Le réseau électrique français peut-il être piraté ?
Le réseau électrique français peut-il être piraté ?
Par Martin Untersinger
La France a été épargnée jusqu’ici, mais deux attaques en Ukraine ont prouvé que la possibilité existait. Les opérateurs se préparent.
Il est exactement minuit, le 16 décembre 2016. A quelques kilomètres au nord de Kiev, les transformateurs de la station de transmission d’électricité de l’entreprise Ukrenergo, chargés d’envoyer 200 mégawatts de courant vers la capitale ukrainienne, s’arrêtent brusquement. Dans le froid mordant, des techniciens sont dépêchés sur place pour faire repartir l’usine.
Quelques semaines et une enquête plus tard, Ukrenergo annonce avoir été victime d’une attaque informatique. C’est une désagréable impression de déjà-vu : pour la deuxième fois en un an, des foyers ukrainiens sont plongés dans le noir, en plein hiver, par des pirates. En 2015, juste avant Noël, 225 000 foyers de l’est du pays avaient été privés de courant.
Par deux fois, la réalité est venue confirmer qu’une attaque informatique soigneusement préparée pouvait faire tomber un réseau électrique : un scénario que seuls évoquaient jusqu’ici les Cassandres et les films de science-fiction.
En France et dans le reste du monde occidental, autorités et experts ont étudié de près ces deux attaques. Pourraient-elles survenir ailleurs qu’en Ukraine ? Le réseau électrique français est-il vulnérable à ce type d’attaque ?
La France est-elle vulnérable ?
A ce jour, la France a été épargnée par toute attaque d’ampleur. Dans son rapport annuel, Réseau de transport d’électricité (RTE) – chargé de l’acheminement du courant haute tension dans l’Hexagone – explique certes avoir déjoué en 2016 « 4 300 attaques » et « 200 virus » par mois, sans plus de précision sur leur nature exacte ni leur degré de sophistication. Mais dans sa recension des incidents significatifs survenus en 2016, l’entreprise ne mentionne aucune attaque informatique. RTE a refusé de répondre aux questions du Monde, citant des impératifs « de discrétion et de confidentialité ».
« Il n’y a pas de raison qu’une attaque comme celle qui a touché l’Ukraine soit impossible en France. D’autant que les attaquants ont montré qu’ils avaient une vraie connaissance du “contrôle commande” électrique », abonde Laurent Hausermann, patron de l’entreprise spécialisée dans la cybersécurité industrielle Sentryo. « Il y a des pirates étatiques qui s’installent dans les réseaux électriques qui peuvent passer à l’action à tout moment », avertit pour sa part un ancien responsable de la cybersécurité d’un très grand groupe français qui désire rester anonyme.
Faut-il craindre la paralysie d’une installation industrielle comme le secteur électrique en compte tant ? « Un jour, ça va arriver », soupire un responsable de la sécurité informatique d’une société sensible du secteur.
Des attaquants actifs et de plus en plus compétents
Depuis quelques semaines, aux Etats-Unis et en Europe occidentale, les signaux inquiétants se multiplient. En juillet, les autorités américaines ont diffusé une alerte après la découverte d’attaques visant des entreprises du secteur énergétique. En août, la presse irlandaise révélait que l’entreprise publique de distribution électrique avait été pénétrée par un groupe de pirates étatiques.
En septembre, le géant de la sécurité informatique Symantec a repéré un groupe de pirates, surnommé Dragonfly, particulièrement intéressé par le secteur de l’énergie en Amérique du Nord et en Europe occidentale. Tout juste réapparu après six ans sous les radars, il est entré, selon les experts de Symantec, « dans une nouvelle phase », celle d’un potentiel sabotage d’installations. Les autorités américaines ont corroboré ce rapport en évoquant en octobre « une campagne en cours d’intrusion visant [à] accéder à des systèmes majeurs du secteur de l’énergie ». Un responsable du renseignement britannique ajoutait au climat de peur en révélant en novembre que des pirates s’en seraient pris notamment au secteur de l’énergie du Royaume-uni.
« Le secteur de l’énergie est un des plus ciblés », confirme Frédéric Julhes, directeur de la filiale cybersécurité d’Airbus, estimant que plusieurs dizaines de groupes de pirates s’intéressent à ce secteur. « Le secteur énergétique est beaucoup plus visé par les cyberattaques qu’il ne l’était il y a dix ans, notamment parce que les connaissances des attaquants en matière de systèmes industriels ont fortement progressé », explique Gabrielle Desarnaud, consultante chez Capgemini et auteure pour l’Institut français des relations internationales d’un rapport sur le sujet. Désormais, de plus en plus d’assaillants disposent, outre d’un savoir-faire en matière d’espionnage, de capacités de sabotage.
De plus, les groupes d’attaquants les plus offensifs et les plus dangereux – que certains experts ont lié à la Russie – ont la capacité d’opérer un peu partout. Le virus utilisé en Ukraine « peut être facilement reconfiguré pour attaquer d’autres réseaux électriques, n’importe où dans le monde », avertissait, le 5 octobre lors d’une conférence spécialisée à Madrid, le chercheur slovaque Robert Lipovsky. « La manière dont il est construit, conçu et déployé laisse à penser qu’il était fait pour être réutilisé. Et pas seulement en Ukraine », selon Robert Lee, de l’entreprise Dragos, un des meilleurs experts mondiaux du sujet.
Un réseau électrique qui se numérise
Le secteur de l’électricité offre par ailleurs de plus en plus de prises aux attaquants. D’abord parce qu’il doit relever le même défi que le reste de l’industrie : des systèmes vieux de plusieurs décennies soudainement connectés à Internet, des pratiques de mises à jour pas toujours optimales…
Mais plus fondamentalement, le réseau électrique se complexifie et s’hétérogénise avec l’arrivée de nouveaux acteurs – réseaux intelligents, compteurs communicants, producteurs d’énergie renouvelables – qui n’ont pas toujours les mêmes contraintes ni les mêmes expériences en matière de sécurité informatique.
Cette multiplication des points d’entrée dans le réseau ajoute autant de portes potentielles pour des pirates. « On passe de systèmes énergétiques fermés où il y avait très peu de données rendues disponibles et très peu d’organes manœuvrables à distance à des systèmes plus ouverts où il y a de plus en plus d’équipements télé-opérés et donc un potentiel accru d’attaques », confirme-t-on à la Commission de la régulation de l’énergie (CRE), le régulateur français du secteur.
En France, un cadre juridique inédit
Il faut malgré tout se garder de tout alarmisme, selon de nombreux experts. « Les systèmes informatiques de nos réseaux énergétiques sont très surveillés, notamment par certaines instances de l’Etat », explique Gabrielle Desarnaud. « Nous suivons les opérateurs du secteur de l’énergie de près », expliquait Guillaume Poupard, directeur général de l’Agence nationale de sécurité des systèmes d’information (Anssi), l’autorité responsable de la sécurité informatique de l’Etat et des infrastructures sensibles lors des Assises de la sécurité, à Monaco, en octobre.
« Nous avons une coopération très étroite pour être sûr que la sécurité reste à un bon niveau. L’Ukraine a confirmé nos craintes. C’est un secteur très sensible, qui est ciblé. Nos correspondants dans les secteurs de l’énergie en sont conscients. Ce sont des gens sérieux, nous n’en sommes pas à expliquer les basiques de la sécurité mais sur du réglage fin. »
La France a mis en place avec la loi de programmation militaire de 2013 un cadre juridique très strict concernant la sécurité informatique de certaines entreprises, notamment les réseaux de production et de distribution d’électricité. Coûteuses pour ces opérateurs – plus d’un million d’euros par an selon l’un d’eux cité par la CRE –, parfois jugées trop rigides et dont la mise en œuvre met du temps à s’achever, ces obligations ont leurs limites. Mais dans le secteur, on salue de toute part une initiative qui a permis à la France de prendre une certaine avance en matière de sécurité informatique.
Si une attaque de grande ampleur sur le réseau électrique causerait des dégâts incommensurables, un obstacle de taille limite la probabilité de sa survenance. Malgré leurs nouvelles faiblesses, lancer une attaque contre les réseaux électriques reste une prouesse. « J’espère que le secteur énergétique est conscient de la menace et se protège, mais il est heureusement difficile de perturber le fonctionnement des réseaux électriques », rassure Gavin O’ Gorman, analyste chez Symantec.
Les experts estiment aujourd’hui que seuls des Etats disposent des moyens techniques et financiers nécessaires à une attaque d’ampleur. Si une telle attaque survenait en France et conformément à sa doctrine en la matière, Paris pourrait répliquer, y compris militairement.