La cyberrésilience devient d’autant indispensable que la digitalisation des réseaux électriques augmente les risques de cyberattaque. Afin de conjurer cette menace, les États devront mettre en œuvre des politiques de régulation et de protection des réseaux. Ce, pour que la résilience puisse jouer son rôle en ce qu’elle se définit par la capacité d’un réseau à se régénérer pour revenir à une situation antérieure.
La cyberrésilience suit la nécessité de flexibilisation des réseaux électriques
La question de la cyberrésilience s’intègre dans une évolution profonde des réseaux électriques favorisée par la transition énergétique. La pénétration des énergies renouvelables dans le mix électrique bouleverse notamment le mode de gestion des réseaux par les opérateurs. Ainsi, ces technologies bas-carbone produisent de manière intermittente de l’électricité contrairement aux centrales traditionnelles utilisées jusqu’alors.
Cette transformation pousse les opérateurs à gérer des variations de production en fonction des conditions météorologiques. Généralement, les énergies renouvelables produisent peu aux heures de pointe ce qui conduit l’opérateur à utiliser des capacités de réserve. Or, ces capacités coûtent souvent très chers à entretenir et sont souvent issues du gaz ou du charbon.
La digitalisation comme outil de flexibilité
Afin d’intégrer cette production intermittente et décentralisée, les opérateurs de réseau font de plus en plus appel à la digitalisation. Digitaliser le réseau permet en effet une meilleure gestion par l’établissement d’une communication entre les différentes chaînes du réseau. Autrement dit, les objets connectés facilitent le pilotage en temps réel des opérations favorisant l’équilibre entre l’offre et la demande.
Avec le développement de l’Internet des objets (IoT), les objets connectés deviennent parties intégrantes des réseaux électriques. L’Agence internationale de l’énergie estime à 40 milliards le nombre de ces objets à travers le monde en 2025. Aujourd’hui, près d’1/5ème des dépenses des opérateurs de réseaux électriques se trouvent consacrées à la digitalisation.
Répondre à la multiplication des cyberattaques
Dans un monde de plus en plus digitalisé, la cyberrésilience est perçue comme indispensable pour lutter contre les cyberattaques. En effet, la digitalisation croissante des réseaux électriques multiplie leur vulnérabilité aux attaques de hackers ou de virus. Par les objets connectés, les hackers ont notamment accès à davantage de points d’entrée du réseau facilitant leur insertion.
Cette vulnérabilité est d’autant plus importante que la digitalisation créée un éclatement des acteurs sur le réseau. Or, cet éclatement entraîne une multiplicité et une inégalité quant au degré de résilience des entreprises aux cyberattaques. Ainsi, si l’opérateur du réseau est généralement bien protégé, il n’en va pas de même pour le producteur d’objets connectés. Par un effet de cascade, la faiblesse d’un maillon de la chaîne peut entraîner l’effondrement de l’ensemble du réseau.
Attaques des réseaux ukrainien et indien
Cette situation explique en grande partie l’attaque réussie par des hackers russes contre le réseau électrique ukrainien en 2015. Sept postes électriques ont ainsi été visés entraînant l’effondrement d’une partie du réseau et un blackout touchant 225.000 consommateurs. On considère cette attaque comme étant la première réussie au niveau mondial contre les infrastructures de réseau électrique.
Cinq ans plus tard, c’est au tour du réseau indien de Mumbai d’être attaqué par des hackers chinois. En plein conflit sur l’Himalaya, les hackers réussirent à paralyser le réseau pendant une dizaine d’heures. La cyberattaque a provoqué notamment l’arrêt complet des systèmes de transport public de la ville, en particulier les trains.
Développer une approche holistique des cyberrisques
Ces deux attaques montrent la capacité possédée par les hackers d’infliger des dommages importants aux réseaux électriques. À la suite de ces attaques, les États et les opérateurs ont profondément renforcé leur degré de cyberrésilience. Un des enjeux consiste notamment à créer une régulation cybercommune à l’ensemble des parties prenantes des réseaux.
Du fait de leur interdépendance, les entreprises doivent ainsi mieux collaborer et partager leurs renseignements en matière de cybersécurité. De même, la formation de standards communs de sécurité peut permettre de protéger l’ensemble de la chaîne de valeur. Enfin, les acteurs du réseau doivent impérativement développer une culture de la résilience afin de protéger leurs actifs.
Des approches de la cybersécurité différente aux États-Unis et en Europe
Afin de développer cette culture de la résilience, les États-Unis et l’Europe ont adopté des cadres législatifs ces dernières années. Aux États-Unis, la protection contre les cyberattaques repose sur les standards CIP de la NERC, un régulateur fédéral. Ces standards imposent aux entreprises du réseau une liste de règles à suivre en matière de cybersécurité. Ce type de régulations pose néanmoins le problème de la mise à jour de ces règles dans un environnement évolutif.
En Europe, la régulation est beaucoup plus souple reposant sur des objectifs à atteindre. Ce principe donne aux acteurs la liberté des mesures à mettre en œuvre pour atteindre les objectifs fixés du régulateur. C’est le cas par exemple de la directive NIS de la Commission européenne sur la sécurité des systèmes d’information. La limite est que cette régulation ne permet pas une véritable harmonisation des standards de cybersécurité entre les acteurs.
Sur un réseau de plus en plus digitalisé, les cyberattaques constituent donc un risque croissant pour les réseaux électriques. Les exemples de l’Ukraine et de l’Inde ont montré toute la vulnérabilité de ces réseaux dorénavant aux multiples points d’entrée. La question de la sécurisation de l’ensemble des maillons du réseau devient dès lors un véritable impératif. Dans ces conditions, les enjeux de régulation apparaissent comme absolument critiques pour les États sur ces infrastructures stratégiques.
