L’importance stratégique de Colonial Pipeline

Colonial Pipeline désigne un réseau d’oléoducs d’environ 5 500 miles de long - soit près de 8 850 km - transportant des produits pétroliers (essence, gazole, fioul, kérosène)(1) depuis les raffineries installées sur la côte du Golfe du Mexique jusqu'au nord-est des États-Unis dans la région de New York. Au total, le pipeline traverse 17 États américains, comptant pour presque 40% de la population nationale(2) et environ 30% de la consommation de pétrole des États-Unis.

Colonial Pipeline transporte à lui seul 40% à 45% des carburants consommés dans l’est des États-Unis (près de 2,5 Mb/j), « une région avec une faible production pétrolière, une activité de raffinage limitée et en déclin et des stocks d’essence couvrant seulement 20 jours de demande » (64 millions de barils au 30 avril 2021), souligne Kristine Petrosyan, analyste à l’Agence internationale de l’énergie (AIE)(3).

Kristine Petrosyan rappelle que les États-Unis sont, pour la distribution de produits pétroliers, divisés en 5 zones dites « PADD » (Petroleum Administration For Defense Districts(4)). La zone « PADD 1 Atlantic » desservie par Colonial Pipeline dépend des approvisionnements extérieurs (autres zones « PADD » ou importations de l’étranger) pour satisfaire près de 80% de ses besoins de produits pétroliers. Il n’existe « pas de raffineries entre l’Alabama et le Mid-Atlantic(5) produisant des quantités significatives de carburants pour le transport », confirme l’EIA américaine (Energy Information Administration).

Réseau de Colonial Pipeline

La cyberattaque et ses impacts

Colonial Pipeline a été victime le 7 mai 2021 d’un « rançongiciel » (ransomware en anglais), logiciel malveillant chiffrant l’ensemble des données et demandant une rançon en échange du mot de passe de déchiffrement(6). Les activités de Colonial Pipeline ont alors été interrompues et le système informatique de l’opérateur n'a été relancé que 5 jours après l’attaque. La société a déclaré le 19 mai avoir payé 4,4 millions de dollars aux hackers afin de rétablir son activité(7).

L’arrêt des activités de Colonial Pipeline durant cette période a provoqué une panique d’automobilistes se ruant sur les stations-service(8) (deux semaines avant le week-end du Memorial Day qui marque « le lancement de la saison estivale pour la conduite aux États-Unis ») et des pénuries de carburant (en particulier en Caroline du Nord, en Floride et dans l’Alabama). Les prix des carburants à la pompe ont atteint leur plus haut niveau depuis 2014 selon l'American Automobile Association(9). Le transport aérien, habituellement particulièrement sensible à ces perturbations, a été moins impacté que le transport routier en raison du nombre de vols en baisse dans le contexte de Covid-19 (des vols ont toutefois entre autres été reportés et déroutés en raison de pénuries de kérosène).

La cyberattaque a mis en exergue les alternatives limitées à Colonial Pipeline pour transporter les produits pétroliers dans la région, et ce malgré l’état d’urgence déclaré le 9 mai par Joe Biden (qui a permis de lever des restrictions en matière de transport de carburants)(10). Le rançongiciel dont a été victime Colonial Pipeline « souligne à quel point la numérisation et l’automatisation des systèmes énergétiques augmentent la portée des cyberattaques », indique par ailleurs Kristine Petrosyan qui rappelle que l’AIE a récemment consacré un rapport à ce sujet(11).

Sources / Notes

  1. L'EIA indique la répartition suivante pour les produits pétroliers transitant par pipeline de la zone PADD 3 (Gulf Coast) vers PADD 1 (Atlantic) : 58% d'essence, 31% de gazole et de fioul (distillate), 9% de kérosène en 2020.
  2. Plus de 120 millions de personnes habitent dans les 17 États en question.
  3. Ransomware attack on pipeline that provides nearly half of fuel consumed in Eastern US shows need for stronger cyber security measures to protect supply systems, AIE, 11 mai 2021.
  4. Petroleum Administration For Defense Districts (PADD).
  5. Le Mid-Atalantic est l’une des neuf divisions géographiques des États-Unis officiellement reconnues par le Bureau du recensement américain. Cette zone comprend les États de New York, du New Jersey et de Pennsylvanie.
  6. Définition de l'Agence nationale de la sécurité des systèmes d'information (Anssi).
  7. Colonial Pipeline CEO Tells Why He Paid Hackers a $4.4 Million Ransom, Wall Street Journal, 19 mai 2021.
  8. Selon un analyste du site spécialisé dans le suivi des prix de l'essence GasBuddy, un peu plus de 10 000 stations étaient encore à court de carburant mardi matin dans la partie sud-est des États-Unis, les zones les plus touchées étant la capitale Washington, la Caroline du Nord, la Caroline du Sud et la Géorgie.
  9. Average U.S. retail gasoline price exceeds $3.00 for the first time since late 2014, EIA, 18 mai 2021.
  10. « Les expéditions de produits par barges et navires-citernes sont limitées à quelque 800 000 barils par jour dans les régions sud du PADD 1, et les pétroliers en provenance d'autres ports américains doivent être compatibles avec le Jones Act », précise Kristine Petrosyan.
  11. Enhancing Cyber Resilience in Electricity Systems, AIE, 2021.