Quelques minutes seulement après la panne de courant qui a paralysé l'Espagne hier, l'une des principales hypothèses que les deux spécialistes sur le terrain et les citoyens du pied ont soulevés, a été la possibilité d'une cyberattaque. Malgré ce premier diagnostic précipité – et d'un suspect habituel, la Russie de Poutine, comme le centre de tous les yeux, Le rouge électrique espagnol lui-même a exclu qu'il s'agit d'un incident de cybersécurité. “Nous avons été en mesure de conclure qu'il n'y a eu aucune intrusion dans le système de contrôle du réseau électrique”, a déclaré Eduardo Prieto, directeur des services à l'exploitation de la société, lors d'une conférence de presse. Cependant, le gouvernement de Pedro Sánchez n'exclut toujours pas cette théorie, tout en déchargeant les “opérateurs privés” la responsabilité de la panne.
“Une cyberattaque est-elle qui provoque une panne de courant totale? Oui. Est-ce probable? Très improbable,” Expliquez à EL Spanish-Imicrono Sancho Lerena, PDG de Pandora FMS, une entreprise spécialisée dans la surveillance des logiciels et des contrôles de sécurité informatique. Il est encore tôt pour savoir avec certitude ce qui était dû au «zéro absolu», mais une attaque capable de laisser à KO une infrastructure critique de plusieurs pays, insiste Lerena »,”Cela peut arriver, mais c'est extrêmement compliqué“. Une attaque de ces caractéristiques n'est disponible que pour les organisations soutenues par les gouvernements, car le réseau d'électricité utilise une technologie qui n'est pas très courante et beaucoup plus sûre que celle à la portée des groupes de cybercriminaux les plus courants.”
En fait, compte tenu des informations qui ont attribué la cyberattaque possible à des groupes tels que Dark Storm, les pirates appropriés qui ont affirmé il y a un mois, le réseau social d'Elon Musk, les sociétés de cybersécurité tels que les logiciels de contrôle, s'est précipité pour confirmer que “Il n'y a aucune preuve concrète qu'une cyberattaque a été Ni que Darkstorm n'est en quelque sorte lié à la coupe de puissance. “Pour le moment, les certifications semblent rares. Pour vraiment régler la portée de la crise, un juge de la Cour nationale a ouvert une cause pour enquêter si la panne de courant était due à une cybernétique terroriste, tandis que la Commission européenne prépare un rapport indépendant pour enquêter sur les causes des recommandations de panne et d'étude.
Backman Hacker?
Le seul réel précédent d'une cyberattaque capable de frapper une bonne partie du réseau électrique d'un pays s'est produit en Ukraine le 23 décembre 2015. BlackEnergy de Troie a laissé 250 000 Ukrainiens sans lumière pendant plusieurs heuresdans ce qui a été appris plus tard qu'il s'agissait d'une attaque coordonnée contre plusieurs opérateurs d'énergie par des groupes censés liés au Kremlin.
“Je pense qu'il est important de ne pas exclure l'hypothèse de la cyber-attaque, mais c'est quelque chose qui doit être préparé avec longtemps”, explique Víctor Deutsch, spécialiste de la cybersécurité et directeur du programme d'ingénierie de développement logiciel au Immune Technology Institute, à l'espagnol-micron. “Dans l'incident de l'Ukraine 2015, Le logiciel de l'attaquant dormait environ un an jusqu'à ce qu'il soit activé au moment souhaité. Ainsi, il peut y avoir des «pompes à temps» que nous ne connaissons pas, déjà introduites dans les systèmes et qui peuvent être activées au moment où l'attaquant décide. Il y a également eu d'autres tentatives d'attaquer les réseaux électriques d'autres pays », explique Deutsch.
Évacuation des passagers à la gare de Chamartín – Clara Campoamor
En fait, selon un rapport Pandora FMS dans lequel il a collecté des données National Cybersecurity Institute (InciBE), Les cyberattaques aux opérateurs essentiels en Espagne avaient augmenté de 43% en 2024. Malgré cette augmentation, Sancho Lerena le raconte “non pas tant aux tensions géopolitiques qu'à l'utilisation de plus en plus répandue de la technologie et de l'interconnexion de tous les systèmes via Internet”.
C'est quelque chose qui coïncide avec Josep Albors, responsable de la recherche et de la sensibilisation à l'ESET en Espagne. «Comme les infrastructures critiques ont été liées à divers réseaux pour améliorer leur opérabilité, les risques auxquels ils sont confrontés ont également augmenté. Bien que Il existe des mécanismes et des solutions établies pour atténuer pratiquement tous les types de cyberattaquesnous devons tenir compte de cette possibilité comme quelque chose de réel, encore plus dans l'environnement géopolitique dans lequel nous sommes actuellement. “
Bien sûr, alors que l'hypothèse de la cyber-attaque perd en force, “nous devons également envisager l'existence de pannes et d'incidents qui ne sont pas liés aux cyberattaques et cela, probablement, Être les raisons les plus plausibles lorsqu'un incident se produit impliquant une infrastructure critique. “
Quant à Sécurité du système énergétiqueLerena déclare que “Protocoles OT Networks (Réseaux matériels et logiciels utilisés pour surveiller, contrôler et automatiser les processus) Ils gèrent les réseaux électriques sont très spécifiques et, généralement, très sûrs. “
L'hôpital La Paz a réduit les dépenses énergétiques à l'essentiel
Omicrono
Ces grands systèmes industriels à l'échelle utilisent une norme appelée SCADA (contrôle de supervision et acquisition de données en anglais), «Langues» qui utilisent des machines pour communiquer dans les usines électriques, l'eau, le gaz ou les réseaux de transport. Ces machines, telles que des capteurs, des valves ou des commutateurs,, Ils sont connectés à des systèmes qui les supervisent et les contrôlent à distance“
La plupart des filets SCADA ne sont pas connectés à Internet, donc Ils sont plus sûrs, pratiquement immunisés dans de nombreux cas à ce type d'intrusions. Ils “utilisent également des protocoles simples et stables, avec moins de défaillances que les systèmes communs. Et ils sont des systèmes d'accès très difficiles et très spécialisés, dont il y a moins d'informations sur Internet que les autres systèmes, il est donc plus difficile de se renseigner sur leur utilisation et leur vulnérabilité”, explique Lerena. Malgré cela, son degré de protection dépend de la mise en œuvre de mesures de sécurité adéquates, telles que l'authentification multifactorielle, le chiffrement des données ou la segmentation du réseau, ce qui contribuerait à limiter la portée d'une cyberattaque.
Dans tous les cas, “Le plus grand facteur et vecteur de vulnérabilité est l'erreur humainesoit par le programmeur lorsqu'il laisse un trou dans le code, un opérateur qui utilise un mot de passe très commun, soit quelqu'un qui révèle des informations confidentielles sans se rendre compte que cela peut être exploité par un tiers à des privilèges avec des privilèges à un système et modifier sa configuration “, explique Víctor Deutsch.” Les erreurs humaines sont plus fréquentes et peuvent avoir un impact plus important que les cyberattaques eux-mêmes. “
Ce type d'intrusions est appelé «attaque dirigée» et se concentre généralement sur des techniciens de niveau moyen, des chefs de projet ou même des gestionnaires. Quiconque a accès aux systèmes, en d'autres termes. “Cette personne est envoyée des e-mails pour supplanter d'autres personnes ou une entreprise, et les amener à piqué dans l'un d'eux, afin qu'ils infiltraient leur ordinateur. Ainsi, pendant un certain temps, ils accèdent à tout ce que fait cette personne et essaie de reconnaître autour de ce que plus de systèmes peuvent avoir accès. Grâce à cette intrusion, qui peut prendre des semaines, des mois ou même des années à s'incuter, L'accès est atteint qui peut être très dangereux“
David Morenas est directeur des opérations et partenaire fondateur de RCC Advisory, un consultant qui propose des solutions de cybersécurité composées d'ex-militaires. Pendant 20 ans, il a été technicien en tic au ministère de la Défense. En ce qui concerne les événements qui se sont produits le 28 avril et en tant qu'entreprise avec du personnel hautement qualifié dans les systèmes de cybersécurité industriels, Morenas soutient El Español qui ne peut être théorisé qu'à ce sujet. “Mais il serait possible que ce soit une cyberattaque, basée sur la chronologie et l'immédiateté des faits, bien que nous devions revoir les dossiers pour pouvoir le certifier.”
Selon les spécialistes des conseils du RCC, une attaque de ces caractéristiques nécessiterait une grande planification. “Il infecterait les réseaux informatiques par une attaque de spectre, puis ferait le saut vers les réseaux otted Oted, à la recherche de points critiques avec des vulnérabilités non approuvées. L'objectif ultime est de provoquer un effondrement massif du PLC de contrôle des sous-étapes électriques.”
Quant aux présumés auteurs d'un coup de cette ampleur, à son avis, ce ne pouvait être qu'un groupe cybercriminal avec des relations avec un État. “Comme par exemple, ils ont la Corée du Nord, l'Iran ou la Russie avec le groupe Lazare, Fanzy Bear, etc. J'indique ces groupes pour être les plus connus, mais évidemment, tout état qui aura un groupe de ces caractéristiques aurait pu le faire.”
Comment améliorer la protection
Pour nous protéger face à une attaque de ces caractéristiques, en plus d'apprendre d'autres cyberattaques similaires et de renforcer les systèmes de sécurité, les experts s'accordent sur le même diagnostic et le même remède. “Le point central passe par la formation”, explique Deutsch. “Tout ce que tu peux Investissez dans la formation des développeurs de logiciels et des administrateurs de systèmes Déjà les utilisateurs finaux eux-mêmes, qui sont ceux qui ont accès à des informations privilégiées, est petite. Grâce à cet investissement dans la sensibilisation et les outils pour les rendre plus sensibles aux aspects de sécurité, cela implique moins de risques, moins d'incidents et des personnes beaucoup plus prudentes du point de vue de la sécurité. “
Omicrono
À cela peut être ajouté d'autres mesures, telles que Renforcer le contrôle de l'identité via des systèmes biométriques ou ajouter un deuxième et troisième facteur d'authentificationmais sans la conscience générale du risque d'ouvrir un e-mail, un SMS ou un WhatsApp suspect, il n'y a rien à faire. “Plusieurs fois Nous pensons qu'avec des solutions de sécurité complexes, les choses sont résoluesmais vous ne pouvez pas protéger les gens. De plus, l'introduction de plus de complexité dans le système, vous pouvez provoquer exactement ce que vous voulez éviter. Dans le cas de Crowdsstrike, une défaillance informatique qui a bloqué des centaines d'entreprises dans le monde et qu'en Espagne a provoqué des échecs à Aena, EMT et aéroports, “ils ont eux-mêmes mis un morceau qui ne correspondait pas et qui a fait briser tout.”
Ainsi, selon Lerena, “la solution pour empêcher les attaques ne soit pas d'acheter plus de pièces, en particulier des programmes à l'étranger que nous ne comprenons pas ce qu'ils font ou à quoi ils servent”. Le PDG de Pandora FMS s'est engagé à “Mettre en œuvre des politiques de sécurité de proximitéc'est-à-dire avec les entreprises locales que vous contrôlez du début à la fin et qui n'ont pas de soutien aux États-Unis ou dans un autre pays. Ensuite, si quelque chose se produit et que vous êtes totalement lié. “
L'autre étape fondamentale est Simuler et tester différents scénarios de cyberattaques Périodiquement pour tester le système et améliorer, dans ce cas, la résilience du réseau électrique. Il s'agit de la version de cybersécurité des exercices d'évacuation en cas de feu, quelque chose de fondamental “pour que les gens sachent quoi faire à tout moment en cas d'incidence réelle”, conclut Deutsch.