Le secteur énergétique intègre de plus en plus de nouvelles technologies de communication et d’information (TIC) afin d’optimiser ses processus de production et de transport. Cette digitalisation s’accompagne d’un risque accru de cybercriminalité, favorisée par l’augmentation exponentielle d’interconnexions entre les réseaux qui sont autant de portes d’entrées pour des incursions malveillantes. Les exemples passés ont incité l’industrie de l’énergie à prendre au sérieux ces menaces.
Un secteur jusque-là peu concerné
Les infrastructures énergétiques sont des investissements très capitalistiques dont l’amortissement s’étale dans le temps. Le parc nucléaire français a ainsi été prévu techniquement et économiquement pour fonctionner 40 ans. C’est pourquoi de nombreuses installations sont anciennes et peu digitalisées à l’instar du parc français qui fonctionne encore beaucoup à l’analogique. Ce « retard technologique » a ironiquement permis à l’industrie énergétique d’être relativement épargnée par les cyberattaques jusqu’au début des années 2000. Le secteur de l’énergie est depuis l’un de ceux qui a massifié l’utilisation de capteurs qui relèvent et envoient en permanence des millions d’informations. Dans l’industrie pétrolière par exemple, une foule de données est traitée pour rendre compte de la pression, température, viscosité… afin de générer des gains d’efficacité tant dans la production que dans le transport par oléoducs ou gazoducs.
La libéralisation du marché de l’énergie, particulièrement en Europe avec la création d’une bourse commune de l’électricité, a également joué un rôle dans la digitalisation du secteur puisque tous les échanges sont assurés par les TIC. Enfin, les compteurs communicants en cours d’installation en France (Enedis en déploiera 35 millions d’ici 2021), qui représentent la première brique du futur réseau électrique intelligent, permettront au gestionnaire de réseau d’avoir un suivi bien plus précis et en temps réel de ses clients grâce à l’envoi des données de consommation. La protection de ces données sensibles, tant pour le consommateur que l’opérateur, fait l’objet d’une attention particulière d’Enedis. En effet, « lors de la conférence Black Hat Europe 2014, deux professionnels de la sécurité informatique ont démontré qu’il était possible de pirater certains compteurs espagnols dont les communications entrantes et sortantes étaient chiffrées », explique Gabrielle Desarnaud, chercheuse à l’Ifri et auteur du rapport « Cyberattaques et sécurité énergétiques ».
Enjeu majeur
Le piratage des réseaux électriques par l’envoi de fausses données à l’opérateur représente un risque majeur car il pourrait causer des black-out électriques dont les conséquences sont imprédictibles. Il en va de même pour les exploitants de sites nucléaires considérés comme des opérateurs d’importance vitale (OIV), c’est-à-dire dont la défaillance aurait un impact décisif sur le mode de vie de la population. L’intérêt pour le risque nucléaire a été ravivé en 2010 après la découverte d’un virus extrêmement élaboré, Stuxnet, visant les installations d’enrichissement d’uranium de Natanz, en Iran. Il permettait de modifier la vitesse de rotation des centrifugeuses, ce qui empêchait de poursuivre l’enrichissement de la matière et endommageait les équipements. Pour ne pas être repéré, il envoyait en boucle à l’interface de contrôle les informations d’opérations normales. Près d’un millier de centrifugeuses auraient été détruites à cause de Stuxnet. Ce virus aurait été introduit, le conditionnel est ici de rigueur, par le biais d’une clé USB infectée. Le fait que le programme ne puisse s’activer que dans une certaine configuration (nombre et disposition exacts des centrifugeuses) laisse penser que l’opération a nécessité d’importants moyens. A l’époque, l’attaque a été attribuée au gouvernement israélien et/ou américain pour ralentir le programme nucléaire iranien, alors la pomme de discorde de la communauté internationale. Mais aucune preuve n’a été trouvée.
Les cyberattaques ne sont pas forcément le fait d’États ou de groupes à des fins géopolitiques. L’espionnage industriel ou l’extorsion de fonds sont également des motivations d’assaillants. En 2011, Areva a admis avoir été victime d’un piratage de grande ampleur qui a duré deux ans, mais qui n’aurait pas concerné de données sensibles. La même année, les virus Night Dragon et Duqu ont également espionné des entreprises du secteur, notamment pétrolier. Néanmoins, les hackers connaissent mal les systèmes de l’industrie de l’énergie et ont besoin de compétences précises dans l’informatique mais aussi dans l’automatique. Les logiciels de rançon « classiques », c’est-à-dire qui ne vise pas les installations critiques, sont tout aussi efficaces dans l’extorsion de fonds et nécessitent moins de travail.
Des réponses techniques et réglementaires
Pour faire face au risque de cyberattaque, le secteur énergétique privilégie « la défense en profondeur », qui consiste à superposer plusieurs strates de sécurité pour palier la défaillance de l’une ou plusieurs d’entre elles. L’organisation est primordiale pour assurer la sûreté des sites et en premier lieu séparer les réseaux de gestion et opérationnels. Le personnel doit quant à lui être formé pour éviter des erreurs humaines telles qu’introduire des objets connectés non-validés auparavant par l’entreprise. Le meilleur moyen de se prémunir d’une attaque extérieure est donc d’îloter son réseau. En janvier 2003, la centrale nucléaire de David-Besse en Ohio, Etats-Unis, a été infecté par un ver informatique : Slammer. Il s’agit d’un code très simple qui génère des adresses IP pour leur envoyer des répliques de soi-même. Heureusement, la centrale était déjà arrêtée. A noter que le virus n’était pas destiné spécialement à la centrale nucléaire, mais celle-ci a été infectée au travers d’une connexion non-sécurisée vers une entreprise tierce. Ce qui n’est pas le cas en France précise Gabrielle Desarnaud : « les seules informations sortant du réacteur d’une centrale nucléaire à destination d’un acteurs tiers concernent les données de tension et de puissance, échangées toutes les cinq secondes avec le réseau de transmission d’électricité, afin d’ajuster la production en fonction de la demande. Aucune autre communication extérieur n’est admise par le réseau de la centrale ».
Volet réglementation, la France a créé en 2009 l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour lutter contre le risque cyber. En 2016, la France est le premier pays à publier des arrêtés pour les opérateurs importance vitale du secteur énergétique comprenant une liste de mesure à mettre en place. Au niveau de l’Union européenne, la Commission indique avoir introduit la problématique cyber dans son paquet Energie annoncé en 2016.
Romain Chicheportiche
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE