Préparer aujourd’hui les réseaux électriques de demain

Les défis de la cybersécurité dans les Smart grids

  • Partagez

Une nouvelle donne sur les réseaux

Les Smart grids associent aux réseaux de distribution les technologies modernes de l’information et de la communication (TIC). Ces technologies permettent, notamment, de collecter et de consolider l’information au plus près des producteurs, des consommateurs ou lors de l’acheminement de l’énergie et d’exploiter l’information de manière plus intelligente.

Dans le secteur de l’énergie, l’intelligence des réseaux n’est cependant pas un phénomène nouveau.
Les réseaux disposaient initialement de capacités de récupération d’information pour des besoins de pilotage. Cependant, l’ère des Smart grids permet d’accroître la précision des informations relevées : à titre d’exemple, certaines données auparavant relevées globalement par zones, peuvent désormais être collectées à une échelle plus locale, près de points de production ou d’acheminement. Ces données permettent, à terme, une optimisation de la production en limitant les pertes techniques, une augmentation de la durée de vie des réseaux de transport et de distribution d’électricité ou encore une gestion plus fine des dangers liés aux chauffes et aux déformations de lignes. La montée en puissance des énergies renouvelables (pour lesquelles certaines courbes de charges ne sont pas prédictibles) nécessite un relevé d’information de production local (notamment pour les éoliennes, panneaux solaires, etc.). Les compteurs communicants jouent le rôle de maillon de relevé proche des consommateurs. Ces évolutions sont permises, notamment, par l’essor des technologies de la communication, ainsi que par la capacité à traiter de manière intelligente de forts volumes de données.

L’apparition de nouveaux risques

Cependant, la superposition de l’infrastructure de réseau électrique et des technologies de l’information modernes, l’augmentation du nombre de points d’interaction avec le réseau (utilisateurs de réseau “connectés” et points d’accès distants aux équipements du réseau notamment pour des besoins de télémaintenance) exposent potentiellement les réseaux électriques intelligents aux menaces modernes ciblant les systèmes d’information.

Les systèmes d’information d’autres secteurs d’activités ont déjà pu faire l’objet de cas de vols de données personnelles, perturbation de systèmes, attaques de types dénis de services, fuites d’informations, etc.

De nombreux systèmes industriels n’étaient pas parés à faire face à ces menaces. L’exemple de la cyberattaque Stuxnet en 2010, ayant mené à la prise de contrôle d’automates industriels pour modifier les paramètres de fonctionnement d’installations industrielles en accélérant leur vitesse de rotation, est encore dans toutes les mémoires des industriels. Les Smart grids deviennent ainsi potentiellement la cible de ces menaces. Si les réseaux électriques ont recours depuis longtemps à des systèmes d’information et de communication électroniques pour transmettre les données nécessaires à la gestion de la production, du transport et de la distribution d’énergie, les systèmes d’information dédiés aux réseaux électriques utilisent des systèmes propriétaires spécifiques à ces réseaux industriels et sont, encore pour la majorité, dédiés et fermés : l’intégration des réseaux intelligents de communication et d’échanges de données, qui s’appuient sur des technologies telles qu’Internet Protocol (IP) ou le Cloud Computing, augmente le niveau de risque.

Des risques financiers, humains et de réputation accrus

Faire l’impasse sur ces enjeux de sécurité, dès la conception et le déploiement du Smart grid pourrait exposer les exploitants de réseaux intelligents à trois grands types de risques :

  • risque financier : manque de fiabilité, obsolescence du système dès la conception, détournement des équipements individuels à des fins d’utilisation illégale ;
  • risque humain sur les infrastructures critiques (extinction via cyberattaque, cyberterrorisme) ;
  • risque de réputation (vol de données personnelles).

Au-delà de ces risques de grande ampleur, les technologies de Smart grid exposent les entreprises à d’autres risques qui peuvent mettre à mal la fiabilité et la sécurité de l’ensemble de l’écosystème, et qui s’expliquent par divers facteurs :

  • Absence de prise en compte de la sécurité lors des phases de conception : la majorité des fabricants conçoivent les compteurs sans y intégrer des normes et standards de sécurité, supposant que la sécurité relève avant tout de la responsabilité du réseau.
  • Risque d’obsolescence face aux rapides évolutions technologiques : les réseaux intelligents intègrent des technologies interconnectées multiples et en constante évolution, qui représentent autant de points de vulnérabilité facilement exploitables par les cyberattaques, et requièrent en réponse une gestion d’autant plus complexe des mises à jour de sécurité. Par ailleurs, les compteurs communicants doivent avoir la même durée de vie que les compteurs mécaniques, mais doivent également pouvoir démontrer une solide résistance aux attaques, pouvoir être mis à jour à distance et se voir facilement appliquer des patchs de sécurité pour corriger les bugs ou prévenir des menaces et sécuriser des données des usagers.
  • Absence de normes applicables majoritairement suivies en matière de sécurité et de confidentialité, manque de bonnes pratiques largement répandues : cependant, la standardisation des équipements est un facteur essentiel pour le développement et la mise en œuvre des Smart grids, notamment en raison de la complexité des écosystèmes matériels et de la diversité des acteurs proposant des solutions.
  • Forte dépendance des systèmes aux fournisseurs : ces derniers fournissent généralement l’intégralité du système clés en main, avec un contrat de maintenance pluriannuel où les évolutions sont délicates, voire inenvisageables (technologies et déploiements propriétaires).
  • Acheminement, stockage et gestion d’un volume exponentiel de données : la donnée est une information indispensable à la prise de décision dans le cadre du développement des réseaux électriques intelligents. Leur bon fonctionnement et leur fiabilité reposent sur un traitement rapide et efficace d’une masse de données.

Le schéma ci-dessous précise les principales façons de répondre aux enjeux de sécurité pour les projets Smart grid :

Comprendre les technologies opérationnelles et informatiques en jeu est la condition sine qua non pour protéger ces systèmes des menaces virtuelles et physiques. C’est pourquoi, il est primordial de concevoir et de déployer ce nouvel écosystème intelligent sur une base de standards de sécurité extrêmement solide, au risque, dans le cas contraire, d’en compromettre non seulement le retour sur investissement, mais également la fiabilité et la sécurité, voire de mettre en péril l’ensemble du système. Ceci requiert, en amont, une connaissance et une compréhension approfondies des vulnérabilités en matière de confidentialité, de cybersécurité et de fraude. Elles doivent également être présentes au niveau du management de programme, tout au long de la chaîne de valeur de cet écosystème, des équipements à la chaîne logistique, en passant par les systèmes de communication.


Contact

Benoit Rapebach
Ernst & Young Advisory – Information Security
Tél. : +33 1 46 93 45 19

Ce article a initialement été publié sur le site SMART GRIDS – CRE