Les changements technologiques que l’industrie pétrolière et gazière a connus ces dernières années ont apporté d’énormes avantages en termes d’efficacité et de réduction des coûts. Mais ces mêmes avancées ont également augmenté le nombre et l’éventail des risques de cybersécurité. Joe Morgan, responsable du développement du segment, Infrastructures critiques, Amériques, chez Axis, examine comment les producteurs de pétrole et de gaz peuvent atténuer les risques de cybersécurité.
Je travaille dans l’industrie pétrolière et gazière depuis plus de 35 ans. Cette longue ancienneté m’a permis d’observer des changements incroyables sur le marché et dans la technologie. Il y a eu des hauts et des bas, la découverte de nouveaux gisements de pétrole et de gaz, et des techniques pour atteindre ces réserves. J’ai assisté à l’émergence d’instruments de fond, qui donnent des indications sur des facteurs tels que la pression et le volume, ainsi que de nouvelles techniques de stimulation permettant d’extraire chaque gramme.
Au fil des ans, l’industrie pétrolière et gazière a connu d’importantes avancées technologiques, et elle continue d’évoluer. La transformation technologique s’accélère. Mais ces avancées s’accompagnent de risques de cybersécurité, qui ont également augmenté de manière constante dans le secteur.
Cet article examinera comment les producteurs pétroliers d’aujourd’hui utilisent de nouvelles technologies de capteurs pour améliorer l’efficacité et réduire les coûts, et comment les risques de sécurité associés peuvent être réduits.
Des « oreilles attentives » aux capteurs connectés au réseau
L’objectif principal d’un producteur de pétrole est de maintenir la rentabilité de ses puits, et la technologie joue un rôle important dans les activités. Là où l’oreille attentive d’un opérateur de maintenance sur le terrain pouvait autrefois détecter le bruit d’un roulement défectueux, les capteurs locaux intégrés ont pris le relais.
Les capteurs intelligents et les systèmes SCADA (Supervisory Control and Data Acquisition) aident les entreprises à surveiller et à établir des rapports sur les aspects opérationnels du pétrole et du gaz. Ces capteurs peuvent détecter les changements à un stade précoce et transmettre les données critiques d’une installation à un responsable d’usine ou les envoyer à une salle de contrôle à distance à des milliers de kilomètres.
Jusqu’à récemment, la surveillance à distance était trop coûteuse, mais les innovations apportées aux technologies cellulaires (alimentées par l’énergie solaire et le stockage sur batterie) permettent désormais aux capteurs d’envoyer des informations sur de longues distances. Les capteurs intelligents peuvent également être programmés pour envoyer des données ou des alertes en cas de problème, ce qui permet de réduire considérablement les coûts d’exploitation.
La vérification des alertes ou alarmes peut être réalisée à l’aide de capteurs supplémentaires, y compris des caméras visuelles et thermiques. Ceux-ci peuvent être positionnés pour déterminer si le capteur initial – par exemple un détecteur de fumée ou de gaz, ou un capteur audio – a correctement indiqué un problème, et donc déclencher la réponse appropriée.
Les producteurs adaptent les systèmes de surveillance à distance des puits pour des raisons de sécurité, de processus, de santé et de sécurité, en utilisant une combinaison de ces nouvelles technologies. Les producteurs passeront ainsi d’une attitude réactive à une attitude proactive, ce qui sera bénéfique pour les aspects opérationnels d’un site et permettra de réduire le besoin de certains services liés aux puits. Des capteurs fonctionnant en permanence peuvent détecter une activité anormale, et remplacer les contrôles manuels aléatoires. Cela permettra finalement d’économiser de l’argent et de maintenir la rentabilité des puits.
Combattre les cybermenaces contre les infrastructures critiques
Le secteur du pétrole et du gaz constitue une part importante du secteur des infrastructures critiques d’un pays, et la cybersécurité est la première préoccupation pour la plupart des opérations. Dans notre monde de plus en plus connecté, n’importe quel terminal réseau peut représenter une opportunité de cyberattaque. Le secteur a constaté une augmentation des attaques par ransomware, ciblant souvent les appareils IoT comme point d’entrée dans le réseau, en raison de leurs vulnérabilités de sécurité inhérentes.
Les attaques de malwares de type cheval de Troie représentent également une menace directe pour les opérations pétrolières et gazières, car elles visent généralement à permettre aux attaquants d’obtenir un certain niveau de contrôle opérationnel de l’usine qui, même s’il est limité, pourrait avoir de graves conséquences.
Un acteur malveillant pourrait, par exemple, déclencher une fausse alerte indiquant qu’une machine est défectueuse. En l’absence de vérification, une réponse réactionnelle incorrecte pourrait causer plus de dommages que l’événement réel. Même l’acte de vérification manuelle d’une fausse alarme peut entraîner une interruption coûteuse des opérations.
Les attaques réussies contre les infrastructures critiques, les nombreux sous-secteurs et les autorités associées pourraient avoir des effets catastrophiques. Les cyberattaques réussies peuvent également entraîner un effet de cascade ou de domino : si un sous-secteur s’effondre, d’autres sous-secteurs suivront probablement.
Une solution compromise au sein d’un secteur critique pourrait non seulement avoir de graves conséquences pour l’entreprise, mais aussi pour la société. Étant donné que les pays s’appuient sur ces services, les implications pourraient être généralisées. D’un point de vue commercial, une cyberattaque réussie pourrait avoir un impact négatif sur la réputation de la marque, le cours de l’action et la rentabilité, ainsi qu’entraîner des temps d’arrêt opérationnels et des amendes réglementaires.
Il est donc crucial pour les organisations de se défendre contre ces attaques, qui continuent de se transformer et d’évoluer. En effet, les réglementations dans certaines régions exigent de plus en plus que les entités critiques fassent preuve de résilience face aux cybermenaces, non seulement dans leurs propres opérations, mais sur l’ensemble de leurs chaînes de valeur.
Évaluation de la chaîne logistique
Les pirates sont opportunistes et chercheront à exploiter les vulnérabilités des processus existants. Outre la vérification, les fabricants de capteurs avancés ont ajouté des couches de protection supplémentaires et se tourneront vers des partenaires tiers en matière de cybersécurité pour les aider à renforcer leurs défenses. Par conséquent, la diligence raisonnable de la chaîne logistique n’a jamais été aussi importante lorsque l’on considère les risques associés à une cyberattaque.
Pour protéger leurs propres opérations contre les cyberattaques, les producteurs de pétrole et de gaz doivent voir plus loin que les avantages opérationnels obtenus grâce aux nouvelles technologies et se concentrer sur la maturité de la cybersécurité au sein de leur chaîne logistique.
Pour soutenir l’évaluation des partenaires au sein de la chaîne logistique d’une organisation, l’approche ne doit pas se contenter des aspects opérationnels de la technologie elle-même. Les domaines à prendre en compte tout au long de l’évaluation doivent être le processus et les politiques mises en place pour démontrer la maturité interne, comme la norme ISO 27001. Si ces organisations ne peuvent pas démontrer ce qu’elles font pour se protéger des cyberattaques, comment peut-on leur faire confiance pour protéger leurs clients ? Il est essentiel de travailler avec des fournisseurs de technologies qui font preuve de transparence concernant leur propre approche de la cybersécurité, et leurs propres chaînes de valeur.
Alors que le secteur pétrolier et gazier entre dans une nouvelle ère d’automatisation accrue, le rôle du partenaire technologique devient encore plus crucial pour réussir. Les solutions qu’il fournit contribueront à améliorer l’efficacité et à réduire les coûts dans le secteur, en particulier concernant la surveillance à distance. Cependant, une évaluation minutieuse de la cybersécurité de ces entreprises est essentielle et doit être prioritaire pendant le processus d’approvisionnement. D’après mon expérience, ce serait une catastrophe si la technologie déployée pour améliorer les opérations commerciales et améliorer la rentabilité entraînait la compromission des systèmes de l’utilisateur.
Si nous reconnaissons que chaque entreprise est aussi forte que son maillon le plus faible, nous devons nous assurer que la cybersécurité fait partie intégrante du processus d’évaluation et n’est pas prise en compte après coup. Ce n’est qu'à cette condition, que les entreprises pétrolières et gazières seront en mesure de tirer parti des solutions technologiques émergentes.
