Le secteur de l'énergie : cybersécurité et directive NIS (2)

30 septembre 2017

 

Alain Deladrière

« Les cyberattaques dans le secteur énergétique représentent l’une des principales menaces à l’encontre notre civilisation » explique William De Riemaecker, Buyle Legal, avocat spécialisé dans les matières énergétiques. Dans ce deuxième article, nous proposons d’examiner de plus près avec William De Riemaecker, l’évolution que connaît le secteur de l’énergie et les menaces en matière de cybersécurité.

Une évolution qui répond à trois raisons 

William De Riemaecker : « L’intégration des marchés électriques nationaux a été poussée par l’Union Européenne depuis 1993 et surtout 2009 avec le troisième paquet énergie. Qui dit intégration dit réseaux de plus en plus interconnectés, ce qui est bien plus rationnel en terme économique et de sécurité d’approvisionnement. Le Conseil européen d’octobre 2014 a de la sorte demandé à tous les États membres d’assurer l’interconnexion d’au moins 10% de leur capacité de production d’électricité installée d’ici 2020.

Cela exige une harmonisation des règles de fonctionnement afin d’une part de synchroniser les différents réseaux nationaux et de gérer le fonctionnement de ce réseau électrique transeuropéen. Il est en effet indispensable de gérer de manière coordonner cette machine gigantesque puisqu’un bug à un endroit donné peut potentiellement faire bugger tout le système.

Le deuxième changement touche aux obligations climatiques qui visent notamment à diminuer les émissions de CO2. Les objectifs climatiques visent essentiellement le secteur énergétique qui représente près de trois quarts des émissions de CO2 – principalement tout ce qui est génération. D’où l’objectif de décarboniser le secteur par l’intégration d’énergie renouvelable et l’instauration de politique d’efficacité énergétique. Ces deux facteurs de stress complexifient un peu plus la gestion du secteur énergétique. Pour remédier à ces facteurs de stress, on digitalise de plus en plus le secteur énergétique. Ces outils deviennent hyperperfectionnés et parviennent quasiment en temps réel à régler tous les problèmes de tensions, générations, etc. Des outils qui demandent de plus en plus de main d’oeuvre spécialisée. Ces outils digitaux se retrouvent quasiment partout dans le système électrique pour la production d’électricité, la gestion des systèmes, la transmission, la distribution y compris chez les consommateurs avec, par exemple, des compteurs intelligents communiquant avec les distributeurs et permettant de voir en temps réel la consommation chez un client. »

Les menaces contre la cybersécurité

« Tous les spécialistes vous diront aujourd’hui que faire du 100% renouvelable est finalement possible. Il faut peut-être simplement retirer les barrières législatives et laisser agir le marché » souligne William De Riemaecker. « L’autre souci est que le secteur (et les différentes activités qui le composent) est de plus en plus connecté (IoT) et de ce fait de plus en plus proie à des cyberattaques. Vous pouvez attaquer n’importe laquelle de ces activités et avoir un impact au niveau national voire au-delà.

Le taux de cyberattaques sur les secteurs de l’énergie se distingue par rapport aux autres industries. Selon le World energy Council, 2016, les agressions contre des sites énergétiques représentaient déjà 16% des attaques.

Le secteur de l’énergie est une cible attractive car il joue un rôle fondamental dans le fonctionnement de l’économie et de la société (infrastructure critique). De plus, le secteur a la particularité qu’une cyberattaque peut se transformer en des dommages physiques à la fois aux infrastructures énergétiques ainsi qu’au milieu environnant (environnement, population,..). 

Ainsi, le 23 décembre 2015, des pirates informatiques ont pénétré dans les systèmes informatiques et SCADA de la société ukrainienne de distribution d’électricité Kyivoblenergo et déconnecté sept postes de 110 kV et vingt-trois postes de 35 kV, provoquant une panne de 3 heures pour 80.000 clients. Cette attaque a été le premier événement cybernétique reconnu publiquement sur l’alimentation électrique d’un pays.

Par conséquent, le défi sur lequel on va déboucher est de décarboniser et d’intégrer le secteur énergétique qui sera de plus en plus la proie des attaques. Auparavant, on attaquait surtout des grosses sociétés pour avoir des comptes bancaires, se livrer à des tentatives d’extorsion bref avec l’argent pour cible. Aujourd’hui, on se rend compte que cela touche des secteurs stratégiques comme l’énergie que l’Union européenne considère comme des infrastructures critiques fournissant des matières à la fois nécessaires pour l’économie et le bien-être des gens. Dès lors, toute attaque peut avoir des résultats désastreux. Et dans la période que nous connaissons avec le terrorisme et les tensions géopolitiques, on comprend vite que ces sociétés sont mal armées pour faire face à ces menaces et que cela pouvait engendrer le chaos intégral. En outre, cela peut entraîner des dommages physiques, de graves conséquences sur les personnes et sur l’environnement. Alors que si l’on s’attaque à une banque ou une société de service/production, vous allez vous ‘limiter’ à des problèmes économiques et financiers. Prendre, par exemple, le contrôle d’une centrale nucléaire ou un barrage peut avoir des conséquences extrêmes. Prenons l’exemple d’un barrage, non seulement cela peut mettre en danger l’approvisionnement en eau, la génération d’énergie mais aussi inonder toute une vallée et tuer des centaines de personnes. C’est pareil pour une centrale nucléaire avec peut-être un impact encore plus grand. Quant à l’interconnectivité entre les secteurs génération, transmission et consommateurs, elle peut entraîner de graves conséquences. En s’attaquant à un maillon faible comme une simple éolienne – elles sont de plus en plus gérées de l’extérieur – on peut déstabiliser tout un réseau.»

(Fin du volet 2)

Laissez une réponse

Votre adresse email ne sera pas publiée. Les champs obligatoires sont indiqués *