En se digitalisant, le réseau électrique est devenu une cible de premier ordre pour les cyberattaques. La digitalisation permet une meilleure gestion de l’énergie, grâce à un suivi et un ajustement du réseau en temps réel, une aubaine tant d’un point de vue climatique qu’économique. Cependant, avec la fin de l’isolement des systèmes électriques, on accroît leur vulnérabilité. Une cyberattaque contre un opérateur du réseau électrique pourrait mettre en péril la société dans son ensemble par un effet domino affectant d’autres infrastructures critiques (hôpitaux à l’arrêt, économie paralysée…).
La problématique a depuis longtemps été identifiée et a conduit les autorités à pousser les acteurs du secteur énergétique à initier une sécurisation de leurs installations (dès 2013 en France avec la loi de programmation militaire). Mais, la plus grande sophistication des attaques et l’augmentation du nombre d’acteurs impliqués dans le réseau électrique obligent à revoir (et étendre) les contrôles, exigences, voire régulations, pour maintenir une bonne maturité cyber sur le long terme. Afin d’atteindre cet objectif, une collaboration de l’ensemble des parties prenantes de l’écosystème (fournisseurs de solutions énergétiques, les gestionnaires du réseau…) apparaît comme la stratégie à suivre.
Appréhender la sécurité de la conception à l’exploitation
Avec le développement des énergies renouvelables, de nouveaux produits digitaux (panneaux solaires, bornes de recharge des voitures électriques…) s’intègrent au réseau électrique. Tout comme les systèmes électriques originels, ils n’ont pas forcément été conçus avec une exigence de secure by design, offrant alors aux hackers de nouveaux points d’entrée plus accessibles. S’il est aujourd’hui de plus en plus communément accepté que le secure by design est un incontournable pour tendre vers la maturité cyber, il s’agit d’une condition nécessaire mais pas suffisante.
Quand on considère le nombre – très – élevé d’expositions de produits ou d’automates sur Internet et les leçons tirées des retours d’expérience sur le terrain, on comprend que le secure by design ne peut porter ses fruits que s’il s’accompagne d’une configuration correcte sur toute la durée de vie de l’équipement (secure by operations).
Le maintien en condition de sécurité (MCS) est devenu crucial pour protéger les systèmes d’information, en incorporant, par exemple, une veille de vulnérabilités et en sécurisant les accès distants pour la maintenance qui ne s’effectue pas directement sur site. Dans les faits, on constate que s’il demeure des configurations avec des failles du point de vue de la sécurité, elles sont le plus souvent inconscientes, en raison d’un manque de connaissance et de formation des opérateurs sur le sujet, davantage électriciens qu’informaticiens.
Élever, optimiser et diversifier les compétences cyber des collaborateurs
Face à ce constat, il est important d’admettre que la maturité cyber du réseau électrique ne pourra être atteinte qu’à condition de mettre l’humain au cœur de la réflexion. L’appréhension des menaces cyber passe par une éducation au risque. Pour les employés des secteurs industriels et électriques, un travail de formation et de sensibilisation doit désormais s’accompagner du développement d’une culture cyber pour une pleine compréhension des enjeux.
Une approche métier est également à considérer dans le secteur de la distribution électrique où on a principalement affaire à des électromécaniciens, historiquement éloignés des questions de connectivité et de digitalisation. L’objectif est alors de créer des passerelles entre des univers différents, aux missions et aux expériences très distinctes : électriciens, électrotechniciens, automaticiens, et bien sûr experts cyber. Les équipes IT peuvent en outre se rapprocher des métiers OT et réciproquement pour créer des synergies et appliquer des solutions plus pertinentes.
Par ailleurs, la pénurie de compétences numériques a régulièrement été soulevée comme un problème majeur pour l’avenir de la cybersécurité. Compte tenu des impacts sociétaux d’une cyberattaque contre le réseau électrique, il est encore plus urgent d’œuvrer au développement de formations combinant en leur sein les expertises technologie opérationnelle, secteur électrique et cybersécurité.
Vers une approche intégrée et collective
Pour repenser la place du facteur humain dans la cybersécurité, on doit privilégier une perspective globale et unifiée. Le réseau électrique a des caractéristiques propres et des protocoles spécifiques. La sécurité électrique regroupe un ensemble de pratiques techniques et organisationnelles à mettre en œuvre. On attendra des opérateurs électriques qu’ils soient capables de prendre en charge les questions cyber, la sécurité physique des installations et équipements, mais aussi de basculer en mode dégradé en cas d’incident.
Face à un tel niveau d’exigence, bâtir la résilience cyber ne peut reposer sur les épaules d’un seul acteur. L’interconnexion des infrastructures critiques et l’inflation du nombre de partenaires impliqués dans la gestion des réseaux de transport et de distribution d’électricité risquent de constituer une entrave à une maturité cyber collective. La défaillance d’un sous-traitant peut mettre en péril l’ensemble de l’écosystème, rendant ainsi le réseau électrique plus perméable aux cyber attaques.
Conformément à l’esprit de la directive NIS2, cette nouvelle donne fait de la chaîne d’approvisionnement l’espace le plus pertinent pour réfléchir à une stratégie cyber adaptée aux installations électriques critiques. La sécurisation du réseau électrique est un enjeu de société dont la réussite dépend de l’engagement de tous pour aboutir à un effort collectif où chacun connaît son rôle et ses responsabilités.
La viabilité du réseau électrique ne peut s’envisager qu’à l’aune d’une prise en compte des menaces cyber engendrées par sa récente digitalisation, en adoptant un nouveau paradigme associant secure by design et surtout secure by operations, en plaçant l’humain au centre des considérations et en réfléchissant au niveau de la chaîne d’approvisionnement dans son ensemble. À terme, un changement de modèle, reposant sur une vision holistique de la sécurité (incluant la sûreté et la cybersécurité) apparaît comme un horizon vers lequel tendre pour une transformation digitale pérenne et résiliente.
Ajouter un commentaire