténuation. L’objectif était de réduire le taux de réussite autant que possible tout en utilisant efficacement les ressources budgétaires.
Ensuite, ils ont utilisé le cadre d’optimisation pour allouer le budget dans les secteurs organisationnels : actifs (gestion des actifs matériels/logiciels, réseau), continuité (mesures visant à maintenir les opérations après une violation de données), accès et confiance (politiques du personnel), opérations (évaluation des risques via renseignements sur les menaces), défense (pare-feu), gouvernance (gestion des journaux d’audit) et individu (formation et sensibilisation).
Taux de réussite des techniques d’attaque après la mise en place de mesures d’atténuation optimales pour sécuriser un onduleur intelligent. Image fournie par PNNL (Figure 5, Page 6)
Le cadre a également pris en compte l’impact du niveau de compétence du personnel. Naturellement, plus le niveau de compétence du défenseur est élevé, moins le composant est vulnérable. Si un défenseur peu qualifié était affecté à un contrôleur d’automatisation de sous-station, le modèle recommandait de donner la priorité au secteur de l’accès dans le budget. Si un défenseur plus qualifié était nécessaire, le modèle choisissait des secteurs tels que les actifs et la défense.
Le cas de l’onduleur intelligent a révélé des résultats similaires, mais le budget était réparti entre les secteurs des actifs et de l’accès pour les défenseurs qualifiés.
Allocation budgétaire pour sécuriser un contrôleur d’automatisation de sous-station (à gauche) et un onduleur intelligent (à droite). Image fournie par PNNL (Figure 6, Page 7)
Le PNNL prévoit de perfectionner le modèle en collaboration avec des experts de l’énergie et de la cybersécurité.
L’équipe du PNNL a présenté son travail lors de la conférence AAAI sur l’intelligence artificielle au Canada le mois dernier. Le projet fait partie de la nouvelle division d’intelligence artificielle du laboratoire.