Ce n’était pas une cyberattaque. Mais cela ne veut pas dire que le réseau électrique espagnol ne présentait pas de vulnérabilités. Près de deux mois après le catastrophique black-out du 28 avril, les autorités espagnoles viennent de présenter leur rapport sur cet incident qui avait semé le chaos dans le pays.
Ce document de 182 pages écarte en effet la piste d’un piratage informatique, évoquée au début de la crise comme l’une des hypothèses possibles.
Pour en arriver là, les rédacteurs du rapport se basent sur l’absence de tout indice ou preuve.
Vulnérabilités identifiées
« Aucune preuve de code malveillant ou d’activité d’outil n’a été trouvée », écrivent-ils. De même qu’aucune détection d’un piratage, d’un mouvement latéral ou d’une escalade de privilèges, cette façon pour des pirates malveillants de prendre la main sur des systèmes d’information.
Toutefois, les rédacteurs du rapport n’ont pas travaillé pour rien. Ils signalent en effet des « vulnérabilités, des déficiences ou des mauvaises configuration de mesures de sécurité » qui exposaient les réseaux audités à des risques. Une situation « relativement courante », minimisent-ils.
Ces failles se situent autour de la gestion des authentifications. Cette dernière mériterait parfois d’être renforcée. De même, le rapport pointe des manques dans l’enregistrement de certains logs – les journaux -, dans certains cas pas centralisés ou pas assez complets. Ce type d’information est essentielle pour faire l’analyse d’une attaque informatique.
Les directives européennes essentielles
Enfin, la séparation des réseaux numériques et industriels est à revoir dans certaines situations. Tout comme la gestion des vulnérabilités, parfois pas assez soutenue. Un problème « d’autant plus critique » quand le système d’information considéré est « directement exposé à internet », rappellent les auteurs du rapport.
Pour Sara Aagesen, la ministre de la transition écologique, ces éléments prouvent qu’il « est essentiel d’accélérer la transposition » des directives européennes sur les entités critiques et NIS 2. Un travail également en cours en France.
Pour les autorités espagnoles, le black-out du 28 avril est dû à « une combinaison de facteurs ». Il s’agissait plus précisément d’un phénomène de surtensions ayant entraîné une réaction en chaîne. Les déconnexions de sites de production avaient en effet entraîné ensuite de nouvelles déconnexions.