Il s'agit de la deuxième enquête annuelle réalisée par Oil and Gas IQ. Un panel de responsables informatiques de l’industries du pétrole et du gaz a répondu à une série de questions pour mesurer les niveaux de sécurité de leurs propres systèmes et mettre en évidence les tendances ainsi que les défis qu'ils anticipent dans l'évolution des menaces cybernétiques et la vulnérabilité de leur propre entreprise. Les spécialistes de Fox-IT Christian Prickaerts, Director Managed Security Services, et Erik De Jong, Chief Research Officer, ont analysé le rapport et mis en évidence les 12 éléments les plus importants. 

« Les résultats de cette enquête montrent clairement que la plupart des compagnies pétrolières et gazières ne font toujours pas confiance en leur niveau de sécurité et ne sont pas certains de pouvoir résister à une cyberattaque de grande ampleur », souligne Erik De Jong. « Les menaces augmentent, les cybercriminels sont de plus en plus actifs et leurs outils toujours plus avancés. Nous constatons un éveil de conscience auprès des répondants. Ils examinent aujourd’hui leurs systèmes de manière critique et sont plus soucieux des dangers, ce qui explique sans doute pourquoi les pourcentages sont encore si élevés. Par contre, en conséquence de cette situation, nous observons que l’industrie du pétrole et du gaz prend des initiatives de plus en plus nombreuses pour augmenter ses niveaux de sécurité. Le nombre de nos clients dans ce secteur est en pleine croissance et nous les aidons à lier leur OT et leur IT de manière sécurisée ». 

Voici leurs conclusions : 

1. Seuls 9% (contre 11% en 2014) des répondants font confiance à leurs mécanismes de défense. A contrario, plus d'un gestionnaire informatique sur trois (39%) n'a pas foi en ses propres systèmes. Ce résultat reste identique à l'année précédente, où 40% des répondants partageaient le même avis. 

2. Deux tiers des répondants (65%) ne sont pas « confiants » en leurs capacités de gérer et détecter les APT (Advanced Persistent Threats), ni les acteurs étatiques. Il s'agit d'une forte hausse de 38% par rapport à l'année précédente. Toutefois, cette observation est un point positif qui montre que les professionnels informatiques sont plus lucides sur leurs faiblesses, et qu’ils les admettent. 

3. Les deux méthodes de contrôle de sécurité favorisées par les répondants pour empêcher l'envoi de commandes ou de données malveillantes de l'IT vers l'OT sont en fait celles qui sont les plus facilement brisées par les cybercriminels. En outre, 74% des entreprises n'utilisent pas de zones sécurisées et 78% n'utilisent pas le Four Eyes Principle. Selon Fox-IT, une cyberdéfense efficace doit de préférence être combinée avec des mesures de sécurité physiques, un principe qui n'est malheureusement pas adopté par la plupart des équipes de sécurité. 

4. 61% des répondants admettent que leur entreprise n'utilise pas d’outils forensiques pour interpréter les traces numériques, que ce soit en interne ou en sous-traitance. La majorité a bien mis en place des outils de prévention et de détection mais étrangement, la majorité ne voit aucune valeur dans l’analyse des détails d’une attaque, oubliant de la sorte qu'ils aideront à mieux réagir et combler les brèches. La prévention et la détection doivent être accompagnées d'un suivi et d'une intervention. 

5. Même après des incidents graves tels que Stuxnet et Shamoon, seulement 52% des répondants ont un réseau IDS (Intrusion Detection System) fonctionnel, 23% ont un host IDS, et 42% un SIEM (Security Information & Event Management). Ces résultats ne sont pas significativement meilleurs que l'an dernier (+ 2% en moyenne), mais ils vont dans la bonne direction. 

6. 44% des entreprises utilisent des outils de suivi pour surveiller leur trafic réseau, mais seulement 14% ont un SOC (Security Operations Center) pleinement opérationnel, ce qui signifie que, même si la surveillance est effectuée 24/7, elle est presque inefficace si aucune équipe expérimentée n’analyse les données. 

7. Au cours des trois dernières années, plus d'une entreprise sur trois (39%) a connu plus de deux incidents sérieux en matière de sécurité informatique, et 30% admettent avoir été attaquées une fois (-10% par rapport à l'an dernier). Les incidents liés à la cybersécurité ont été de plus en plus fréquents au cours des trois dernières années. Alors que 30% des entreprises ont été témoins d'au moins un incident, une partie plus importante (39%) admet au moins deux violations graves de leur sécurité informatique au cours de cette période. Par rapport à la première enquête, où personne ne reconnaissait avoir été attaqué plus d'une fois, la différence est importante. Il est par contre plus étonnant qu’un répondant sur quatre assure ne pas avoir été attaqué du tout au cours des 36 derniers mois. Aux yeux des spécialistes de Fox-IT, cette affirmation conduit à une conclusion évidente et regrettable : ces derniers ne l'ont tout simplement pas (encore) constaté. 

8. Ce n'est un secret pour personne, peu d'entreprises sont prêtes à affronter une catastrophe : une personne sur quatre (23%) ne dispose pas d'une équipe ou d’un fournisseur CERT (Computer Emergency Response Team). Sachant qu'une CERT interne ou en sous-traitance est un soutien précieux tant pour la prévention que la réponse, c’est assez alarmant. 

9. Un tiers des répondants (33%) a déclaré disposer d'un plan d'intervention en cas d'incident (IRP, en baisse de 27% par rapport à l'an dernier) et près d'un sur trois ne sait tout simplement pas répondre à cette question (29%). Au vu de l’augmentation quotidienne du nombre de menaces, cela dépasse la compréhension : s’entrainer à vivre des situations d'urgence est probablement la meilleure préparation pour agir convenablement en cas d’alerte. 

10. Moins de 40 pour cent des entreprises pétrolières et gazières utilisent un Managed Security Service Provider pour protéger leur organisation. Et près de la moitié de ce nombre ne sont pas confiantes sur la qualité de leur travail. 

11. Moins d'une entreprise sur deux (48%) estime à jour les connaissances de ses équipes sur les dernières menaces cybernétiques et les derniers outils. Même si ce résultat est alarmant, il montre au moins qu'une proportion significative des répondants sont lucides sur la gravité de la situation. 

12. Les décideurs informatiques sous-estiment largement les coûts d'une cyberattaque et par conséquent, les ressources financières consacrées à la cybersécurité sont insuffisantes. En sachant qu'une cyberattaque peut couler de nombreuses entreprises de niveau mondial, ce manque d'information est dangereux