
Les attaques véhiculées par e-mail touchent plus durement le secteur de l'énergie et les services publics que les autres
Dans le monde, le secteur de l'énergie et des services publics constitue une partie des infrastructures critiques. Sans un accès fiable à l'électricité, au gaz naturel, aux énergies renouvelables, à l'eau potable et à d'autres ressources, de nombreuses choses dont nous dépendons s'arrêteront net. Les conséquences pourraient être dévastatrices pour les entreprises, les économies, la stabilité géopolitique et même la vie des êtres humains.
Une surface d'attaque plus évolutive
Le secteur de l'énergie et des services publics s'appuie de plus en plus sur les technologies digitales pour gérer et intégrer des activités distribuées complexes et des sites distants, tels que des fermes éoliennes, des centrales électriques et le réseau électrique. Le réseau de systèmes de l'Internet des Objets (IoT) qui en résulte augmente la surface d'attaque que les cyberattaquants peuvent cibler - en particulier lorsqu'ils s'interfacent avec des infrastructures archaïques sous-protégées.
Les cyberattaques réussies contre des entreprises du secteur de l'énergie et des services publics sont très médiatisées. En témoigne l'attaque de ransomware de mai 2021 contre Colonial Pipeline, le plus grand pipeline de carburant des États-Unis. Cette attaque a entraîné le paiement d'une rançon de 4,4 millions de dollars, des pénuries de carburant et des réapprovisionnements en panique chez les automobilistes. Ensuite, en avril 2022, en Allemagne, trois sociétés d'énergie éolienne ont été victimes de cyberattaques qui ont désactivé des milliers d'éoliennes gérées par des commandes numériques. En décembre de la même année, selon CNN, des pirates ont dérobé des données appartenant à plusieurs sociétés de distribution d'électricité lors d'une attaque de ransomware sur un sous-traitant du gouvernement américain qui gère des projets d'infrastructure critiques dans tout le pays.
Comprendre et faire face aux cyberrisques auxquels est confronté le secteur de l'énergie et des services publics est une priorité mondiale. La gestion du risque lié aux e-mails est un bon point de départ. Les e-mails restent un vecteur d'attaque principal avec un taux élevé de réussite et sont un point d'entrée commun pour de nombreuses autres cyberattaques.
Les entreprises du secteur de l'énergie et des services publics sont parmi les plus susceptibles de subir une violation de la sécurité des e-mails et de voir la productivité des employés baisser par la suite
Une récente étude internationale menée auprès d'entreprises de taille intermédiaire a révélé qu'en 2022, 81 % des personnes interrogées dans le secteur de l'énergie, du pétrole, du gaz et des services publics avaient été victimes d'une atteinte à la sécurité de leur messagerie. Le total, tous secteurs confondus, était de 75 %.
De tous les secteurs interrogés, ce secteur a été le plus touché par la perte de productivité des employés, plus de la moitié (52 %) des personnes interrogées citant cela comme effet direct de l'attaque, contre seulement 38 % dans l'ensemble. Cette baisse de productivité est probablement liée au fait que pour 48 % d'entre eux, plus de la moitié de leur personnel travaillait à distance, sur le terrain, et que ces employés ne pouvaient pas travailler lorsque le système était indisponible.

Une proportion supérieure à la moyenne des personnes interrogées dans ce secteur (50 %) a mentionné l’impact néfaste des failles de sécurité des e-mails sur la réputation de la marque. Sur ce genre d'infrastructure critique hautement réglementée et concurrentielle avec un très grand nombre d’utilisateurs finaux, dont des consommateurs, un incident de sécurité peut toucher de nombreuses personnes, nuire aux relations avec les clients et conduire à de la mauvaise presse sur les sanctions financières ou les violations de conformité, qui n'auront pas un bel impact sur l'image de la marque.
Le secteur de l'énergie et des services publics est le moins susceptible d'estimer que le coût de la récupération a un impact significatif. Seuls 22 % indiquent que le coût a un impact contre 31 % sur l'ensemble des secteurs. Cependant, l'étude a également révélé que les coûts de récupération réels dans ce secteur étaient parmi les plus élevés.
Le coût moyen de l'attaque la plus coûteuse pour ce secteur en 2022 - 1 316 190 $ - est le troisième plus élevé et est sensiblement comparable au chiffre de 1 033 066 $ pour l'ensemble des secteurs. Le coût élevé de la récupération suite à l'impact d'une attaque pour ce secteur est probablement dû à la dispersion géographique des actifs numériques et des employés : un peu moins de la moitié (48 %) travaillent à distance - et aux sanctions financières encourues.
56 % des personnes touchées par un ransomware ont été touchées deux fois ou plus, soit plus que tout autre secteur
La proportion supérieure à la moyenne d'entreprises ayant connu une violation réussie des e-mails rend presque inévitable que la proportion d'entreprises subissant d'autres attaques, y compris les ransomwares soit également relativement élevée.

En fait, 85 % des personnes interrogées dans ce secteur ont été touchées par des ransomwares, contre 75 % tous secteurs confondus. Le secteur était également le plus susceptible d'être touché par des attaques répétées.
56 % des personnes interrogées dans ce secteur ont signalé deux incidents de ransomware ou plus, contre un chiffre global de 38 %. Cela suggère que les attaques ne sont pas toujours entièrement neutralisées ou que les failles de sécurité ne sont pas toujours identifiées et corrigées après l'incident initial.
La bonne nouvelle c'est que près des deux tiers (62 %) ont pu restaurer les données chiffrées à l'aide de sauvegardes, contre 52 % dans l'ensemble des secteurs, bien que 31 % aient payé la rançon pour récupérer leurs données.
Les entreprises du secteur de l'énergie et des services publics sont les plus susceptibles d'être victimes d'une attaque de spear-phishing très ciblée
Près des trois quarts des personnes interrogées (73 %) dans ce secteur ont été victimes d'une attaque de spear-phishing réussie en 2022, contre 50 % dans l'ensemble des secteurs, faisant de l'énergie et des services publics le secteur le plus touché et de loin.
Les entreprises qui ont été victimes de spear-phishing ont signalé des impacts également été observés dans d’autres secteurs, mais rarement dans la même mesure. 64 % ont déclaré que des ordinateurs ou d’autres machines avaient été infectés par des logiciels malveillants ou des virus, contre 55 % tous secteurs confondus ; tandis que 62 % ont déclaré que des données confidentielles ou sensibles avaient été volées, contre 49 % dans l’ensemble des secteurs. L’atteinte à la réputation semble à nouveau avoir été un effet notable pour ce secteur, cité par 45 % des répondants. Le chiffre est plus élevé que celui de tout autre secteur et que le total de 37 % tous secteurs confondus. Seuls 37 % ont déclaré avoir mis en place des filtres contre les virus et les logiciels malveillants, contre 47 % pour tous les secteurs confondus.
Le secteur n'est pas entièrement équipé pour faire face aux menaces de base et se déclare beaucoup moins en sécurité que l'année dernière
Plus que beaucoup d'autres secteurs, les entreprises du secteur de l'énergie et des services publics se sentent mal préparées pour faire face à des menaces relativement simples, notamment les virus et les logiciels malveillants - 46 % d'entre elles les placent sur la liste, contre 34 % pour l'ensemble des secteurs. De même, 39 % des personnes interrogées dans ce secteur ne se sentent pas suffisamment préparées pour faire face au spam, contre 28 % tous secteurs confondus, et 32 % citent aussi le phishing, contre 26 % tous secteurs confondus.
Il s’agit d’un résultat préoccupant au vu du volume de cybermenaces ciblant avec succès ce secteur. Cela peut s’expliquer en partie par le fait que ce secteur fait état d’investissements inférieurs à la moyenne dans de nombreuses technologies de sécurité, notamment l’authentification des e-mails, la formation de sensibilisation à la sécurité sur ordinateur, les contrôles d’accès Zero Trust, la protection des URL, le piratage de compte et la protection dédiée contre le spear-phishing, la réponse automatisée aux incidents, etc.

Sans surprise, seules 26 % des personnes interrogées se sentent « beaucoup » plus en sécurité que l'année précédente, contre 34 % dans l'ensemble.
Il faut environ 4 jours pour détecter et corriger un incident de sécurité dans les e-mails
L'étude montre que les entreprises du secteur de l'énergie et des services publics mettent un peu plus de temps que les autres à détecter un incident de sécurité lié aux e-mails - 51 heures en moyenne, contre 43 heures dans l'ensemble des secteurs. Elles sont toutefois plus rapides que la plupart des autres lorsqu'il s'agit de répondre à l'incident et d'y remédier : 42 heures en moyenne, contre 56 heures pour l'ensemble des secteurs.
Selon les répondants de ce secteur, les principaux obstacles à la réponse rapide et à l'atténuation étaient un manque d'automatisation, cité par 46 % d'entre eux, contre 38 % dans l'ensemble des secteurs, ainsi qu'un manque de visibilité, cité par 40 % des répondants, comparé à 29 % tous secteurs confondus.
Il s'agit d'un secteur où les technologies digitales et l'innovation sont développées et mises en œuvre à grande vitesse, puis branchées sur des systèmes existants vieillissants et mal sécurisés. Il n'est donc pas surprenant que le manque de visibilité sur l'ensemble du domaine informatique et l'automatisation incomplète de la sécurité représentent des obstacles importants à la sécurité intégrée.
Sécuriser les secteurs des infrastructures critiques
Les cyberattaques par e-mail sont répandues, en constante évolution et aboutissent encore et toujours.
L'étude révèle à quel point le secteur de l'énergie et des services publics est attaqué, ainsi que les coûts et l'impact importants d'une violation réussie.
Dans ce secteur, les entreprises ont besoin de solutions de sécurité faciles à mettre en place, à exécuter et à gérer. Les technologies de protection automatisées changeront la donne, surtout quand de nombreuses personnes interrogées déclarent ne pas avoir une protection de base contre les malwares et les virus. Cela peut signifier qu'elles n'ont pas activé ou configuré correctement les filtres intégrés qui sont généralement fournis de série avec la plupart des solutions de messagerie d'entreprise.
Un examen, un audit ou un contrôle de santé régulier de la posture de sécurité de l'entreprise est essentiel et doit mettre en évidence les outils déjà en place mais qui ne fonctionnent pas correctement.
Cette étude a été menée par le cabinet d’études indépendant Vanson Bourne pour le compte de Barracuda auprès de professionnels de l’informatique occupant différents postes, de la première ligne à la direction, au sein d’entreprises de 100 à 2 500 salariés, spécialisées dans divers secteurs et implantées aux États-Unis, en Europe, au Moyen-Orient, en Afrique, ainsi que dans la zone Asie-Pacifique. L'échantillon comprenait 129 entreprises dans le secteur de l'énergie, du pétrole et du gaz et des services publics.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter