Une bataille dans le cyberespace

Les autorités sont toujours sur le qui-vive après l’attaque informatique qui a touché Encevo cet été. La vigilance reste toujours de mise sur le front de la cybercriminalité.

Le gouvernement a donné des détails concernant l’attaque informatique dont a été victime Encevo, rassemblant Creos (gestionnaire de réseau) et Enovos (le fournisseur électrique). Les faits remontent à la nuit du 22 au 23 juillet. Creos et Enovos avaient alors été victimes de pirates. Le groupe de pirates informatiques BlackCat a revendiqué cette attaque et environ 150 gigabytes de données (180 000 fichiers, comme des factures, e-mails, contrats, etc.) avaient été dérobées. Le groupe Encevo domine largement le marché de l’électricité «retail» luxembourgeois avec une part de marché de quelque 90%. Au niveau du gaz pour ménages privés, la part de marché du groupe Encevo est plus réduite avec 49,5 % de la part de marché. Les députés Octavie Modert et Marc Spautz, du CSV, s’étaient émus de cette attaque et ont voulu avoir des détails concernant les mesures prises par le gouvernement. L’État luxembourgeois est actionnaire du groupe Encevo à hauteur de 28 %. Via la BCEE, Post Luxembourg, la SNCI et la Ville de Luxembourg, l’État contrôle de manière indirecte quelque 75 % des actions du groupe, avaient précisé les membres de la Chambre dans leur question parlementaire.

Le gouvernement a confirmé que le groupe de cybercriminels connu sous le nom de BlackCat était les responsables de l’attaque. Le groupe a fait son apparition en novembre 2021 et est supposé être à l’origine de plusieurs cyberattaques de grande envergure en Europe et aux États-Unis au cours des derniers mois. BlackCat s’attaque à ses victimes en volant et chiffrant leurs données pour ensuite menacer de les publier en cas de non-versement de rançon. Il n’existe pas de profil type des victimes. Le modèle d’affaires criminel du groupe BlackCat est basé sur le principe du «ransomware-as-a-service». Il s’agit en l’occurrence d’un modèle d’affiliation où les développeurs d’un code malveillant proposent ce dernier, ainsi qu’un ensemble de services associés, sur les marchés cybercriminels à d’autres attaquants. Depuis son apparition fin 2021, BlackCat est activement à la recherche d’affiliés sur des plateformes fréquentées par des cybercriminels qui seraient disposés à déployer leur rançongiciel connu sous l’acronyme «ALPHV». Si une coopération entre BlackCat et un groupe affilié est établi, il est prévu que le groupe affilié touche 80-90 % de la rançon et le reste revient à BlackCat. En ce qui concerne l’attribution officielle de l’attaque, elle est toujours destinée à BlackCat, ajoute le gouvernement. Comme nous l’évoquions dans nos colonnes quelques jours après l’attaque, une rançon a bien été demandée à Encevo. Le gouvernement n’a pas voulu évoquer la somme, mais il a rappelé que l’entreprise n’avait pas payé. C’est d’ailleurs ce que conseillent les autorités dans de pareilles situations. Une enquête est en cours pour mettre la main sur les pirates.

Le gouvernement a aussi précisé que rien ne laisse entendre qu’un État soit derrière le groupe de cybercriminels BlackCat. Au lancement de la guerre en Ukraine, les pays occidentaux avaient craint de nombreuses attaques informatiques après la mise en place de sanctions contre le pouvoir russe et les personnes gravitant autour de Vladimir Poutine.

En 2019, le Haut-Commissariat à la protection nationale (HCPN) a rédigé un «Guide pour l’élaboration d’un plan de sécurité et de continuité de l’activité» à destination des opérateurs d’infrastructures critiques, les invitant à tenir notamment compte du risque cybernétique. Le guide détaille la structure type d’un plan de sécurité et de continuité et propose une méthodologie pour son élaboration. À la suite de l’invasion de l’Ukraine, le HCPN a adressé le 2 mars une note de mise en garde aux opérateurs d’infrastructures critiques et entités étatiques. Cette note rappelle les recommandations de base en matière de cybersécurité et renvoie par ailleurs aux recommandations de bonnes pratiques minimales dans le contexte de la crise. Le 19 avril, le HCPN a réitéré sa mise en garde.

De son côté, l’Institut luxembourgeois de régulation (ILR) a décidé d’effectuer une veille renforcée du secteur afin d’identifier le cas échéant et en temps utile une éventuelle indisponibilité majeure d’un ou de plusieurs services essentiels, ajoute le gouvernement. À cette fin, l’institut a, début mars, demandé aux opérateurs de services essentiels de lui fournir des rapports sur l’état actuel de la sécurité des réseaux et systèmes d’information selon les modalités décrites dans ledit courriel. Il a aussi invité les opérateurs de services essentiels étant également propriétaires ou opérateurs d’infrastructures critiques de l’informer quelles mesures sont en place ou ont été prises. Par ailleurs, l’ILR transmet régulièrement aux opérateurs de services essentiels des recommandations ou informations spécifiques concernant les menaces actuelles des différents secteurs. Les partenaires européens ont aussi été avertis.

En matière de cybersécurité, le risque nul ne peut être atteint et l’éventualité d’une cyberattaque risquant de mettre en péril l’approvisionnement en énergie ne peut être complètement écartée, ajoute le gouvernement en répondant aux députés. Mais une attaque d’une telle envergure serait autrement plus complexe que celle qu’Encevo vient de subir, où seules les opérations/systèmes commerciaux/bureautiques ont été touchés, poursuit-il. En effet, pour impacter l’approvisionnement physique en énergie, il faudrait réussir à pénétrer dans l’infrastructure de surveillance des réseaux (ce qui n’a pas été le cas dans l’attaque sur le groupe Encevo).

Les propriétaires ou opérateurs d’infrastructures critiques sont bien sûr tenus d’élaborer un plan de sécurité et de continuité de l’activité qui comporte les mesures de sécurité pour la protection de l’infrastructure critique en tenant compte du risque cyber avec l’aide et l’appui des services publics spécialisés en sécurité informatique. En cas d’attaque cyber d’envergure contre les systèmes d’approvisionnement en énergie (électricité et gaz) et ayant un impact sur l’approvisionnement en énergie, l’action du gouvernement est définie par les plans d’intervention d’urgence en cas de rupture d’approvisionnement en énergie et cyber. Les plans de sécurité dans les entreprises pour se prémunir de ce type d’incident sont également constamment mis à jour. Une forteresse virtuelle qu’il faut sans cesse entretenir…