11.10.2016

La cyber-sécurité des installations nucléaires françaises : enjeux et opportunités

philippe_eranian.jpg
Par Thierry Marquez, expert en intelligence économique et président de la SFEN Aquitaine

Qu'elle soit nucléaire, thermique ou hydraulique une centrale comporte de nombreux points vitaux potentiellement exposés aux cyber-risques. Les installations nucléaires, la supply chain et l'ensemble des acteurs maillons de la chaîne de valeur ne sont pas moins exposés. Dans ce contexte, les systèmes industriels numériques requièrent la plus grande exigence concernant la sûreté et la sécurité de l’information. Conscients du risque, les acteurs français du nucléaire travaillent ensemble à améliorer continuellement leurs réponses.

L’ampleur du phénomène des objets connectés a définitivement introduit les vulnérabilités numériques dans notre monde physique. En matière de cyber-sécurité, deux éléments apparaissent comme structurants pour les prochaines années. D’une part, la multiplication du nombre d’objets connectés - 5 milliards en 2016, potentiellement 32 milliards en 2020[1] - augmente d’autant les enjeux liés à leur sécurité. D'autre part, les objets connectés intègrent et structurent progressivement nos sociétés modernes, que ce soit dans le domaine civil, industriel, ou militaire, ce qui rend leur sécurité impérative. En effet, les cas de piratage, d’hack-tivisme ou de cyber-terrorisme augmentent en nombre et en intensité. Ces cybermenaces présentent un risque particulier dès qu’elles touchent aux industries, particulièrement le secteur énergétique, en raison de leurs capacités à franchir la frontière du virtuel pour atteindre le monde réel. Dans ce contexte, la filière nucléaire intègre cet impératif de sécurité dans chacune de ses décisions.

Une menace croissante et protéiforme sur le plan mondial

Selon une récente étude de l’entreprise Tripwire sur la sécurité informatique dans le secteur énergétique, de plus en plus d’industries sont victimes d’incidents de production et de pannes électriques. A l’échelle mondiale cependant, les cyber attaques réussies ayant impliqué des installations nucléaires sont rares. En 2003, aux États-Unis, le ver « Slammer » attaque le réseau privé de la centrale Davis-Besse, dans l’Ohio, neutralisant pendant cinq heures deux systèmes de contrôles commandes, sans toutefois compromettre la sûreté de la centrale. En 2014 puis 2015, en Corée du Sud, Korea Hydro et Nuclear Power (KHNP) a été victime d’une importante cyber-attaque. Les données personnelles de près de 11 000 employés, des éléments techniques des réacteurs et de leurs circuits de refroidissement ont été partiellement diffusés par des pirates anonymes. Les centres de production d’énergie sont des cibles prioritaires pour des cybers-attaquants dont les motivations sont diverses : activisme politique, financières, vol de données, sabotage, déstabilisation, action militaire, etc.

L'AIEA et Interpol travaillent avec les experts nucléaires du monde entier.

Dans ce contexte de menaces croissantes, l’Agence Internationale de l’Énergie Atomique (AIEA), en partenariat avec Interpol, a réuni à Vienne, début juin 2016, 650 experts de 92 pays pour une première conférence internationale sur la sécurité informatique dans le monde nucléaire. A cette occasion, Yukiya Amano, le directeur général de l’organisation onusienne, a prévenu que « les cyber-attaques ou les tentatives de cyber-attaques sont désormais une occurrence quotidienne ». Constatant que « les terroristes et autres criminels sont à la tête de réseaux internationaux et sont susceptibles de frapper partout », il a estimé que l’industrie nucléaire « n’est pas une exception », ajoutant qu’« il y a eu des cas d’attaques aléatoires de programmes malveillants contre des centrales nucléaires ». La coopération internationale se met progressivement en place et se renforce. A son échelle, l’AIEA œuvre pour sensibiliser au risque « cybernuke ». Dès 2011, l’agence avait d’ailleurs publié un guide de prévention dont une mise à jour est en cours de rédaction.

Cohérence et résilience, maîtres mots de la cyber-sécurité pour la filière nucléaire

Les grands acteurs de la filière nucléaire que sont EDF, AREVA et le CEA ont su intégrer le principe de cyber-résilience[2] visant à mieux anticiper et identifier les menaces réelles et les vulnérabilités critiques pour protéger les infrastructures.

Le principe de cyber-résilience

Une organisation est résiliente lorsqu'elle évalue et intègre le risque dans le processus de planification stratégique. Pour le risque cyber, cela signifie aller au-delà de la planification technologique de l'information en considérant la cyber-résilience comme un objectif stratégique à atteindre. Il s'agit de mettre en œuvre une cyber-stratégie globale de solutions à la fois techniques, technologiques, organisationnelles et comportementales pour former, anticiper, détecter, traiter et analyser le retour d'expérience. C'est ce précieux retour d’expérience qui offre une cyber-résilience cohérente et permet d'anticiper et gérer les risques et les crises dans toutes leurs composantes.

Sur un plan opérationnel, la cyber-résilience consiste, en amont du risque, à mettre en place une politique d’anticipation et de prévention efficace, adaptée et conforme aux obligations légales et aux besoins de l'installation.  Elle consiste également à concevoir et animer un dispositif visant à détecter les prémices de tout risque ou menace susceptible d’impacter l'installation et proposer les parades adaptées. Enfin, lorsque le risque est avéré, il s’agit de conseiller la direction de l'installation, gérer la crise et/ou mettre en œuvre un plan de continuité d’activité.

Une bonne mesure pour la filière

La cyber-résilience a l’avantage de favoriser le partage de connaissances et les synergies entre des communautés d’acteurs, différents voire opposés, comme on peut le constater chaque année à l'occasion du Nuclear Industry Summit (NIS). Depuis 2010, une réflexion y est menée par des experts mondiaux du secteur de la sécurité nucléaire. A Washington, le 31 mars 2016, le groupe de travail « Managing Cyber Threats » du NIS a ainsi planché pendant une demi-journée sur ces questions, adoptant une vision commune du risque cyber (2). Les vingt-sept recommandations de leur document font office de référence, de schéma directeur mondial en matière de cyber-sécurité.

Des mesures réglementaires renforcées pour la filière nucléaire française

En s’appuyant sur un appareil législatif important, la France fait office de précurseur en matière de dispositif global de protection de ses infrastructures critiques et vitales. La Convention internationale de l’AIEA relative à la protection physique des matières nucléaires du 26 octobre 1979 impose aux États de respecter la confidentialité des informations dans le domaine de la sécurité nucléaire. En France, la protection des sites sensibles est régie par le dispositif de sécurité des activités d’importance vitale (SAIV) dont le but est d’assurer la protection globale des installations indispensables au bon fonctionnement de la nation. Ce ne sont pas moins de douze SAIV qui ont été cartographiés en 2006 et classés en quatre domaines, dont l’un, économique, englobe la filière nucléaire.

Avalisée par le Premier ministre, une directive nationale de sécurité (DNS) pour le nucléaire détermine les menaces et les vulnérabilités critiques à surveiller. Enfin, conformément aux attentes de la réglementation internationale, cette directive fixe le standard de sécurité à atteindre. De fait, elle constitue le document de référence pour élaborer le plan de prévention et de sécurité générale ainsi que les mesures à prendre pour chaque installation nucléaire.

La cyber-sécurité, une composante du dispositif de protection des infrastructures critiques et vitales

En raison de leur ancienneté, beaucoup d’installations disposent encore de systèmes analogiques. Par définition, elles sont donc très peu sensibles aux cyber-risques. Bien que les systèmes d’informations digitales se déploient rapidement dans la filière, ils sont bien mieux protégés contre les attaques informatiques qu’au début des années 2000. De fait, des solutions de protection avancée ont été élaborées par de grands acteurs de la filière cybersécurité comme Thalès, Airbus Defense & Space ou Siemens. Ces dispositifs sont certifiés par l'Agence Nationale de Sécurité des Services d'Information (ANSSI), une administration rattachée au Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN). Ils sont conçus à la fois pour soutenir les processus industriels tout en les surveillant et les contrôlant en temps réel. En effet, l'ANSSI a recommandé aux opérateurs d'importance vitale (OIV) de se doter de systèmes de protections avancées. L'État a pris en compte ces nouvelles menaces via la loi de programmation militaire (LPM). Elles s’appliquent uniquement aux OIV tels qu’ils sont définis dans les articles L.1332-1 et 2 du Code de la défense. L’État a répertorié les OIV - plus de la moitié sont des entreprises - et a classé la liste « Confidentiel Défense » pour des raisons de sécurité nationale et de réglementation internationale, notamment pour le nucléaire. Toutefois, il est possible de souligner que les centrales nucléaires, au regard de leur caractère hautement stratégique, sont de fait des OIV. Elles sont dotées de systèmes d’informations qui participent au processus vital de l’opérateur. Leur indisponibilité ou leur destruction par suite d’actes de malveillance, de sabotage ou de terrorisme présenterait des risques économiques ou sanitaires importants.

La filière nucléaire française apporte aujourd’hui des réponses adaptées au défi de la sécurité de ses systèmes d’information. Au fil des ans, elle a su anticiper ce risque et le transformer en une opportunité pour réussir sa mutation digitale.

Toutefois, pour que la sécurité des systèmes d’information demeure optimale, celle-ci doit se déployer à tous les niveaux. Comme l’indique le Conseil mondial de l'énergie dans son rapport New cyber resilience report : energy sector prime target for cyber-attacks », les filières énergétiques doivent opter pour une approche systémique et intersectorielle. Dans ce contexte, toutes les fonctions doivent être sensibilisées, puis formées aux risques cybers et aux bonnes pratiques. Car, comme le souligne une récente étude de PWC, le risque cyber est particulièrement lié au comportement de l’utilisateur. Selon le cabinet, l’an dernier, 50 % des violations les plus graves ont été causées par des erreurs humaines involontaires. La méconnaissance de l’outil informatique et des procédures en est parfois la cause mais il relève surtout d’une banalisation du risque et d’un certain fatalisme contre lequel l’utilisateur doit lutter. Les vecteurs de risques se multiplient : téléphones portables, supports de données, clés USB, montre connecté, etc.

Une cyber-sécurité en constante amélioration

Désormais, les centrales nucléaires, déjà à la pointe en matière de sécurité des systèmes d’informations, ont plusieurs grandes obligations définies par la LPM[5] qui fait suite aux préconisations du Livre Blanc sur la Défense et la Sécurité Nationale de 2013. Elles doivent ainsi déclarer leurs systèmes d’informations d’importance vitale et les incidents de cyber-sécurité ; définir et mettre en place des moyens organisationnels et techniques s’appliquant aux opérateurs eux-mêmes comme à leurs sous-traitants ; se faire contrôler par les services de l’ANSSI ou par des acteurs qualifiés par l’agence. Ainsi, l'ANSSI a publié le 27 mars 2015 un décret relatif à la SSI des OIV et un autre concernant la qualification des produits de sécurité et des prestataires de services de confiance pour les besoins de la sécurité nationale. L'agence renforce les obligations des OIV et définit le concept innovant de « Système d’Information d’Importance Vitale » (SIIV). Elle réglemente au demeurant les prestataires de services de sécurité en imposant un label aux partenaires de ces opérateurs valable trois ans. Afin de faire face aux nouvelles menaces cyber et répondre aux besoins de la sécurité nationale, les OIV doivent mettre en œuvre depuis le 1er juillet 2016, pour les premiers d’entre eux, des mesures relatives à la sécurisation de leurs systèmes d’informations. Une première série d’arrêtés a marqué la mise en œuvre opérationnelle de ce dispositif législatif pour les secteurs d’activité suivants : « produits de santé », « gestion de l’eau » et « alimentation ». Dans le courant de l’année 2016 d’autres arrêtés seront publiés et devraient couvrir à court terme l'ensemble du spectre.

Transformer le risque en opportunité : une filière en ordre de marche

La France a su associer l’ensemble des acteurs de la filière dans une réponse coordonnée aux cybermenaces, et propose ainsi l’un des cadres les plus sécurisés. Bien que croissante, la menace est aujourd’hui pleinement intégrée dans le système de management de la sûreté de l’industrie nucléaire. Une cyber-sécurité résiliente et systémique est déployée depuis plusieurs années pour prévenir, détecter les attaques et, le cas échéant, gérer les crises. La filière française du nucléaire œuvre ainsi à transformer ce risque en opportunité.

Le CEA travaille avec des start-up

Le CEA a signé un partenariat avec la start-up lyonnaise Sentryo, lauréate du prix de l’innovation des Assises de la sécurité 2015. Celle-ci propose des sondes qui, placées en différents points du réseau formé par les éléments d’un système industriel, permettent d’établir une cartographie des interactions. « Afin de détecter d’éventuelles intrusions, à partir de la connaissance des configurations considérées comme normales, Sentryo a fait le développement et nous sommes intervenus pour une mise en œuvre en situation sur notre plateforme. Une première version de la technologie est déjà prête », explique Patrick Baldit, directeur des systèmes d’information au CEA Cadarache. Et un nouveau projet financé par la Direction générale de l’armement (DGA) a été mis en place fin 2015 pour munir les sondes de Sentryo de capacités d’analyse comportementale dans une optique Big Data. « À terme, ces développements s’intégreront dans un socle incluant la détection des anomalies en temps réel et des réponses de défense afin de garantir la continuité et l’intégrité de l’activité du site », ajoute Patrick Baldit. De quoi faire des installations du CEA un modèle de résistance aux attaques numériques, alors que des obligations réglementaires s’imposeront bientôt à l’ensemble des infrastructures vitales.

Cybersécurité : AREVA améliorera la sécurité informatique des centrales américaines.

AREVA exporte son savoir-faire outre-Atlantique

De son côté, AREVA, à travers la filiale nord-américaine AREVA Inc., a signé avec des électriciens américains plusieurs contrats portant sur des services d’ingénierie et d’expertise stratégiques de cybersécurité pour un montant de plus de 10 millions d’euros. Ces prestations permettront aux clients du groupe d’améliorer la protection des systèmes numériques de leurs centrales nucléaires. Les prestations d’AREVA incluent notamment des travaux d’ingénierie de cybersécurité visant à contrôler plus de 5 000 ressources numériques critiques, renforcer les programmes informatiques de protection des infrastructures et concevoir des dispositifs de prévention des risques dans le respect des exigences de l’autorité de sûreté américaine (NRC).

1.

« 32 milliards d'objets connectés en 2020 », L’Usine Digitale, 2014

2.

La résilience est la capacité à préparer et à s’adapter à des conditions changeantes, de résister et de récupérer rapidement suite à des perturbations subies. La résilience comprend la capacité de résister et de se remettre d’attaques délibérées, d’accidents, ou de catastrophes naturelles ou encore d’incidents. 

3.

Loi n° 2013-1168 du 18 décembre 2013