La cybersécurité des réseaux électriques intelligents

Pourquoi un Livre blanc ?

Un réseau électrique intelligent (REI en abrégé et « smart grid » en anglais) est un réseau électrique dans lequel un système de collecte et de traitement de l’information vient se superposer au transport et à la distribution de l’électricité afin d’optimiser les performances du réseau et d’améliorer le service rendu au consommateur tout en permettant de répondre à des besoins nouveaux tels que l’insertion des énergies intermittentes et/ou décentralisées dans le système électrique. L’une des manifestations les plus tangibles du développement des REI en France est le déploiement des compteurs communicants et en particulier en France du dispositif Linky promu par ERDF. Mais les ambitions des REI vont bien au-delà et doivent se traduire par une gestion du système électrique optimisée, fiable et sécurisée, répondant aux besoins des parties prenantes qu’ils soient producteurs ou consommateurs. Cependant les REI, comme tous systèmes de traitement de l’information, sont soumis à la menace de cyberattaques et aux risques qui en découlent, avec des conséquences qui peuvent être particulièrement dommageables compte tenu du caractère vital des infrastructures électriques. Se protéger contre le risque cybersécuritaire est donc une nécessité. Mais le problème est difficile du fait de l’étendue et de la complexité des réseaux électriques, de l’exigence de sûreté de fonctionnement, de la nécessité de recourir à la télémaintenance pour diverses opérations, du nombre de parties prenantes et de l’émergence incessante de nouvelles formes d’attaques. Des travaux importants sont en cours sur le sujet, chez les opérateurs, chez certains grands industriels, au niveau national et au niveau international. Cependant, il est apparu qu’il serait utile de donner de la cohérence à ces différentes approches en posant le problème dans sa globalité et en essayant de sérier les réponses qu’il est aujourd’hui possible de lui apporter. Ce faisant, le but n’était pas d’écrire une encyclopédie des REI qui nécessiterait des moyens considérables et entraînerait des délais prohibitifs, avec le risque de voir le travail déjà obsolète le jour où il serait achevé. La SEE, au travers de son Cercle des entreprises, a voulu rassembler dans un seul document les informations essentielles permettant aux acteurs concernés par les REI d’user d’un vocabulaire commun et d’acquérir rapidement les données de base nécessaires au développement de leurs activités dans leurs domaines respectifs. Les cibles de ce Livre blanc sont donc : s LES ORGANISMES PUBLICS AYANT ÌCONNAÔTREDES RÏSEAUX ÏLECtriques intelligents ; c’est-à-dire les parties prenantes telles que l’Administration et les organismes publics concernés : certains ministères, CRE, ANSSI, laboratoires de recherche publics, secteur académique… sLESECTEURINDUSTRIELYCOMPRISCELUIDES0-%ET%4)DÏVEloppeurs de nouveaux équipements ou services, installateurs, etc.) ; sETBIENENTENDULESOPÏRATEURSQUISILSPOSSÒDENTLES compétences propres requises par la gestion des REI, pourront néanmoins faire de ce Livre blanc un trait d’union avec leurs nombreux interlocuteurs. Ce document doit en effet permettre de développer les messages que les opérateurs et d’autres grands acteurs, publics ou privés, souhaitent promouvoir pour clarifier les enjeux de la cybersécurité des REI et faire comprendre aux parties prenantes les dispositions à prendre.

La problématique de la cybersécurité des réseaux électriques

Définition de la cybersécurité

La cybersécurité peut se définir comme l’état recherché pour un système d’information lui permettant de résister à des événements d’origine malveillante, susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et d’altérer en conséquence les services rendus par ce système. A cette fin, la cybersécurité met en œuvre des mesures techniques et organisationnelles de protection ainsi que des mesures de détection et de réaction face aux attaques La cybersécurité est partie intégrante d’un concept plus vaste qui est celui de la sécurité. Cependant ce terme est ambigu et correspond, selon les contextes et les interlocuteurs, des choses différentes. Afin de lever toute ambiguïté, nous éviterons dans ce Livre blanc de l’utiliser et le terme « cybersécurité » sera préféré dans la suite du texte.

Aperçu sur la cybersécurité des réseaux électriques

Le thème de la cybersécurité, s’il a pris une dimension médiatique très importante ces dernières années, n’est pas pour autant nouveau pour les responsables de la conception et de la gestion des systèmes électriques. En effet, le pilotage du réseau de transport d’électricité implique l’échange de flux d’informations importants entre les centres de production, les centres de contrôle et les postes électriques. Le nombre finalement restreint d’acteurs, tous de culture industrielle, a permis jusqu’à présent de maîtriser le risque cybersécuritaire. En particulier, la mise en œuvre d’un réseau dédié – dont les points de connexion au réseau d’entreprise via des passerelles sont peu nombreux et peuvent être surveillés en continu – conjuguée à la protection physique des sites les plus sensibles, a longtemps constitué une parade suffisamment efficace. Depuis le début des années 2000, le fort développement du contrôle-commande numérique dans les postes électriques a fait apparaître une nouvelle classe de vulnérabilités, 1 ANSSI : Agence nationale de la sécurité des systèmes d’information. L’annexe du guide publié par l’ANSSI, intitulé, « Cybersécurité des systèmes industriels, Méthode de classification et mesures principales » propose des définitions complémentaires auxquelles le lecteur pourra se reporter. Ce document est disponible à l’adresse http://www.ssi.gouv.fr/uploads/IMG/pdf/securite_industrielle_GT_methode_classificationprincipales_mesures.pdf pas spécifique aux systèmes électriques, mais commune à l’ensemble des systèmes numériques de contrôle industriel qui a été mise en évidence par « l’épisode Stuxnet »2. La possibilité d’accéder au cœur de ces systèmes, facilitée par l’utilisation de systèmes d’exploitation à grande diffusion tels que Windows de Microsoft, a appelé l’attention de nombreux hackers et constitue aujourd’hui un nouveau défi. A cette occasion, une prise de conscience s’est développée quant à la nécessaire maitrise des modes opératoires et sur le fait qu’au-delà des dispositifs de protection physique et technique, la formation des opérateurs était une composante essentielle de la maîtrise de la cybersécurité. Depuis lors, cette préoccupation est intégrée aux différents projets de démonstrateurs de REI. Ainsi en va-t-il DUPROJETi0OSTESÏLECTRIQUESINTELLIGENTSwLANCÏENJUIN 2013, soutenu par l’ADEME et qui regroupe des opérateurs de réseaux et des industriels3. Ce projet met l’accent sur la cybersécurité et vise à doter les futurs postes intelligents de moyens innovants de sécurisation pour faire face à l’ensemble des risques liés aux nouvelles technologies. Il reste que le déploiement à grande échelle des REI, en raison du nombre très important d’acteurs devant communiquer entre eux, fait apparaître de nouveaux types de risques qui ne pourront être approchés par les méthodes traditionnelles applicables à la protection des systèmes numériques de contrôle industriel. C’est une nouvelle approche de la cybersécurité, adaptée à l’architecture ramifiée et évolutive des REI qu’il faut développer. 0ARAILLEURSSILACYBERSÏCURITÏDUNSYSTÒMEÏLECTRIQUE dépend au premier chef de l’opérateur du réseau, elle dépend aussi d’autres acteurs ayant un rôle important dans l’équilibre offre-demande. C’est aujourd’hui le cas des grands sites de production mais c’est de plus en plus le cas des producteurs décentralisés et des consommateurs qui sont amenés à participer de plus en plus à la vie du réseau pour adapter, en permanence et au moindre coût, l’offre à la demande.