«Considérez-vous comme une cible potentielle, car vous l'êtes.»

Lior Frenkel

Lior Frenkel a cofondé Waterfall Security Solutions en 2007. Les passerelles de sécurité unidirectionnelles de Waterfall Security sont conçues pour fournir une protection à 100 % contre les menaces de sécurité des technologies opérationnelles (OT) et les attaques en ligne sur divers sites tels que les aéroports, les systèmes ferroviaires et les centrales électriques .

La clientèle croissante de l'entreprise comprend des infrastructures et des services publics critiques nationaux, des centrales électriques et nucléaires, des plateformes offshore, des raffineries, des pipelines , ainsi que des usines pharmaceutiques, chimiques et de fabrication. Déployés en Amérique du Nord, en Europe, au Moyen-Orient et en Asie, les produits Waterfall prennent en charge une large gamme de plateformes, d'applications, de bases de données et de protocoles de surveillance industrielle et à distance.

Le secteur de l'énergie est devenu le deuxième plus exposé aux cyberattaques, près des trois quarts des entreprises pétrolières et gazières américaines subissant au moins un incident cybernétique grave chaque année. Une cyberattaque moderne contre un réseau de pipelines ou un terminal GNL peut avoir de graves conséquences sur la sécurité humaine et environnementale, sous forme de ruptures, d'explosions, d'incendies, de fuites et de déversements.

Voici une entrevue avec Frenkel sur la cybersécurité dans le secteur pétrolier et gazier . L’entrevue a été raccourcie et clarifiée.

Q : Dans quelle mesure la protection des installations pétrolières et gazières contre les cyberattaques représente-t-elle un défi, étant donné qu'elles se trouvent souvent dans des endroits isolés ?

A : Excellente question. La réponse est nuancée. L'industrie pétrolière et gazière, comme de nombreux autres secteurs (industriels, réseaux d'eau, production d'énergie, chemins de fer, etc.), présente des similitudes en matière de cybersécurité. Bien sûr, il existe des différences, mais les points communs l'emportent sur les différences. Chacun de ces secteurs industriels possède des réseaux informatiques qui contrôlent des processus physiques. C'est cette entité qu'il faut protéger, et cette protection doit garantir le fonctionnement optimal et sécurisé des processus physiques. C'est cela, la cybersécurité industrielle . Dans les banques ou les entreprises « classiques », il n'y a pas de réseau informatique qui contrôle un processus physique . La principale distinction réside donc dans la protection : s'agit-il de protéger des informations, comme dans une entreprise classique où les actifs et les données traitées par le réseau sont des informations ? Ou s'agit-il de protéger des processus physiques, des machines, etc. ?

Quand vous avez une entreprise industrielle, comme un actif pétrolier et gazier tel qu'une plateforme offshore , c'est physiquement présent.

Imaginez les pompes et toutes les machines qui extraient le pétrole et le gaz des grands fonds marins : si elles tombent en panne, la production est à l'arrêt. Vous ne disposez pas d'une plateforme offshore de secours que vous pouvez simplement installer à la place. Pour les entreprises classiques, leurs actifs ne sont pas physiques et peuvent être sauvegardés ; c'est le principe de base de toute stratégie de sécurité informatique. Au final, même dans le pire des cas, vous disposez toujours d'une sauvegarde de vos fichiers et informations. En matière de cybersécurité industrielle, cette sauvegarde n'existe pas. Si un logiciel malveillant s'introduit dans votre réseau, vous devez tout réinstaller. À ce moment-là, votre activité est paralysée : les trains, la production, la fabrication sont à l'arrêt. Et s'il s'agit d'une plateforme offshore, et qu'une machine tombe en panne, vous pouvez être immobilisé pendant trois ou quatre mois, car l'actif que nous traitons et contrôlons n'a pas de sauvegarde. Pouvoir interrompre votre production sans sauvegarde donne à un cyberattaquant un avantage considérable : vous seriez prêt à payer le prix fort.

Q : Même les meilleures mesures de cybersécurité ne valent que par les personnes qui les utilisent.

A : C'est vrai, mais ce n'est qu'une partie du problème. Lorsque votre niveau de sécurité est très faible et que vous ne disposez pas d'un système de sécurité robuste, la moindre erreur humaine peut avoir des conséquences désastreuses. À l'inverse, vous pouvez mettre en place le meilleur système de sécurité, investir des milliards, acheter les meilleurs produits au monde et les implémenter de la meilleure façon possible. Mais si vos employés ne savent pas quoi faire, ne comprennent pas les enjeux et n'ont pas reçu la formation nécessaire, peu importe les sommes investies, ils commettront des erreurs qui compromettront votre sécurité. Il serait erroné de se concentrer uniquement sur les employés ; il faut bâtir une sécurité solide, former le personnel , veiller à ce que le niveau de sensibilisation soit élevé et appliquer les mesures nécessaires pour optimiser la sécurité.

Q : Les attaques contre les infrastructures pétrolières et gazières peuvent être motivées par des raisons purement financières, mais aussi par des raisons politiques. Quels types d'attaques observez-vous concrètement dans le secteur pétrolier et gazier ?

A : Ce que nous constatons principalement, ce sont des attaques à motivation criminelle ; je dirais que neuf sur dix sont motivées par l'appât du gain, car c'est une activité criminelle très lucrative. Le criminel se trouve dans un pays différent de celui de l'entreprise qu'il attaque, sans prendre de risques personnels. Il pirate un site, demande de l'argent, l'obtient et passe à autre chose sans aucune conséquence. Alors pourquoi aller braquer un train, pourquoi se livrer à la piraterie en mer, où l'on risque sa vie ? C'est un business très rentable pour un criminel.

Les entreprises industrielles, notamment celles du secteur pétrolier et gazier, sont des cibles de choix pour les raisons que j'ai évoquées précédemment : paralyser leur production serait catastrophique. Nous constatons également des attaques d'ordre étatique ou terroriste. À mon avis, ce type d'attaques est moins fréquent aux États-Unis que dans d'autres régions comme l'Europe de l'Est. Mais le risque existe. Aux États-Unis, il s'agit surtout de collecte de renseignements. Peu d'États envisagent sérieusement de paralyser une partie des infrastructures américaines. Ils peuvent y songer, voire le planifier. Leur objectif est de voler des informations, de recueillir des renseignements en vue d'une attaque et de s'emparer de la propriété intellectuelle. Ainsi, même si l'objectif principal n'est pas toujours de paralyser ou de perturber la production, cela peut parfois être un effet secondaire. Le risque est donc bien réel.

Q : Comment concilier les besoins de sécurité et la nécessité de travailler efficacement ? Les mesures de sécurité peuvent-elles être si contraignantes qu'elles entravent le bon déroulement des tâches quotidiennes ?

A : Il n'y a donc pas de réponse à cette question. Voyez les choses autrement. Si les gens posent cette question, c'est parce qu'ils ne comprennent pas pleinement les risques. Par exemple, pour travailler sur une plateforme offshore, il faut porter un casque, des chaussures de sécurité et parfois un gilet de sauvetage. Ensuite, on suit une formation à la sécurité d'une heure : comment évacuer, que faire dans telle ou telle situation, et ce qu'il ne faut pas faire. Où fumer et où ne pas fumer. Mais personne ne pose de questions à ce sujet, ni ne trouve cela trop contraignant, car nous comprenons les risques.

Un autre aspect des protocoles de sécurité, c'est leur application. Je ne peux pas dire que je m'en fiche. Je peux très bien y aller sans gilet ni chapeau. On me dira que je ne peux pas accéder à ma plateforme car ce n'est pas sûr. Quand les gens commenceront à mieux comprendre le risque – et ça progresse, mais trop lentement –, ils ne s'interrogeront plus sur le compromis dont vous parliez. Ils veulent éviter le risque et sont prêts à payer un peu plus cher pour cela. Le processus sera donc un peu plus long, mais il sera sûr.

Q : Parlez-moi de votre entreprise et de votre proposition de valeur, en particulier pour ce secteur.

A: Waterfall Security est une entreprise de cybersécurité industrielle spécialisée dans la sécurité des technologies opérationnelles. Notre technologie, appelée Unidirectional Security Gateway, permet de partager des informations hors réseau avec le monde extérieur de manière très sûre. Aimeriez-vous prendre un train dont le réseau de contrôle est accessible via Internet ? Probablement pas. Aimeriez-vous donner à vos enfants des aliments provenant d'une chaîne de production accessible depuis Internet ? Pourtant, c'est le cas pour la plupart des systèmes. Cela s'explique par le fait que nombre de ces systèmes ont été conçus et mis en œuvre il y a des années, à une époque où la cybersécurité ne représentait pas un risque majeur.

Lorsqu'on connecte un réseau de contrôle au monde extérieur, on sait qu'on installe un pare-feu. C'est la solution idéale lorsque les deux réseaux sont des réseaux d'information, des réseaux informatiques. C'est leur fonction première et ils sont parfaitement adaptés. Ils n'ont jamais été conçus pour gérer Internet d'un côté et une turbine de l'autre. Mais faute d'alternatives, on a dû installer un pare-feu, car c'était la seule solution disponible. Nous avons développé une solution alternative aux pare-feu, au niveau du périmètre entre les réseaux de contrôle, les réseaux OT et le monde extérieur. Il s'agit d'un matériel dédié que nous concevons et fabriquons, ainsi que d'un logiciel qui l'exploite et qui collecte les informations du réseau OT. Imaginons que vous souhaitiez surveiller à distance votre station de compression. Vous voulez être informé de son fonctionnement : alertes, alarmes, débits, etc. Notre système sait collecter toutes les informations nécessaires et les transmettre via le matériel, conçu pour ne permettre la circulation des informations que dans un seul sens. Le logiciel collecte les données, les transmet via un matériel unidirectionnel, et notre logiciel externe récupère ces informations avant de les envoyer aux destinataires concernés. C'est pourquoi nous appelons notre entreprise Waterfall. Notre technologie est comme une cascade : elle ne circule que dans un seul sens, une barrière physique empêchant tout retour.

Vous installez nos systèmes, vous les configurez, et toutes les données nécessaires sont désormais accessibles en externe. Vous pouvez les utiliser avec vos propres systèmes, les envoyer vers un service cloud ou encore les transmettre au fournisseur de l'équipement pour la mise en place d'un programme de maintenance préventive. Vous pouvez faire ce que vous voulez de ces informations sans aucun risque – et non pas un risque faible, mais un risque nul – qu'un élément puisse s'y introduire. Ainsi, les risques de prise de contrôle à distance, de propagation de logiciels malveillants ou de rançongiciels sont totalement éliminés. Nos solutions sont largement déployées dans le secteur pétrolier et gazier, notamment pour les pipelines , principalement en amont et en aval. Nous intervenons sur les pipelines, les plateformes pétrolières, les plateformes offshore et les stations de compression. Nous sommes également présents dans pratiquement tous les types d'infrastructures critiques et de secteurs industriels, de la production d'énergie aux réseaux d'eau potable, en passant par les usines chimiques, les chemins de fer, les métros, les aéroports, etc.

Q : Une question d'ordre général : y a-t-il quelque chose dont nous n'avons pas parlé et que vous jugez important que l'industrie pétrolière et gazière sache sur votre entreprise ou sur la sécurité en général ?

A : Je pense que l'idée selon laquelle le secteur pétrolier et gazier serait hors jeu n'a jamais été vraie. Mais aujourd'hui, elle l'est encore moins. Il y a cinq ans, lorsque nous discutions avec des compagnies pétrolières et gazières, elles nous disaient : « Nous comprenons la technologie, mais nous ne voyons pas le risque. Nous savons que les pare-feu ne nous sauveront pas ; nous comprenons tout. Mais qui se soucie de nous ? »

Et cela n'a pas changé uniquement à cause de l'événement majeur qu'a été l'attaque du Colonial Pipeline. C'est un bon exemple. Mais beaucoup de nos clients du secteur pétrolier et gazier sont devenus nos clients parce qu'ils ont été victimes d'attaques. Non pas parce qu'ils s'y préparaient, ni à cause d'une directive de la TSA , ni parce que quelqu'un le leur avait conseillé, mais parce qu'ils ont été touchés. Soit ils ont payé une rançon sans que personne ne le sache, soit ils ont eu de la chance et, parfois, l'attaque a échoué.

Considérez-vous comme une cible potentielle, car vous l'êtes. Oui. Et appelez-nous.