La cybersécurité, volet incontournable de la transition énergétique
Un article de Pascal Antonini, associé TNP et Simon Ballouhey, consultant confirmé TNP paru dans le livre blanc « Comment accélérer la transition énergétique ? »
Les énergies renouvelables et l’énergie nucléaire sont au cœur de la stratégie énergétique du gouvernement, annoncée lors du discours de Belfort en février 2022. Les ambitions affichées de sortir des énergies fossiles, d’atteindre la neutralité carbone en 2050 ou encore d’accélérer la production d’énergies renouvelables sur l’ensemble du territoire participent toutes à la transition énergétique telle qu’envisagée par les pouvoirs publics.
Concrètement, cette transition repose en partie sur l’augmentation de la production d’énergie solaire, l’accélération du déploiement des parcs éoliens en mer et l’accroissement de la production d’éoliennes terrestres. Autant de projets qui ne peuvent faire l’économie d’une stratégie cybersécurité, tant le secteur de l’énergie est pris pour cible par les hackers. Les cyberattaques dont ont été victimes certains fabricants allemands d’éoliennes en 2022 en témoignent : en Europe centrale, 5 800 éoliennes du fabricant Enercon, représentant une puissance totale de 11 gigawatts, ont été touchées par une panne de liaison satellite résultant d’une attaque, rendant impossible leur surveillance et leur contrôle à distance.
Si ces incidents n’ont pas empêché le fonctionnement en mode automatique des éoliennes impactées, celles-ci de- meurent des infrastructures critiques dont les risques cyber doivent être maîtrisés, notamment en période de fortes tensions géopolitiques : les attaques en question ont en effet été attribuées à la Russie et visaient à perturber les communications ukrainiennes.
Ainsi, les entreprises du secteur de l’énergie sont particulièrement convoitées par les hackers, dont les motivations, financières ou idéologico-politiques, les poussent à saboter, espionner ou voler les données des entreprises. Cibles de choix, elles représentent un intérêt stratégique et peuvent être qualifiées d’Opérateur d’Importance Vitale (OIV) voire d’Opérateurs de Services Essentiels (OSE). Vital est leur rôle car, pour déstabiliser son adversaire, un État a tout intérêt à s’attaquer à son système d’approvisionnement énergétique, dont la perturbation ou l’interruption impacteront d’autres services essentiels tels que les transports, la santé ou les communications.
Ces cyberattaques peuvent prendre plusieurs formes : interruption de la disponibilité d’un système ou d’un service; surveillance d’une activité stratégique; exfiltration d’informations ou atteinte à leur intégrité; compromission d’un système pour altérer des processus (suppression de logiciels critiques, modification du comportement d’équipements, prise de contrôle du SCADA …)
Non contentes d’être des cibles privilégiées, les transformations des entreprises du secteur de l’énergie les exposent de plus en plus aux menaces cyber. Certes, la numérisation crois- sante des processus de production, de stockage, de transport et de consommation d’énergie a permis de gagner en efficience énergétique autant qu’en disponibilité et réactivité des services.
« Les technologies de l’information et de la communication (TIC), progressivement déployées au sein des infrastructures énergétiques, ont ce double avantage de permettre l’analyse de don- nées complexes afin d’optimiser la chaîne d’approvisionnement dans son ensemble, tout en proposant au consommateur une gamme de services plus personnalisés. »
C’est grâce à cette numérisation que l’étude de données de production et de fonctionnement des équipements est améliorée, et permet de prendre des décisions éclairées en faveur de la transition énergétique. La rationalisation de la consommation d’énergie en est un bon exemple. De même, les ré- seaux intelligents « contribuent à la réussite de la transition énergétique en étant [des] acteur[s] clé[s] de la gestion de l’évolution de la demande électrique » : ils permettent, entre autres, d’optimiser la distribution et le transport de l’énergie, de maîtriser la demande en énergie et, in fine, de faciliter l’équilibre entre sa production et sa consommation.
En revanche, une telle numérisation va de pair avec une plus grande exposition aux risques cyber. Une utilisation accrue d’outils logiciels représente, en effet, un terreau favorable pour les attaquants, qui tenteront d’accéder aux systèmes de contrôle industriels par différents moyens. En outre, compte tenu de la temporalité spécifique de ces systèmes industriels – conçus pour rester stables et peu sujets aux changements sur des cycles longs, jusqu’à dix ans pour les centrales nucléaires – l’application de correctifs de sécurité est difficile à mettre en œuvre. Aussi le risque d’exploitation de failles logicielles est-il plus probable que sur des systèmes d’information agiles et mis à jour régulièrement.
Le développement des infrastructures d’énergies renouvelables ne fait pas exception : l’exemple des éoliennes d’Enercon est représentatif de leur nécessaire sécurisation.
Ces infrastructures sont en effet géographiquement dispersées en Europe : elles sont pilotées et maintenues à distance, et fonctionnent grâce à des systèmes développés et fournis par des tiers prestataires, ayant accès aux actifs informationnels et industriels critiques. Chaque fournisseur représente ainsi une porte d’entrée pour un attaquant. Logiquement, un unique prestataire qui fournit ses services à différentes entreprises accroît le risque de concentration. « La découverte de vulnérabilités sur des systèmes de contrôle industriels dé- livrés par un vendeur unique est également en augmentation, faisant peser des risques à toutes leurs entreprises clientes ».
Aussi, connaître et sécuriser sa chaîne de sous-traitants est une première étape pour protéger efficacement les systèmes énergétiques des cyberattaques. Intégrer des dispositifs de sécurité en phases pré et post-contractuelles, évaluer les politiques de sécurité des fournisseurs, avoir une vision claire et définie de la sous-traitance en cascade : autant d’actions qui permettent d’adopter une approche fondée sur les risques vis-à-vis des tiers.
De surcroît, l’interconnexion entre l’Operational Technology (OT), c’est-à-dire la technologie d’exploitation (ex : automates, chaînes de déplacement du matériel) et l’Information Technology (IT), ou l’informatique de gestion, dans le secteur de l’énergie, favorise les risques de propagation des attaques. En effet, les systèmes OT ont progressivement été sortis de leur isolement depuis les années 1980 (échanges avec l’IT, réseaux Ethernet, Cloud). Cette « convergence IT-OT » ex- pose donc les systèmes industriels de la même façon que les systèmes de gestion : « La standardisation des systèmes et les nouvelles fonctionnalités ont apporté aux systèmes industriels les vulnérabilités du monde de l’informatique de gestion ». L’exemple du malware « Black Energy » est significatif à cet égard : en 2015, plusieurs entreprises ukrainiennes du secteur de l’énergie ont été victimes d’une cyberattaque, peu complexe de surcroît – mail de phishing – qui a provoqué un blackout sans précédent et privé d’électricité près de 230 000 personnes.
Maîtriser ses risques cyber implique donc l’implémentation de mesures aussi bien organisationnelles (sensibilisation et formation du personnel aux bonnes pratiques de sécurité, intégration de la sécurité dans les projets, évaluation et analyse des risques OT / IT) que techniques (tests d’intrusion périodiques des infrastructures énergétiques, revue de configuration des logiciels…). De façon plus générale, la sécurité des systèmes d’information doit être assurée par des dispositifs de protection qui couvrent à la fois les systèmes OT et IT, dans le cadre d’une gouvernance globale de gestion des risques.
Cette maîtrise des risques cyber est appelée à devenir une nécessité, pour le secteur de l’énergie, à l’échelle de l’Union Européenne, dont le « paquet d’hiver » intitulé « Propositions législatives en vue d’une énergie propre pour tous les Européens » indique explicitement que la transition énergétique ne peut s’opérer en Europe sans prendre en considération les menaces cyber. Plus précisément, « la refonte du règlement sur le marché intérieur de l’électricité prévoit l’adoption de règles techniques pour l’électricité, telles qu’un code de réseau sur les règles sectorielles concernant les aspects liés à la cybersécurité des flux transfrontaliers d’électricité, les exigences minimales communes, la planification, la surveillance, les rapports et la gestion de crise. » Un autre règlement, sur la préparation aux risques dans le secteur de l’électricité, « souligne la nécessité d’évaluer correctement tous les risques, y compris ceux liés à la cybersécurité, et de proposer l’adoption de mesures visant à prévenir et à atténuer les risques identifiés ».