Objet : Recommandations de sécurisation des systèmes d’information à destination des producteurs, des intégrateurs et des installateurs des systèmes de production industriels du secteur de l’énergie et de l’eau en France.
Annexe : Liens et références
Certains groupes hacktivistes sont par exemple parvenus à accéder à distance à des interfaces de gestion d’installations industrielles exposées sur Internet. L’action la plus aboutie a provoqué l’arrêt pendant quelques heures d’un parc éolien, entraînant une perte financière pour la victime.
Les activités revendiquées par les groupes hacktivistes sont le plus souvent d’un niveau de technicité faible. Ils disposent toutefois d’une forte capacité à médiatiser leurs actions [1][2].
L’ANSSI a constaté plusieurs compromissions de systèmes d’information d’entités du secteur de la production d’énergie renouvelable et de la gestion de l’eau en France. Dans certains cas, ces installations sont opérées par des très petites entreprises ou des particuliers. Les attaquants tirent parti des faiblesses de sécurité liées aux interfaces de gestion de ces installations, et notamment d’équipements industriels connectés, accessibles depuis Internet. Leur installation et leur intégration ne garantissent pas un niveau de sécurité satisfaisant.
Ces équipements peuvent par exemple être exposés sur Internet sans authentification ou avec un mot de passe par défaut. De plus, des protocoles industriels sont directement exposés sur internet, qui peuvent être sans chiffrement et authentification. Cela permet donc aux acteurs malveillants d’interagir avec l’ensemble des équipements écoutant ces protocoles.
Pour pallier ces faiblesses et réduire les opportunités d’attaque informatique, l’ANSSI recommande des actions de sécurisation minimales à mettre en œuvre [3]. Ces recommandations s’adressent aux exploitants et aux propriétaires d’installations d’énergie renouvelable et de gestion de l’eau en France (installations hydroélectriques, éoliennes, photovoltaïques, stations de pompage ou de traitement des eaux dont il a été décidé de connecter l’installation à Internet). En cas de besoin, veuillez solliciter votre installateur ou votre intégrateur.
Mesures de sécurité minimales à mettre en place
- Mettre en œuvre un filtrage sur l’adresse IP source des équipements et des applications autorisées à se connecter à l’installation que ce soit pour un usage d’accès à distance d’une IHM, interface de gestion ou pour des protocoles industriels vers un automate ;
- Sécuriser l’accès à l’installation industrielle via la mise en œuvre d’un tunnel VPN IPsec ou VPN TLS. Celui-ci garantira une authentification robuste et l’intégrité des échanges ;
- Vérifier les comptes existants et remplacer l’ensemble des mots de passe et identifiants par défaut (accès au terminal IHM de maintenance, accès aux automates, etc.) par des mots de passe complexes et robustes. Dans la mesure du possible, activer les options d’authentification à multiples facteurs lorsque celles-ci sont disponibles [4][5] ;
- Utiliser un logiciel d’accès distant maintenu à jour par son éditeur avec des protocoles sécurisés, standardisés et éprouvés (TLS ou SSH) ;
- Appliquer les correctifs de sécurité côté client et serveur dans les meilleurs délais.
A noter pour les points 1 et 2 : La majorité des box Internet, qu'elles soient destinées au grand public ou à un usage professionnel, offrent désormais la possibilité de filtrer les communications autorisées selon l’adresse IP source, ainsi que d’installer un VPN pour un accès à distance sécurisé. Dans la plupart des cas, aucun équipement complémentaire n’est requis.
Que faire en cas de suspicion de compromission
Si ces actions ne sont pas réalisables, il est vivement recommandé de déconnecter les installations d’Internet et d’en réaliser la gestion sur place. En cas de suspicion de compromission, vous trouverez des conseils ainsi que des contacts sur la page dédiée à ce sujet sur le site du CERT-FR [6].
Annexe
Liens et références
-
Etat de la menace informatique sur le secteur de l’eau
https://www.cert.ssi.gouv.fr/cti/CERTFR-2024-CTI-011/↩ -
Pour en savoir plus sur les attaques visant les installations industrielles du secteur de l’eau et de l’énergie, il est recommandé de se référer au « Panorama de la cybermenace 2024 », page 37, section III.B.3, intitulée « sabotage de petites installations industrielles »
https://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-003/↩ -
Pour des mesures complémentaires, vous pouvez vous référer aux recommandations du guide ANSSI La cybersécurité des systèmes industriels
https://messervices.cyber.gouv.fr/guides/la-cybersecurite-des-systemes-industriels↩ -
Recommandations Cybermalveillance Pourquoi et comment bien gérer ses mots de passe ?
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/mots-de-passe↩ -
Pour approfondir les recommandations relatives à l'authentification multifacteur et aux mots de passe, le guide correspondant de l’ANSSI
https://cyber.gouv.fr/publications/recommandations-relatives-lauthentification-multifacteur-et-aux-mots-de-passe↩ -
Conseils et contacts utiles en cas d’incident de sécurité
https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/↩
