Les cyberattaques visant les réseaux électriques sont une des menaces majeures de notre époque. Apparentées à des actes de guerre, ces attaques peuvent paralyser un Etat ou une région. Mais des efforts considérables sont fait pour optimiser la cyberdéfense de ces cibles critiques. Pendant que l’Union Européenne essaie de mettre en place une stratégie commune de cybersécurité, la France est à la pointe de ces technologies.
Nous avons évoqué, dans la première partie de notre étude, la croissance quasi exponentielle des cyberattaques et des intrusions dans les réseaux électriques de différents pays du monde (Iran, Etats-Unis, Arabie Saoudite, Ukraine…), depuis 2010.
Des vulnérabilité très nombreuses
Les points de vulnérabilité du réseau électrique sont en effet nombreux. Il peut s’agir du réseau de communication qui double le réseau de transport du courant. Un ver informatique peut venir corrompre les automates contrôlés par ce biais.
Les erreurs humaines demeurent l’une des portes d’accès privilégiés des pirates : des groupes de hackers, souvent soutenus par des Etats et disposant de budgets conséquents, peuvent déployer des trésors d’ingéniosité pour récupérer un accès à un site sensible. Le groupe pro-russe Dragonfly est par exemple entré dans les réseaux énergétiques britanniques en imitant à la perfection une plateforme web sur laquelle se rendaient des employés d’une usine, afin de récupérer des codes d’accès.
Eoliennes et panneaux photovoltaïques : des failles béantes
Les compteurs communicants peuvent également être visés : en 2014, deux chercheurs espagnols ont prouvé qu’ils pouvaient prendre le contrôle des compteurs intelligents déployés en Espagne. Autre cible potentielle : les installations éoliennes ou photovoltaïques. Les outils connectés utilisés par ces sites de production sont encore trop mal sécurisés, et des méthodes de hacking assez rudimentaires peuvent les faire tomber.
En 2017, un chercheur en cybersécurité révélait l’existence de 21 vulnérabilités dans les onduleurs connectés à Internet de l’allemand SMA, qui transforment le courant continu des panneaux photovoltaïques en courant alternatif fourni au réseau. Dans un scénario catastrophe, il évoquait la possibilité pour des pirates de prendre le contrôle de tous ces onduleurs pour bloquer la production de centaines d’installation photovoltaïques…
France : l’Ansi assure le robustesse de la cybersécurité du réseau électrique
Face à ces multiples menaces, une solide politique de cybersécurité est indispensable. Sur ce terrain, la France est l’un des pays les plus avancés au monde, qui n’a connu aucun incident ou intrusion. L’Anssi collabore ainsi étroitement avec les professionnels du secteur, les producteurs d’électricité et les gestionnaires des réseaux, et ce depuis les premières expérimentations de numérisation du secteur de l’électricité.
L’agence de sécurité a ainsi encadré très fermement la réalisation des compteurs communicants Linky, « au plus haut niveau des exigences en matière de comptage communicant. » expose Jean-Claude Laroche, Directeur des systèmes d’information (DSI) chez Enedis. Chaque compteur a ainsi été passé individuellement au crible « par des centres d’évaluation de la sécurité des technologies de l’information (CESTI) agréés par l’agence » précise Guillaume Poupard, directeur de l’Anssi.
Des stratégies de défense éprouvées
Le cadre réglementaire français est également l’un des plus robustes au monde. En 2016, la France a été le premier pays d’Europe à émettre des arrêtés sectoriels définissant les règles de cybersécurité pour chaque industrie – dont celle de l’énergie. En 2016, la RTE a investi 144 millions d’euros dans la défense de ses installations.
Mieux, la France s’appuie sur des stratégies éprouvées de défense, via le cloisonnement des réseaux (pour éviter qu’une attaque se propage), la redondance des systèmes et la résilience du réseau. Le pire a déjà été envisagé, et le réseau français devrait être en mesure de soutenir des cyberattaques de grande ampleur : dans ce cas, « les réseaux de distribution d’énergie doivent être préparés à fonctionner sans système informatique (SI), en mode dégradé, pendant quelques semaines. Par exemple, avoir des listes de diffusion préétablies sur WhatsApp pour les managers, ça peut vous sortir d’une situation difficile, tout comme des souches de votre SI sur des serveurs déconnectés de tout » précise Jean-Claude Laroche.
Course contre la montre et manque de spécialistes de cybersécurité
Reste à faire face à la vitesse des pirates et leurs techniques d’attaque changeantes : « La rapidité de l’évolution de la menace face à des entreprises qui ont des systèmes informatiques de très grande taille, c’est la grande question. On a engagé une espèce de course et de fait par rapport aux attaquants, il y a toujours un effet retard » reconnaît Jean-Claude Laroche.
Et pour ne pas perdre cette course contre la montre, il faut disposer d’équipes formées, réactives et efficaces. C’est l’un des grands enjeux des années à venir : les systèmes de cybersécurité étatiques, comme la majorité du secteur, manquent de personnel. Les formations sont trop peu nombreuses, et les profils trop souvent happés par le privé. La formation et la détection des talents doivent être deux priorités de gouvernance.
Une indispensable harmonisation européenne, pour éviter le chaos
Par ailleurs, l’interdépendance des réseaux électriques européens nécessite une rapide harmonisation des stratégies de cybersécurité. La France a certes le système de défense le plus efficace du continent, si les système électrique de ses voisins s’effondrent, le sien ne tiendra pas non plus : « Une attaque contre un système bien ciblée peut se propager au-delà d’un pays donné, les frontières ne permettront pas de contrôler quoi que ce soit. On n’a pas fait d’expérimentation concrète pour voir comment ça pourrait se propager », admet Frédéric Cuppens, professeur à l’IMT Atlantique et spécialiste en cyber-sécurité.
Tout doucement, une législation européenne émerge, proposant la mise en place de normes de sécurité et d’un système de certification régi par l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), pour les secteurs sensibles, dont celui de l’énergie. Mais le temps restant le facteur X de la cyberdéfense, ces initiatives semblent bien lentes devant l’urgence de la situation.
.