La cyber-résilience des systèmes électriques

  • Source : UFE

En 1982, l’introduction d’un logiciel malveillant dans le SCADA(1) de gestion d’un gazoduc sibérien (causant son explosion) aurait constitué la première cyberattaque de grande ampleur. Depuis lors, de nombreuses cyberattaques majeures ont affecté des infrastructures énergétiques, notamment électriques. Parmi celles-ci, le virus Stuxnext avait causé en 2010 des dégâts très importants au sein de l’usine d’enrichissement d’uranium de Natanz (Iran).

Dans cette publication de l’Observatoire de l’industrie électrique, l’UFE décrypte les différents types de cyberattaques, les motivations variées de celles-ci (financières, géopolitiques, etc.), et les dispositifs mis en place pour y faire face. Elle rappelle que le rythme de ces attaques s’est accéléré depuis 2010 et que celles-ci profitent souvent d’une erreur humaine (manque de formation, non renouvellement des mots de passe, etc.).

L’UFE classe les cyberattaques en 3 grandes catégories : celles soutirant des données confidentielles (souvent à des fins lucratives), celles visant à interrompre la disponibilité d’un service ou d'un système et celles visant à altérer des informations ou des processus.

Ces attaques, souvent découvertes longtemps après avoir infiltré un réseau d’entreprise ou d’usine (de l’ordre de 200 jours en moyenne), font l’objet d’une attention croissante dans le contexte de digitalisation du secteur énergétique. Le développement très important de l’internet des objets (l’Europe pourrait compter 6 milliards d’objets connectés(2) en 2020) nécessite en particulier d’anticiper les vulnérabilités liées à la transmission de données.

L'UFE précise que la cybersécurité des infrastructures énergétiques relève aujourd’hui de la compétence militaire dans plusieurs pays, notamment aux États-Unis. En France, où la stratégie est pilotée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), l’armée devrait disposer de 2 600 « combattants numériques » en 2019 pour faire face aux cyberattaques. 

Lire l'étude :
Cyber-résilience
Sources / Notes
  1. Système d’acquisition et de contrôle de données.
  2. Outils personnels, équipements des foyers, smart homes, moyens de déplacement, etc.

Sur le même sujet