Réseaux électriques : la cybersécurité monte en puissance
Les cybermenaces ont un impact direct sur l’exploitation des réseaux électriques. Comment renforcer leur sécurité face à ces risques ? Nous avons posé la question à Oscar Prado, responsable Sécurité Systèmes d’Information (CISO) chez Romande Energie.
Rappel des faits
Longtemps perçus comme des infrastructures essentiellement techniques, les réseaux électriques sont aujourd’hui engagés dans une transformation profonde. Conçus pour un système relativement stable et centralisé, ils doivent désormais intégrer des flux décentralisés et des fonctions de pilotage intelligent. Une mutation qui change la nature même des réseaux, mais qui déplace également le regard vers leur sécurité, dans un contexte de multiplication des cybermenaces.
De quoi parle-t-on quand on évoque la cybersécurité des infrastructures énergétiques ?
Dans le secteur de l’énergie, la cybersécurité est avant tout une question d’exploitation sûre et maîtrisée du réseau. Une cyberattaque peut chercher à perturber l’exploitation, à provoquer une perte de visibilité sur le réseau ou à compliquer la capacité à réagir en situation dégradée. L’enjeu principal n’est donc pas de protéger la donnée en tant que telle, mais d’assurer la continuité et la sécurité de l’approvisionnement en électricité. Pour ce faire, il s’agit de protéger les systèmes qui permettent de produire, d’exploiter et de distribuer l’électricité, en particulier chez les gestionnaires de réseaux de distribution (GRD). Cela recouvre bien sûr les systèmes informatiques classiques, comme les systèmes de gestion intégrée de type ERP (Enterprise Ressource Planning), la messagerie électronique ou les outils de collaboration. Mais cela concerne surtout les systèmes industriels (OT, pour Operational Technology), c’est-à-dire les systèmes qui pilotent physiquement les installations – téléconduite, postes électriques, automatismes, capteurs ou encore dispositifs de supervision.
Quelles sont aujourd’hui les principales cybermenaces qui pèsent sur les réseaux électriques ?
Les menaces les plus significatives prennent plusieurs formes. Les ransomwares (des attaques qui bloquent un système et exigent une rançon pour le débloquer, ndlr.) restent très présents, souvent via les systèmes d’information, avec un risque de propagation ou d’impact indirect sur l’exploitation. Les systèmes informatiques des fournisseurs peuvent aussi devenir un point d’entrée, que ce soit via des prestataires, des logiciels industriels ou des accès de maintenance à distance. Le phishing (arnaque par SMS ou email, ndlr.) et le vol d’identifiants demeurent par ailleurs très efficaces. On observe également des attaques plus ciblées visant des fonctions critiques ; elles sont plus rares, mais leur potentiel d’impact est élevé. Enfin, les erreurs humaines restent une cause majeure d’incident.
De telles attaques sont-elles crédibles dans le contexte suisse ?
Malheureusement oui. La Suisse dispose d’infrastructures très connectées et d’un tissu de GRD très hétérogène. Et tous ne disposent pas du même niveau de maturité ni des mêmes moyens. C’est précisément pour cette raison que le sujet est aujourd’hui pris très au sérieux. La question n’est plus de savoir si une attaque est possible, mais plutôt quel en serait l’impact et comment y résister.
Des exigences de sécurité élevées sont-elles compatibles avec la numérisation des réseaux ?
La numérisation est indispensable pour intégrer les énergies renouvelables, gérer la flexibilité, et piloter des réseaux de plus en plus complexes. Mais en effet, en contrepartie, elle augmente mécaniquement la surface d’attaque. Et un smart grid qui ne serait pas sécurisé deviendrait un point de fragilité plutôt qu’un progrès. D’où la nécessité d’une approche dite secure-by-design, en particulier pour les GRD. Cela signifie qu’il faut séparer rigoureusement les systèmes informatiques (IT) des systèmes industriels (OT), et cloisonner également les différents sous-ensembles des systèmes industriels, afin de limiter les risques de propagation et renforcer la sécurité. Les accès à distance doivent également être très contrôlés, avec une authentification forte et une traçabilité systématique. Il est par ailleurs nécessaire de mettre en place une surveillance adaptée aux environnements industriels, capable de détecter des comportements anormaux. Il faut encore gérer les risques même quand on ne peut pas faire de mise à jour de sécurité, ce qui arrive souvent avec les systèmes industriels. Enfin, les exigences de cybersécurité doivent être intégrées dès l’achat des équipements et des services.
La Suisse est-elle prête à gérer une cyberattaque majeure sur son système énergétique ?
Le niveau de maturité des acteurs n’est pas uniforme, notamment chez les GRD. Il s’agit d’un domaine historiquement centré sur la fiabilité électrique plutôt que sur la cybersécurité, même si le rattrapage est clairement en cours. Ces dernières années, on observe ainsi un renforcement marqué du cadre, avec une surveillance basée sur les risques, le recours à des standards de référence, l’élaboration de guides sectoriels, l’introduction d’obligations de signalement et une coopération accrue entre les acteurs et les autorités. Et les grands acteurs de l’énergie sont appelés à jouer un rôle déterminant en la matière. Ils doivent en effet tirer le niveau global vers le haut, investir dans la résilience, partager les bonnes pratiques, s’exercer à la gestion de crise et travailler de manière coordonnée. De nouveau, l’enjeu n’est pas d’éviter tout incident, mais de savoir encaisser, contenir et rétablir rapidement.
Quels sont les grands défis à moyen terme ?
La cybersécurité des réseaux électriques est avant tout un sujet d’organisation et de résilience. Les principaux défis pour les GRD tiennent d’abord à l’hétérogénéité des systèmes industriels, souvent anciens et difficiles à sécuriser. S’y ajoute la convergence IT/OT, alors que les équipes ont longtemps fonctionné de manière séparée. Et puis, la dépendance aux fournisseurs et aux prestataires est parfois sous-estimée, tout comme l’impact de la pénurie de compétences dans le domaine de la cybersécurité, particulièrement marquée en Suisse. Enfin, l’industrialisation des attaques est un facteur de risque croissant, avec des outils de plus en plus automatisés et intégrant de l’IA. Au-delà des réponses technologiques, les priorités sont également organisationnelles. Nous devons développer des compétences cyber de terrain et orientées OT, renforcer les capacités de détection et de réponse aux attaques, structurer des plans de continuité et de gestion de crise, et nous entraîner régulièrement.
Propos recueillis par Elodie Maître-Arnaud
L’expert
Oscar Prado est responsable Sécurité Systèmes d’Information (CISO) chez Romande Energie.