Août 2017. Des hackers parviennent à s’introduire dans les systèmes d’une entreprise pétrochimique saoudienne. L’objectif ? Saboter les opérations pour provoquer une explosion. Le pire a été évité de peu – c’est un bug dans le code malveillant qui a rendu l’attaque inopérante. Les conséquences auraient pu être dramatiques : au désastre environnemental se serait ajouté un lourd bilan humain. « Des ennemis sans visage ont démontré à la fois leur intention et leur capacité à infliger de sérieux dégâts physiques », écrit alors le New York Times.
Bien que cette attaque soit plus avancée que d’autres, elle n’est que la partie émergée de l’iceberg. Le rapport Risques environnementaux : cybersécurité et industries critiques, publié par Axa en 2020, alertait déjà sur des cyberattaques toujours plus nombreuses et plus ravageuses. « Certains des incidents rapportés ont impliqué des rejets d’eaux usées non traitées ou des fuites de pétrole non détectées par les systèmes », rappelait ainsi l’étude.
Du risque micro aux conséquences macro
Des risques pour l’environnement que les autorités prennent très au sérieux. Et sur lesquels les experts de la Redteam planchent activement pour être prêts à réagir en cas de catastrophe imminente. Cette équipe composée d’auteurs et de scénaristes de science-fiction « imagine les menaces pouvant directement mettre en danger la France et ses intérêts », explique son site. Le scénario intitulé Après la nuit carbonique met en scène un incendie dans un puits de pétrole, qui dégénère en « mégafeu ». « Des centaines de milliers d’hectares brûlent pendant des mois, plongeant le monde dans le noir. »
Un désastre environnemental, comme aurait pu le devenir l’attaque de l’usine pétrolière saoudienne, qui cristallise bien d’autres enjeux : réputationnels, financiers, économiques. À l’heure où les entreprises sont enjointes à prendre leur part dans la transition écologique, de telles catastrophes seraient dévastatrices pour elles aussi. Les cyber-criminels l’ont bien compris et appuient là où ça fait mal. Une étude d’Information Systems Research datant de 2020 a ainsi démontré que « les organisations présentant des rapports ESG trompeurs perçus comme du greenwashing constituent des cibles privilégiées« . Les pirates sont-ils écolos ? Ils sont plutôt pragmatiques : voler des preuves de greenwashing menace la réputation et donc la santé financière de l’entreprise victime qui sera plus encline à payer une rançon pour éviter qu’elles ne soient divulguées…
Mieux vaut prévenir que souffrir
Les pirates sont aussi opportunistes. Si les opérateurs d’importance vitale (OIV) bénéficient d’une protection renforcée, nombre d’entreprises du secteur de l’énergie n’ont pas cette chance. Le rapport intitulé La priorité cyber, publié en 2022 par l’expert norvégien du management du risque DNV, montre que 80% des décideurs du secteur s’attendent à des incidents causant des dommages matériels et 57% des pertes de vie humaine. Pourtant, près d’1 décideur sur 3 (29%) estime que les organisations « ne feraient que réagir plutôt que se préparer ». Et pour cause : moins d’1 sur 2 reconnaît un besoin urgent d’améliorer la prévention d’une attaque majeure contre son entreprise…
Les entreprises doivent donc encore prendre conscience de leur vulnérabilité mais aussi des conséquences en cascade qu’une cyberattaque réussie provoquerait, qu’elles soient dématérialisées ou physiques. Car en matière d’environnement, plus encore que dans d’autres secteurs, comme le rappelle Axa en conclusion de son étude, « un centime investi dans la prévention peut faire économiser des millions à chercher une solution ».