Le secteur de l’électricité toujours aussi visé par les cyberattaques / Une épée de Damoclès de plus en plus présente

"Les cyberattaques récentes dans le secteur de l’électricité ont désactivé les commandes à distance pour les parcs éoliens, perturbé les compteurs prépayés en raison de l’indisponibilité des systèmes informatiques et conduit à des violations de données récurrentes". Le tableau dressé par l’Agence internationale de l’énergie (AIE) est loin d’inciter à l’optimisme, il faut dire que ce n’est pas seulement le nombre des attaques qui augmente mais leur coût également.

À titre d’exemple l’AIE avance dans son dernier rapport sur le sujet que le "niveau mondial, le coût moyen d’une violation de données a atteint un nouveau record en 2022, s’élevant à 4,72 millions de dollars dans le secteur de l’énergie ". Principale conséquence de ce danger de plus en plus pressant : des " compagnies d’électricité du monde entier [qui] consacrent déjà des budgets importants à la cybersécurité - en moyenne 8 % du budget informatique total aux États-Unis et au Canada" et pire encore, des "données relatives aux offres d’emploi des principales compagnies d’électricité aux États-Unis montrent que les cyberattaques entraînent une augmentation soudaine de la demande de professionnels de la cybersécurité, ce qui suggère un manque de stratégie ou de planification à long terme dans le passé".

Le public en première ligne

Si les équipes de Fatih Birol plaident que " les petites entreprises aux États-Unis et d’autres dans les économies en développement pourraient adopter un comportement similaire à l’avenir après avoir subi des attaques qui auraient pu être évitées ", l’un des acteurs les plus vulnérables reste les entreprises de services publics. Il est estimé que celles-ci "ont de grandes difficultés à trouver et à conserver les professionnels qualifiés nécessaires pour se défendre" et pour cause, la concurrence est de plus en plus féroce pour attirer des talents toujours plus rares.

Pour illustrer la réalité de cette pénurie, les auteurs du rapport expliquent que là où la " part des offres d’emploi en cybersécurité dans les sociétés financières et d’assurance aux États-Unis a presque triplé au cours de la même période […] celle dans l’administration publique a presque doublé". Au niveau global il est pourtant question d’un "nombre d’offres d’emploi d’experts en cybersécurité dans les compagnies d’électricité [qui] n’a pas évolué aussi rapidement que l’ensemble des offres d’emploi du secteur, malgré la numérisation croissante des réseaux électriques et leur exposition aux cyberattaques".

Manque de main-d’œuvre

Un chiffre permet de mieux comprendre cette difficulté de recruter que rencontre le secteur public : la " pénurie mondiale de travailleurs en cybersécurité dans tous les secteurs [est estimée à 3,4 millions de personnes en 2022]". L’AIE couple ce chiffre avec des données disponibles "pour les États-Unis, le Canada et le Royaume-Uni [qui] suggèrent que les salaires proposés par les compagnies d’électricité dans les offres d’emploi en cybersécurité sont parmi les plus bas de la profession".

Les constats mis en avant expliquent qu’il est très probable que "compte tenu du large éventail d’offres d’emploi, les experts en cybersécurité préféreront probablement les secteurs offrant de meilleures conditions, ce qui aggravera encore la pénurie de professionnels dans le secteur des services publics d’électricité". Et ce alors qu’ils furent compétitifs il y a quelques années, il apparaît que " les salaires proposés par les compagnies d’électricité n’ont pas suivi la concurrence ni l’inflation au cours des treize dernières années, et les compagnies d’électricité sont progressivement tombées dans le groupe inférieur".

Pour contourner le problème le recours à des prestataires externes explose ces dernières années, une pratique désavouée par l’AIE qui juge que "l’adaptation interne aux tendances actuelles en matière de cyberattaques au sein des équipes est nécessaire car elle concerne l’ensemble de la chaîne de valeur des entreprises de distribution d’électricité". En conséquence elle juge que "chaque compagnie d’électricité, quelle que soit sa taille, [doit] intégrer la cybersécurité au cœur de sa stratégie d’entreprise et garantir l’accès à des professionnels internes de la cybersécurité et à leurs compétences, […] en veillant à la rétention des talents".