Prenez note que cet article publié en 2018 pourrait contenir des informations qui ne sont plus à jour.

Les récentes cyberattaques visant le secteur de l'énergie aux États-Unis et en Europe rappellent qu'aucun pays n'est à l'abri. Hydro-Québec assure prendre ces menaces au sérieux et surveille désormais son réseau en tout temps.

Par Gino Harel et Catherine Varga d’Enquête

En décembre 2015, quelque 225 000 foyers ont été privés d’électricité en Ukraine. Un an plus tard, c’était au tour d’une partie de la capitale, Kiev, d’être plongée dans le noir. Ces deux pannes sont loin d’être banales : elles ont été causées par des actes de piratage informatique.

« En Ukraine, je pense que c’était un signal clair dans l’industrie », lance Johanne Duhaime, vice-présidente des Technologies de l’information et des communications chez Hydro-Québec.

Depuis plusieurs années déjà, Hydro-Québec compte sur une équipe pour assurer une vigie de cybersécurité. Les événements en Ukraine ont incité l’entreprise à relever ses mesures de défense.

« On a commencé à mettre en place les plans pour augmenter notre centre de surveillance, le mettre 24/7 [...] accélérer la modernisation de nos infrastructures pour nous protéger davantage », explique Mme Duhaime.

Des logiciels malveillants Derrière l’opération de 2015 en Ukraine, des experts en cybersécurité ont identifié une famille de logiciels malveillants appelée BlackEnergy, sans pouvoir retrouver les auteurs. L’attaque de 2016 a aussi fait l’objet de travaux de recherches par les experts en sécurité informatique. La firme ESET a déterminé que cette attaque avait été menée à l’aide d’un nouveau logiciel baptisé Industroyer capable de commander à distance des systèmes de contrôle industriels d’infrastructures électriques.

De l’hameçonnage au trafic Internet suspect

Les experts d’Hydro-Québec doivent composer annuellement avec des centaines d’incidents reliés à la sécurité informatique. Les tentatives d’intrusion par l’envoi de courriels malveillants, par exemple, surviennent régulièrement.

Hydro-Québec mène d’ailleurs des tests auprès de ses employés, à l’aide de messages piégés. Des gens se font prendre, admet Johanne Duhaime, mais leur nombre est en diminution.

« On travaille beaucoup le comportement humain et l’éducation [...] Les gens sont portés à appeler pour dire : "J’ai reçu un courriel, il est suspect, est-ce que c’est normal?" », dit-elle.

Il pourrait aussi arriver qu’un employé insère une clé USB personnelle dans un ordinateur de l’entreprise, ce qui peut aussi poser un risque.

Hydro-Québec assure ne pas avoir subi de cyberintrusion dans ses systèmes.

Johanne Duhaime précise que son équipe accorde une attention particulière au trafic Internet en provenance de certains pays, comme l’Ukraine, la Russie ou la Corée. « Quand il y a des éléments où l’on voit qu’il y a des adresses IP qui proviennent de ces pays-là, on a tendance à être plus vigilants [...] On va plutôt être plus proactif et peut-être bloquer à la source la provenance de ces requêtes », dit-elle.

Cela survient moins de 10 fois par année, précise-t-elle.

Un milliard de menaces Lors d’un témoignage devant le Comité permanent de la sécurité publique et nationale, le 22 mars dernier, à Ottawa, la chef du Centre de la sécurité des télécommunications du Canada (CST) a révélé l’ampleur des défis de cybersécurité auxquels son agence fait face. « Nous bloquons maintenant plus d’un milliard d’interventions malveillantes qui visent à compromettre des systèmes gouvernementaux, en moyenne chaque jour », a dit Greta Bossenmaier, chef du CST. Ces nombreux incidents visent les réseaux du gouvernement du Canada et varient du simple exercice de reconnaissance pour vérifier où sont les vulnérabilités dans les systèmes jusqu’aux tentatives réelles pour exploiter ces vulnérabilités, ou encore installer des logiciels malveillants. Le dernier budget fédéral prévoit 507 millions de dollars pour des mesures dédiées, d’ici cinq ans, dont la création d’un Centre canadien pour la cybersécurité. Ottawa doit aussi annoncer prochainement sa nouvelle stratégie nationale de cybersécurité.

Infiltrées par des cyberpirates

L’automne dernier, la société de cybersécurité Symantec a révélé la présence d’un autre logiciel malveillant dans des ordinateurs de compagnies d’électricité aux États-Unis. Le groupe identifié derrière ces intrusions s’appelle Dragonfly.

Le FBI et le département américain de la Sécurité intérieure confirment avoir identifié des victimes de cyberintrusions dans le domaine de l’énergie, dont le secteur du nucléaire. Les pirates ont aussi réussi à s’introduire dans des réseaux reliés à l’aviation, à l’eau et dans d’autres secteurs manufacturiers.

D’après Symantec, des courriels d’hameçonnage de Dragonfly ont également été repérés au sein de trois organisations situées au Canada, sans pour autant permettre de confirmer une quelconque intrusion.

Aux États-Unis, l’opération aurait permis aux assaillants de percer des réseaux de petites installations commerciales, à l’aide notamment de courriels infectés ciblés. Leur but à long terme serait d’utiliser ces plus petits réseaux pour atteindre des cibles plus importantes. Ils ont déjà réussi à se positionner pour mener des activités de sabotage, croient les experts.

« Depuis deux ans, on a vu nos adversaires s’intéresser davantage aux façons de nuire [à nos] systèmes. Leurs techniques se sont développées », explique la responsable de la cybersécurité au département de la Sécurité intérieure, Jeanette Manfra.

Agrandir l’image ﻿ (Nouvelle fenêtre) ﻿ ﻿ Bureaux du Centre national d’intégration de cybersécurité et des communications Photo : Département de la Sécurité intérieure des États-Unis

Mme Manfra gère une équipe installée dans un immeuble de bureaux du centre-ville d’Arlington, en Virginie. On y retrouve un centre opérationnel au coeur de la sécurité informatique de l’ensemble des États-Unis : le Centre national d’intégration de cybersécurité et des communications.

« Le centre opérationnel analyse les cyberincidents qui sont rapportés chaque jour par divers organismes gouvernementaux et entreprises du secteur privé aux États-Unis », explique-t-elle.

Mme Manfra évalue à 10 000 le nombre d’incidents signalés à son centre seulement au cours des trois derniers mois.

On assiste à une croissance exponentielle du nombre d’appareils et d’organisations dont les réseaux sont connectés à Internet. Ça crée beaucoup de vulnérabilité que les malfaiteurs cherchent à exploiter. Jeanette Manfra, chef de la cybersécurité du département de la Sécurité intérieure

Agrandir l’image ﻿ (Nouvelle fenêtre) ﻿ ﻿ Jeanette Manfra, chef de la cybersécurité du Département de la Sécurité intérieure Photo : Département de la Sécurité intérieure des États-Unis

Washington accuse les Russes Le 15 mars dernier, les États-Unis ont annoncé une nouvelle série de sanctions contre la Russie, accusant le pays de s’être prêté à deux formes de cyberingérence en territoire américain. Des tentatives pour déstabiliser le processus électoral, en 2016... et des attaques informatiques sur des infrastructures critiques. Selon les agences de presse russes, Moscou considère ces accusations sans fondement et prépare maintenant ses propres mesures de représailles en réponse aux sanctions.

Hydro-Québec se fait rassurante

Même si les appareils connectés à Internet sont en nombre sans cesse grandissant, Hydro-Québec rappelle qu’elle possède une particularité que d’autres entreprises d’électricité n’ont pas pour prévenir les attaques de pirates sur ces systèmes : elle dispose de son propre réseau de télécommunications pour prendre en charge sa mission électrique.

Les risques d’intrusion sont moindres, sont presque nuls, parce que c’est juste nous qui sommes sur le réseau [...] On contrôle l’ensemble de notre environnement. Johanne Duhaime, vice-présidente des Technologies de l’information et des communications, Hydro-Québec

« On est en bonne posture, ajoute Mme Duhaime. Ça ne veut pas dire qu’on est à l’abri et qu’il y a zéro risque [...] En cybersécurité, il ne faut jamais dire qu’on est à zéro risque. »

Agrandir l’image ﻿ (Nouvelle fenêtre) ﻿ ﻿ Le barrage Daniel-Johnson et la centrale Manic-5 Photo : iStock / melking

Des normes nord-américaines à respecter

Alors que le secteur énergétique aux États-Unis est manifestement dans la mire des pirates informatiques, des représentants de l’industrie rappellent que les opérateurs de réseaux électriques ont des normes à respecter, même en matière de cybersécurité. Elles sont établies par la North American Electric Reliability Corporation (NERC). Hydro-Québec y est assujettie.

Le secteur américain de l’électricité est composé d’une multitude d’entreprises privées, mais aussi de plus de 2000 services publics qui produisent ou distribuent le courant dans des marchés de petites ou grandes tailles.

John Di Stasio est le président d’une organisation qui regroupe les 26 plus gros services d’électricité publics aux États-Unis. Selon lui, les normes en place auraient sans doute permis d’éviter le genre de pannes survenues à la suite des cyberattaques en Ukraine en 2015 et 2016.

« Nos normes nous obligent à prévoir plusieurs couches de protection qui n’existaient pas en Ukraine », dit-il.

Agrandir l’image ﻿ (Nouvelle fenêtre) ﻿ ﻿ John Di Stasio, président du Large Public Power Council Photo : Radio-Canada / Jean-Pierre Gandin

Dans ce jeu du chat et de la souris entre cyberassaillants et cyberdéfenseurs des réseaux électriques, M. Di Stasio croit que l’industrie a tout de même réalisé des avancées.

Je crois qu’on a gagné du terrain. Cependant, on ne peut ni prévoir ce qui nous attend ni quelle sera la nature des menaces ou ce qu’elles viseront. John Di Stasio

« Ces menaces évoluent et tout ce qu’on peut faire, c’est demeurer vigilant et continuer à faire les choses qui fonctionnent pour nous défendre des menaces qu’on connaît », conclut John Di Stasio.