L’opérateur national du réseau électrique suédois, Svenska kraftnät, a confirmé qu’il avait subi une violation de données à la suite d’une plainte du groupe de cybercriminalité Everest, un gang de ransomware lié à la Russie. Les pirates disent avoir obtenu 280 gigaoctets de données de l’opérateur, bien que le contenu exact du vol reste inconnu.
Selon le responsable de la sécurité de l’information de l’opérateur, la violation a été découverte après qu’un chercheur en sécurité a alerté l’entreprise qu’Everest avait publié des données sur sa plateforme de fuite. L’opérateur a déclaré qu’il enquêtait sur l’incident et a souligné que son approvisionnement en électricité n’était pas affecté.
L’entreprise a déclaré qu’une solution de transfert de fichiers externe avait été compromise. Les responsables ont souligné que, bien que les données aient été consultées, rien n’indique que des systèmes opérationnels vitaux aient été touchés. L’enquête est en cours et les autorités n’ont pas révélé publiquement le type de documents exposés.
Pendant ce temps, Everest a affirmé sur son site de fuite qu’il avait accédé à des centaines de gigaoctets de données de Svenska kraftnät, et a menacé d’en publier davantage si ses exigences n’étaient pas satisfaites. Cependant, l’opérateur n’a pas confirmé si les données sont authentiques ou quel pourrait être l’impact total.
Pourquoi les organisations d’infrastructures critiques sont-elles ciblées ?
Les opérateurs de réseaux nationaux et d’autres infrastructures sont des cibles attrayantes car ils gèrent de grands volumes de données sensibles et font partie de services essentiels. Les attaquants peuvent utiliser les informations volées à des fins d’extorsion, d’obtention d’un avantage stratégique ou de perturbation indirecte.
Dans ce cas, le fait que les systèmes opérationnels n’aient pas été affectés montre comment les attaquants peuvent se concentrer sur le vol de données plutôt que sur le sabotage direct. La reconnaissance rapide de l’incident par l’opérateur et la coopération avec les autorités reflètent l’attention croissante portée à la réponse et à la transparence en cas de violation des infrastructures.
Ce que cela signifie pour les utilisateurs et la sécurité nationale
Bien qu’il n’y ait actuellement aucune menace pour l’approvisionnement en électricité de la Suède, la violation soulève des questions sur la sécurité des systèmes non essentiels qui soutiennent les infrastructures critiques. Les outils de transfert de fichiers externes, les portails d’accès et les entrepôts de données sont des vecteurs d’attaque courants. Les organisations doivent les traiter comme faisant partie de la surface d’attaque.
Du point de vue de la sécurité nationale, l’attaque illustre l’évolution des tactiques des groupes de cybercriminalité et de ransomware. Au lieu de cibler directement les opérations, les adversaires recherchent de plus en plus de données pour en tirer parti, que ce soit par le biais d’une rançon ou d’une publication. Ce changement complique les efforts de détection et d’atténuation, en particulier lorsque les données deviennent une marchandise.
Ce que Svenska kraftnät fait pour la suite
Svenska kraftnät a déclaré qu’elle travaillait avec les forces de l’ordre suédoises et les agences de cybersécurité pour déterminer l’ampleur de la violation. L’entreprise examine l’outil concerné, évalue toutes les données exposées et renforce sa posture de sécurité en conséquence. L’entreprise s’est également engagée à fournir des mises à jour au fur et à mesure de l’avancement de l’enquête.
L’opérateur a également précisé que les opérations de transport d’électricité restent stables et non affectées pour le moment. Cette assurance vise à maintenir la confiance du public et à rassurer les parties prenantes sur le fait que l’incident n’a pas compromis la fiabilité du réseau.