Les implications de la directive sur les gazoducs 2021-1 de DHS-TSA

Le Département de la Sécurité intérieure des États-Unis a publié des directives clés pour les opérations pétrolières et gazières à la suite des récentes cyber-menaces. Voici trois façons pratiques de bloquer les chemins d'attaque dans votre infrastructure OT. 

L'industrie du gaz et du pétrole a largement recours à l'automatisation pour un grand nombre d'opérations différentes. La pléthore d'opérations nécessaire pour trouver, extraire, raffiner, mélanger, collaborer et livrer du pétrole et du gaz repose sur l'infrastructure des technologies opérationnelles (OT).

Les récentes perturbations survenues dans les environnements OT d'infrastructures critiques, notamment l'incident de Colonial Pipeline, ont souligné la vulnérabilité des infrastructures critiques aux vulnérabilités, aux menaces et aux pannes potentielles liées à la cyber-sécurité. 

Parmi les autres attaques perpétrées contre le secteur pétrolier et gazier, signalons les événements suivants :

• Février 2020 : une cyber-attaque est lancée contre un site de gaz naturel, chiffrant simultanément les réseaux IT et OT, verrouillant l'accès à l'IHM (interface homme-machine), aux historiens opérationnels des données et aux serveurs d'interrogation. Le pipeline est contraint de fermer pendant deux jours.
• Décembre 2018 : une entreprise italienne de l'industrie pétrolière et gazière est victime d'une cyber-attaque qui frappe ses serveurs basés au Moyen-Orient, en Inde, en Écosse et en Italie.

• Avril 2018 : une cyber-attaque sur un réseau 
 de données partagé aux États-Unis contraint quatre des opérateurs de gazoducs du pays à interrompre temporairement les communications informatiques avec ses clients.

• Août 2017 : un site de pétrole et de gaz naturel en Arabie Saoudite a été fermé par le groupe de pirates Xenotime.


La directive sur les gazoducs 2021-1 de DHS-TSA

Le 28 mai 2021, le Département de la Sécurité intérieure (DHS) des États-Unis et la Transportation Security Administration (TSA) ont publié la directive de sécurité 2021-1 spécifiquement conçue pour les opérations au niveau des gazoducs. Alors que d'autres normes de l'industrie pétrolière et gazière ont déjà été adoptées (voir la liste ci-dessous), cette directive a été publiée en raison d'une menace permanente pour la sécurité des opérations au niveau des gazoducs aux États-Unis. Elle représente un point d'inflexion important dans la sécurisation des environnements d'infrastructures critiques qui pourraient autrement être en danger.

La Directive de sécurité pour les gazoducs 2021-1 fournit des conseils aux exploitants de gazoducs dans trois domaines clés :

1. Les propriétaires et exploitants de gazoducs doivent signaler les incidents de sécurité à la Cybersecurity and Infrastructure Security Agency (CISA).

2. Un coordinateur de la cyber-sécurité doit être affecté et disponible 24 h/24 et 7 j/7 pour coordonner les pratiques de sécurité, répondre aux exigences spécifiques décrites dans la directive et réagir en cas d'incident.

3. Les installations pétrolières et gazières doivent évaluer leurs pratiques et activités de cyber-sécurité actuelles pour faire face aux cyber-risques par rapport aux directives de la TSA sur la sécurité des gazoducs publiées en 2018, identifier les écarts entre leurs pratiques de cyber-sécurité actuelles et celles énumérées dans les directives, et élaborer des plans de remédiation pour combler ces écarts. 


Normes clés applicables à l'industrie pétrolière et gazière

NIST (National Institutes of Standards and Technology) Cybersecurity Framework (CSF) : Le cadre prééminent adopté par les entreprises de tous les secteurs de l'industrie. Les sociétés de gaz naturel et de pétrole orientent de plus en plus leurs programmes à l'échelle de l'entreprise autour du NIST CSF.


CEI 62443 de la Commission électrotechnique internationale. Famille de normes pour la sécurité des systèmes de contrôle industriels (ICS). Largement adoptées par le segment de la production de l'industrie du gaz naturel et du pétrole. Applicable à tout type d'ICS pour le gaz naturel et le pétrole.


Norme API 1164 : Contenu propre aux gazoducs non couverts par le NIST CSF et la CEI 62443.


Modèle de maturité des capacités de cyber-sécurité du ministère de l'Énergie : Processus volontaire utilisant les meilleures pratiques reconnues par l'industrie pour mesurer la maturité des capacités de cyber-sécurité d'une entreprise et renforcer ses opérations.


Organisation internationale de normalisation ISO 27000 : Norme de pointe fournissant des obligations pour un système de gestion de la sécurité de l'information (ISMS).


Trois bonnes pratiques clés en matière de sécurité OT pour réduire le risque

Alors que la directive 2021-1 de DHS-TSA met en évidence les besoins clés pertinents pour les opérateurs pétroliers et gaziers, pour la plupart des entreprises, le plus grand défi est de savoir comment opérationnaliser les trois composants clés de la directive :

• identifier le risque ; 

• combler les angles morts en matière de sécurité ; et

• mitiger les incidents lorsqu'ils se produisent. 


Voici trois pratiques d'excellence clés en matière de sécurité OT qui, selon nous, devraient être mises en œuvre de manière approfondie et urgente pour sécuriser les opérations au niveau des gazoducs et assurer leur résilience.

1. Gagner en visibilité et obtenir des informations approfondies. L'industrie pétrolière et gazière nécessite des opérations synchronisées dans l'ensemble de l'infrastructure, ainsi que l'accès d'un public large et hétérogène aux informations d'authentification. Active Directory (AD) occupe ici un rôle clé et, dans le cas de Colonial Pipeline, l'attaque de ransomware a profité de ce vecteur d'attaque. Les personnes qui utilisent AD peuvent inclure des employés, partenaires, agents et sous-traitants autorisés. Les exigences d'accès peuvent s'étendre au-delà de l'usine même jusqu'à des emplacements de forage ou des gazoducs hors site et éloignés, dans le monde entier. Par conséquent, il est essentiel de maintenir un contrôle des accès et des configurations qui s'étend de l'installation principale à tous les emplacements, quelle que soit leur distance ou leur distribution. La solution de sécurité OT doit toujours comprendre des informations sur les appareils individuels dans tous les emplacements, y compris, mais sans s'y limiter, les contrôleurs logiques programmables (PLC), les contrôleurs IHM, les stations d'ingénierie, les équipements réseau, les passerelles et tout autre appareil critique pour les opérations régulières du réseau. Une connaissance approfondie, notamment une visibilité sur tous les types d'appareils, les niveaux de correctifs, les versions de firmware et les informations sur le fond de panier, est essentielle. De plus, il est indispensable de prendre en compte les appareils dormants qui ne communiquent pas régulièrement sur le réseau.
2. Identifier les menaces. Alors que les opérations OT des fournisseurs de pétrole et de gaz étaient autrefois isolées, elles sont aujourd'hui connectées à l'IT et accessibles partout. Cette convergence crée un environnement qui peut avoir un impact sur l'intégrité de l'exploration, de l'extraction, du raffinage et de la livraison du pétrole. L'élimination de l'air-gap permet aux acteurs malveillants de pénétrer dans certaines parties de l'environnement d'exploitation soit du côté IT soit du côté OT. Pour identifier divers comportements suspects, il est essentiel d'utiliser trois moteurs de détection :

   • La cartographie et la visualisation du trafic permettent d'identifier les tentatives de communication provenant de sources externes en plus des appareils qui ne devraient pas communiquer, et de recevoir des alertes.

   • La détection des anomalies permet de repérer les schémas de trafic qui ne correspondent pas à un fonctionnement réseau normal.
   • La détection basée sur les signatures permet d'identifier les menaces connues, utilisées par les attaquants.

3. Mettre fin aux vulnérabilités plus rapidement. La plupart des environnements pétroliers et gaziers comprennent souvent un mélange d'appareils plus anciens que l'on ne trouve généralement pas dans les environnements IT. Avec différents niveaux de correctif sur chaque type d'appareil, il est difficile de maintenir un programme de gestion des correctifs à jour. Étant donné que les environnements pétroliers et gaziers n'ont pas forcément de fenêtres de maintenance suffisamment fréquentes ou longues, les vulnérabilités connues peuvent ne pas être corrigées pendant une période prolongée. Vous devez toujours connaître parfaitement l'état et les caractéristiques de tous les appareils. Cela nécessite également d'établir une correspondance précise entre les états spécifiques des appareils et la base de connaissances disponible sur les vulnérabilités associées à des exploits. En raison de la nature dynamique des environnements pétroliers et gaziers, cette base de connaissances doit être synchronisée avec les nouvelles vulnérabilités découvertes. Le classement VPR de Tenable peut, par exemple, trier les vulnérabilités de la plus grave à la moins grave, sur la base d'un grand nombre de facteurs tels que le score CVSS, la sévérité et l'exploitabilité de la vulnérabilité, et bien plus. 


En résumé

La cyber-sécurité OT est aujourd'hui largement reconnue comme essentielle pour garantir des infrastructures critiques fiables, efficaces et sûres sur lesquelles la société peut compter. Vous avez besoin d'une visibilité totale sur tous vos assets opérationnels, et vous devez être en mesure de les sécuriser et de les contrôler. Utiliser les meilleures approches en termes de sécurité OT est plus critique que jamais pour la conformité aux normes existantes, ainsi qu'à cette nouvelle directive du DHS, mais aussi dans le cadre d'un devoir de diligence envers nos communautés. Les menaces étant en constante évolution, elles nécessitent d'avoir une connaissance approfondie de la situation en temps réel, à la fois au niveau du réseau et des appareils. L'état des lieux doit être régulièrement mis à jour et synchronisé avec les vulnérabilités, menaces et angles morts nouvellement découverts. Tout écart doit être capturé en temps réel et documenté. Des traces écrites complètes, capturant tous les changements de l'environnement, sont essentielles. L'enregistrement et la mise à jour de ces informations détaillées peuvent aider à accélérer la réponse aux incidents, à mettre en avant et à prioriser les nouvelles vulnérabilités découvertes, et à démontrer proactivement sa conformité à la fois en interne et auprès des autorités de conformité.

En savoir plus

• Lisez l'article de blog : Attaque de ransomware contre Colonial Pipeline : comment réduire le risque dans les environnements OT
• Visitez la page de solutions : Cyber-sécurité industrielle pour sécuriser les activités pétrolières et gazières 

• Téléchargez le livre blanc Cyber-sécurité des infrastructures vitales