Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Cybersécurité : les centrales nucléaires françaises trop vieilles pour être hackées

Suite au piratage de l'antenne de TV5 Monde, de nombreux observateurs se demandent quel secteur sera visé après celui des médias. Avec les tours de contrôle des aéroports, les centrales nucléaires font figure de cibles de choix. Erigée dans les années 70 et 80, la quasi-totalité du parc nucléaire français possède des équipements analogiques et mécaniques, moins performants certes mais surtout moins vulnérables que les réacteurs plus récents. La loi de transition énergétique va toutefois accélérer la digitalisation de l'énergie française sans vraiment mettre sur la table ce problème de la sécurité face à des actes malveillants, comme l'expliquait notre spécialiste de l'énergie Ludovic Dupin lors de l'ouverture des débats à l'Assemblée. 

mis à jour le 10 avril 2015 à 12H51
Twitter Facebook Linkedin Flipboard Email
×

Cybersécurité : les centrales nucléaires françaises trop vieilles pour être hackées
Cybersécurité : les centrales nucléaires françaises trop vieilles pour être hackées © Pascal Guittet - L'Usine Nouvelle

A partir de lundi 6 octobre 2014, la loi de transition énergétique portée par la ministre Ségolène Royal, sera débattue à l’Assemblée nationale. Elle ne convient pas à tous, bien sûr, mais elle a le mérite de redonner de la visibilité à long terme sur des sujets qui en manquaient depuis la disparition du Commissariat général au plan. Cependant, le projet de loi n’a pas accordé la moindre attention à un sujet particulièrement délicat : la cybersécurité.

La transition énergétique met en avant des questions de décarbonation de l'énergie, de dénucléarisation, d’essor des renouvelables, de maitrise de la demande, de construction de bâtiments à énergie positive, de bornes pour voitures électriques…  Le sujet commun à tous est l’intelligence. Tous ces "smarts-bidules" (Smart grids, Smart-meter...) permettent de passer de l’ancien système hyper-centralisé où l'énergie et les données allaient du producteur vers les consommateurs à des nouveaux systèmes où l’énergie et les datas vont dans tous les sens. Les énergies renouvelables, 1000 fois plus petites qu'une centrale nucléaire, se rapprochent des usines et des maisons. Ces dernières, à l’aide de panneaux photovoltaïques posés sur un toit ou d’éoliennes plantées dans un jardin, deviennent des producteurs d’électrons. Pour contrôler sa maison, les compteurs intelligents, les applications smartphone et les outils de stockage permettront aux consommateurs de mieux comprendre leur énergie mais ils vont aussi complexifier les réseaux.

De nouvelles vulnérabilités

Gérard Mestrallet, le PDG de GDF Suez aime à décrire la transition énergétique en 4D, l'une de ces dimensions étant la Digitalisation, les autres sont le Déclin - baisse de production -, la Dérégulation et la Décentralisation. Cette digitalisation interroge les industriels et décideurs du monde de l'énergie. "Le problème des années à venir, c’est la cybersécurité de tous les "smart-objets" et smart-systèmes. Dès qu’on ouvre un système au public, cela crée des vulnérabilités", explique Stéphane Aubarbier, vice-président exécutif  d’Assystem.

Dès 2011, le Massachusetts institute of technology (MIT) produisait un rapport sur l’incorporation d’intelligence dans les réseaux électrique, les smartgrids. "La connexion de différents composants matériels et logiciels introduit des vulnérabilités (…) une protection parfaite contre les cyberattaques est impossible. Il y aura une attaque réussie au final". En réalité, c’est déjà arrivé. En 2010, un virus baptisé Stuxnet cible des applications industrielles Siemens à travers le système Windows. 30 000 ordinateurs sont infectés en Iran. Le virus réussira, entre autres, à prendre le contrôle d'automates industriels et à changer les paramètres de fonctionnement de centrifugeuses pour l'enrichissement d'uranium du programme nucléaire controversé du pays. En accélérant leur vitesse de rotation, certaines vont s'abimer, d'autres seront littéralement détruites ! Ceux qui ont conçu le virus - les Américains sont souvent évoqués - ont réussi à détruire une installation industrielle iranienne sans y poser un pied et sans y faire survoler le moindre drone.

Destruction d’actifs industriels

Cet épisode inquiète. "La cybersécurisation des systèmes de distribution d'énergie a émergé comme l'un des sujets majeurs des pays qui modernisent leurs infrastructures. Les adversaires informatiques ciblent davantage leurs attaques, les sophistiquent et sont de mieux en mieux financés... Le secteur de l'énergie doit rechercher, développer et déployer de nouvelles capacités de cybersécurité et ce avant que l'adversaire ne puisse lancer de nouveaux outils et techniques d'attaque", explique-t-on au MIT. En France, l'Agence nationale de la sécurité informatique (ANSI) réfléchit à définir les règles à respecter pour maitriser ce risque. Il s'agit de repenser les codages et la mise en place de systèmes de sécurité actifs. Un de participants à ces réflexions explique que : "l'exemple iranien a prouvé qu'une fois le virus découvert, il est bien trop tard. Il faut être capable de stopper l'attaque bien en amont".

Concrètement que pourrait-il se passer en France ? Le développement de 35 millions de compteurs intelligents et les investissements de RTE pour rendre son réseau intelligent peuvent faire apparaître des vulnérabilités nouvelles. Il reste que détruire une sous-station ne mettrait pas le réseau en danger, même si des coupures de courte durée et localisées sont envisageables. Pour les centrales, en particulier les centrales nucléaires, le danger, n’existe pas encore. Les unités construites dans les années 70 et 80 possèdent des équipements analogiques et mécaniques, moins puissants que des outils numériques, mais moins vulnérables. Seuls les quatre réacteurs français les plus récents ont bénéficié de contrôle-commandes numériques.

Sur le modèle de la force d'intervention nucléaire rapide pour les accidents sur un réacteur, n'y aurait-il pas un sens à créer une force de réponse rapide à une attaque numérique pour les réseaux nationaux ?  A vrai dire, une telle force devrait même se déployer à l'échelle de l'Europe qui est une seule grande plaque de cuivre interconnectée. Rappelons-nous qu'en 2009, un incident sur une ligne haute tension en Allemagne avait plongé 15 millions d'Européens dans le noir pendant presque une heure sur une zone couvrant essentiellement des pays de l'Europe du nord et de l'est.

Ludovic Dupin

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale