La cybersécurité de l’électricité est l’un des nouveaux défis des compagnies énergétiques. En 2015, le réseau électrique de l’Ukraine est le premier à être visé par une cyberattaque. Cet incident a touché 30 sous-stations électriques et plongé de le noir plus de 225 000 personnes, selon l’International Energy Agency.
La cybersécurité de l’électricité en danger face à la numérisation
L’automatisation et la connectivité accrues du réseau électrique ont, en effet, augmenté les risques de cyberattaques. Selon l’International Energy Agency le nombre d’objets connectés, comme les appareils électroménagers intelligents, devrait être de 40 milliards en 2025. L’augmentation des ressources énergétiques distribuées affaiblissent aussi la sécurité du système électrique.
Une étude de l’International Energy Agency a, par exemple, démontré qu’une cyberattaque sur des véhicules électriques ou des climatiseurs connectés, pourrait paralyser un approvisionnement local en électricité.
Dommages financiers et physiques
Le système électrique, interconnecté aux services essentiels, est sujet à des effets en cascade. Outre un inconfort pour les ménages, une cyberattaque sur le réseaux électriques pourrait aussi paralyser un hôpital et mettre en danger des patients. Ce fût notamment le cas à DAX le 9 mars 2021, selon Le Monde. Pour les entreprises, la cessation d’activité et les dommages occasionnés sur les équipements entraineraient une perte de revenus importante. Selon l’International Energy Agency, une attaque sur le réseau électrique de Londres pourraient couter 111 millions de livres par jour.
Une régulation de la cybersécurité de l’électricité à différentes échelles
Comme il n’est pas possible de prévenir et de contrer totalement une cyberattaque, les réseaux électriques doivent être adaptés pour préserver la continuité des opérations des infrastructures et se remettre rapidement. Les décideurs politiques, les compagnies électriques, les services publics et les fabricants d’équipements se doivent donc d’intervenir. Et ce, afin de garantir des critères d’exigences minimaux en termes de sécurité.
Les Etats-Unis intransigeante, l’Union Européenne plus libre
Plusieurs pays ont déjà mis en place des politiques visant à faire évoluer la cybersécurité de l’électricité dans leur pays. La sensibilisation, la mise en place d’une culture de la cyber-hygiène et l’identification des risques sont les axes importants de leurs politiques.
Les Etats-Unis ont notamment adopté une réglementation en matière de cybersécurité. Et ce, par l’intermédiaire de la la North American Electric Reliability Corporation. Son caractère obligatoire se heurte cependant à la réticence des entreprises, accablées par les rapports, et à l’évolution permanente des cyber-risques. De son côté, l’Union européenne a promulgué la directive Network and Information security en 2016. Une législation cadre qui laisse aux entreprises une liberté dans la mise en œuvre des mesures.
Une problème mondial qui exige de la coopération
La vulnérabilité aux cyberattaques a une résonnance internationale dans le secteur de l’électricité. En effet, si une cyberattaque réussit à atteindre un équipement standard, celle-ci peut donc être réitérée dans d’autres systèmes électriques similaires.
Cette situation pousse les Etats à coopérer avec les fabricants d’équipements et les industries énergétiques pour établir des normes de sécurités minimales. Le partage d’informations concernant les pratiques de cyber-résilience ainsi que les vulnérabilités de certains équipements participent aussi à améliorer la cybersécurité de l’électricité. D’autres secteurs comme les télécommunications ou les transports doivent aussi améliorer leur sécurité pour participer aux efforts de cyber-résilience.
Un secteur difficile à protéger
L’électricité étant diffusée en temps réel, les opérations de cybersécurité sont plus sensibles. Le réseau électrique ne peut pas être mis hors service et la réaction à une attaque doit être immédiate. Autres problèmes : les infrastructures électriques sont composées de technologies récentes et plus anciennes. Ces dernières n’ont pas été protégées car elles ne devaient pas être connectées à des réseaux. Une situation qui créé de nouvelles vulnérabilités.
Le secteur de l’électricité, en pleine mutation numérique, doit être d’avantage sensibilisé à la notion de cybersécurité. Une mission que l’International Energy Agency souhaite remplir grâce à l’instauration d’évènements et d’exercices consacrés aux cyber-risques.
