4. Quelle sécurisation possible des Smart Grids ?

Cet article à vocation à donner des pistes de solutions et de présenter ce qui est actuellement envisagé par les États et les parties prenantes afin de prévenir les cyberattaques dans le secteur des smart grids.

1. En droit international

Le cyberespace pose de nombreux problèmes pour une réponse juridique efficace. En effet, il revête par définition une dimension internationale et dématérialisée, ce qui renforce le sentiment d’impunité des cybercriminels. Aussi, la localisation des infractions constitue l’un des principal problème.

Autre question de droit international, quid de la souveraineté ? Un État peut-il décider unilatéralement d’intervenir sur une cyberattaque en cours (touchant ou non son territoire) localisée sur un territoire étranger ?

Pour faire face à ces enjeux plusieurs textes à portée internationale en faveur d’une harmonisation ont été signés. Néanmoins, l'harmonisation reste très insuffisante et ce matérialise par la lenteur des réponses apportées en cas d’attaques.

La convention de Budapest

Texte de référence en la matière, il s’agit d’un Traité international créé en 2001 et est l'unique instrument international permettant de lutter contre la cybercriminalité. Il tente d'harmoniser les règles, d'améliorer les procédures et de renforcer la coopération. Ce texte consacre enfin 9 infractions pénales commises par un biais numérique ou sur un outil informatique.

Cependant selon les observateurs, ce texte ne suffit pas pour répondre aux cybermenaces et n’est que la base d’une harmonisation à son seuil minimum au vu des enjeux.

2. La stratégie européenne

L’Union Européenne tente de renforcer la coopération et l’harmonisation depuis de nombreuses années. En effet c’est elle qui est à l’origine de la Convention internationale de Budapest. Cependant ce n'est pas tout :

• En 2004, l’Agence Européenne chargée de la Sécurité des Réseaux et de l’Information (AESRI / ENISA en anglais) est créée. Cet acteur met en place des normes de sécurité et de systèmes de certification pour les secteurs sensibles ;

• En 2016, la Directive Sécurité des Réseaux et Systèmes d'Information (SRI), premier acte législatif sur la cybersécurité à l’échelle européenne est créé. On y retrouve 3 mesures fortes :

- l'amélioration des organes de contrôles et de leurs compétences ;

- le renforcement de la coopération au sein de l’Union ;

- l'instauration d’obligations de gestion des risques et de notifications des incidents ;

• Enfin, Europol renforce la coopération policière et à un rôle préventif au sein de l’Union avec en son sein la création en 2013 du Centre européen de lutte contre la cybercriminalité.

3. Le cadre règlementaire français

La France a fait office de précurseur car elle a, dès 1978, avec la Loi Informatique et Liberté, posée les jalons de la prise en compte de la cybersécurité dans son appareil juridique.

Puis, la loi Godfrain de 1988 relative à la fraude informatique offre une meilleure protection des systèmes d’information.

Cette loi créée une répression pour les infractions pénales pour lesquelles NTIC sont l’objet du délit. Par exemple l’intrusion ou le maintien frauduleux dans un système de traitement automatisé de donnée (STAD) est sanctionné par 1 an d’emprisonnement et 15 000 € d’amende ou 2 ans et 30 000 € d’amende si des circonstances dommageables sont constatées (art 323-1 du code pénal).

Elle crée également une répression pour les infractions pénales pour lesquelles internet est le moyen de commission comme l’atteinte aux biens (destruction, dégradation ou détérioration).

En 2009 est créée l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), autorité chargée de prévenir et de réagir face aux risques cyber.

En 2013, la loi de Programmation militaire prend en compte la cybersécurité pour les Opérateurs d’Importance Vitale (sont des OIV les organisations ayant des activités dangereuses ou indispensables).

En 2015, la France a adopté une Stratégie nationale pour la sécurité du numérique dont l’un des objectifs est de garantir la souveraineté nationale.

En 2016 enfin, elle est le premier pays à adopter une règlementation pour des dispositifs de cybersécurité des OIV. Sont notamment concernées les activités d’approvisionnement en énergie électrique, en gaz et hydrocarbures. Cette règlementation prend la forme d’arrêtés sectoriels que l’ont retrouve à l’article L 1332-6-1 du code de la défense.

En plus du cadre réglementaire international, européen et national qui impose certaines pratiques, le rôle des différentes parties prenantes du secteur est important.

Il est possible de se protéger contre les cyberattaques grâce aux :

• normes et standards de sécurité (voir la famille des normes ISO 27 000 / IEC 6235-1 à -13) ;

• guides et référentiels officiels (voir ceux de l’ANSSI / Rapport « Smart Grid Information Security » du Groupe de travail « Smart Grid Coordination Group (SG-CG/SGIS) » CEN-CENELEC-ETSI / Rapport « Smart Grid Threat Landscape and Good Practice Guide » de l’ENISA)

• livres blancs.

Afin de lutter de façon technique contre les cyberattaques des smart grids, une politique de sécurité des systèmes d’informations (PSSI) doit être mise en place par chaque organisation.

Il s’agit ici de mettre en place une stratégie, qui, grâce à des moyens techniques, organisationnels et humains, vont permettre de diminuer les risques d’attaques. C’est un processus qui doit être appréhendé et travaillé en continu car les failles évoluent en permanence.

La sécurité d’un réseau et de ses données repose sur 3 critères au coeur de la PSSI :

• la disponibilité des données (ne font pas l'objet d'une captation ou retenue par une personne ayant un objectif malhonnête) ;

• l’intégrité des données (ne sont pas altérées par quelconque modification non autorisée) ;

• la confidentialité des données (ne sont accessibles que par les personnes y étant autorisées).

Le concept de Security by design renvoie à l’idée qu’une technologie, pour éviter tout risque d’atteinte, doit être sécurisée dès sa conception. L’objectif est que chaque élément ou composant ait été réfléchit comme offrant la plus haute sécurité possible.

Cela évite donc qu’il soit la porte d’entrée pour un hacker une fois intégré à un plus grand système d’information avec des relations complexes entre technologies et appareils.

Dans le cas des smart grids, lorsque la construction d’un nouveau système d’information ne peut se faire (pour diverses raisons, souvent économiques) les systèmes sont alors ajoutés par «couches» comme nous l'avons vu précédemment.

Une entreprise proposant des compteurs connectés (donc des IoT) non security by design mettra ainsi en danger non seulement les particuliers les utilisant, mais aussi l’ensemble du réseau et par conséquent sa propre sécurité.

Source : Livre Blanc, Alstom et McAfee, "Le déploiement du Smart Grid nécessite une nouvelle approche en termes de Cybersécurité".