Depuis la cyberattaque Black Energy qui a frappé le réseau de distribution électrique d’Ukraine à l’hiver 2015, une forte prise de conscience de l’enjeu que représente la cybersécurité du secteur énergétique a eu lieu partout sur la planète. Une tribune de Nicolas Mazzucchi.

Secteur fondamental des sociétés humaines, l’énergie est marquée depuis près d’une décennie par une numérisation croissante, ne serait-ce que pour des besoins d’efficience économique. A titre d’exemple, les réseaux électriques intelligents (smart grids) sont en réalité le doublement du réseau électrique traditionnel par un réseau de transmission de données destiné à son pilotage. En ce sens, la double nature de l’électron – porteur d’énergie et d’information – est de plus en plus réconciliée par l’évolution du secteur vers plus de cyber. Toutefois cet aspect positif doit également être contrebalancé par une multiplication des cas de tentatives – ou de réussite – d’agressions cyber sur le secteur énergétique. Avant Black Energy, nous avions connu Shamoon en 2012 qui avait ciblé la Saudi Aramco et, après ce dernier, les cas – connus – ont été sans cesse plus nombreux ; en particulier ceux de pénétration dans les réseaux électriques. Face à cette menace qui peut être d’origine criminelle aussi bien qu’étatique, les autorités publiques ont mis en place des règlementations, dont les ambitions varient selon les pays ou zones géographiques.

La cybersécurité des énergies renouvelables : un enjeu de taille

L’impératif de protection cyber a ainsi été, en France, intégré de plus en plus – au même titre que la sécurité physique des installations – au travers des Livres blancs sur la Sécurité et la Défense, des lois de programmation militaire et des obligations liées aux opérateurs. L’ANSSI en ce sens, a démontré un niveau d’excellence qui positionne la France comme l’un des leaders européens et mondiaux en matière de contrôle des opérateurs d’importance vitale ; en particulier par certification des différentes solutions de cybersécurité. Toutefois les mutations du secteur de l’énergie en France et en Europe, obligent à ne plus regarder cette question que comme un enjeu centralisé et limité à une poignée de grands acteurs publics et privés.

Il appartient également de mieux prendre en compte la problématique de cybersécurité des énergies renouvelables qui jusqu’ici a été le parent pauvre de leur développement. En effet les parcs éoliens ou centrales solaires qui couvrent souvent des superficies importantes, se reposent sur des technologies de pilotage à distance des différentes unités de production. A cet égard, les éoliennes et les panneaux solaires sont des objets connectés comme les autres qui doivent être sécurisés de bout en bout par des protocoles et des technologies appropriées. Or, comme de nombreux objets connectés, la couche servant à l’informatique de pilotage est le plus souvent un rajout postérieur, ce qui fait que ces éoliennes et ces panneaux solaires n’ont pas été conçus en prenant en compte la cybersécurité dès l’origine (security by design). Il en résulte des situations disparates avec des niveaux de protection hétérogènes qui peuvent devenir la proie des pirates de tous bords. Ainsi lors de diverses conférences spécialisées – Black Hat USA 2017 notamment – des démonstrations de prise de contrôle d’éoliennes ont été faites. Plusieurs cas peuvent ainsi se produire, soit une action purement criminelle de rançonnage des opérateurs (ransomware), soit, plus inquiétant, des attaques visant à prendre le contrôle pour détruire ces infrastructures.

Il appartient donc d’accompagner le mouvement de décentralisation de la production – qui est au cœur de la transition énergétique en Europe – par un renforcement des obligations en termes de sécurité de l’information, en particulier auprès des opérateurs d’énergies renouvelables. Identiquement la cybersécurité des mailles réseau les plus basses doit être renforcée, dans l’optique d’une décentralisation de la production d’autre part, mais aussi de futures évolutions des modes de consommation de l’énergie. L’intromission de véhicules électriques en grand nombre raccordés au réseau électrique, y compris via la politique de vehicle-to-grid (utilisation des batteries des véhicules électriques à l’arrêt pour délester le réseau), pose également des questions de cybersécurité. Les véhicules électriques qui sont d’ores et déjà des véhicules connectés, pourraient ainsi être des portes d’entrée pour des attaquants dans un système de pilotage de réseau électrique.

Place à des exigences plus fortes en matière de cybersécurité

Le paradigme de la cybersécurité – dans son aspect technique – est des plus simples : la multiplication des points d’entrée et de sortie du réseau multiplie de facto les vulnérabilités. Avec la transition énergétique qui s’accompagne d’une décentralisation de la production et d’une réticulation encore plus forte, cette multiplication des points d’entrée va mécaniquement être très importante. Il est donc vital d’intégrer dès à présent des exigences fortes en termes de sécurité cyber des différents systèmes – y compris domestiques – au risque d’une explosion des attaques cyber, criminelles ou non.

De la même manière, il importe de considérer les obligations des différents acteurs en fonction de leur taille. Même s’il ne s’agit pas d’une vérité absolue, les grandes entités ont des capacités d’investissement dans la cybersécurité plus importante que les petites et, le plus souvent, une habitude de la prise en compte du risque cyber plus grande. La décentralisation qui risque de s’accompagner d’une atomisation des acteurs – d’autant plus avec la reconnaissance par la Commission européenne des Communautés locales de l’énergie depuis 2017 – doit intégrer fermement l’impératif de cybersécurité tout autant que celui-ci a été imposé aux grands opérateurs d’importance vitale, notamment au travers de la directive SRI (Sécurité des Réseaux et de l’Information), entrée en vigueur après transposition en 2018. Alors que la France dispose d’un des niveaux de cybersécurité les plus importants au monde pour les grands opérateurs, il serait dramatique que leurs obligations ne soient pas étendues aux niveaux plus locaux. La cybersécurité est une chaîne qui n’est forte que du plus faible de ses maillons.