Alain Deladrière
« Les cyberattaques dans le secteur énergétique représentent l’une des principales menaces à l’encontre de notre civilisation » explique William De Riemaecker, Buyle Legal, avocat spécialisé dans les matières énergétiques.
A travers une série de quatre articles, nous proposons d’examiner de plus près avec William De Riemaecker, avocat spécialisé dans les matières énergétiques chez Buyle legal, la tendance grandissante des cyberattaques dans le secteur et les dispositions prises par l’Union européenne pour prévenir et gérer ces attaques avec notamment la Directive NIS (Network and Information Security).
La Directive NIS, dont l’application dans chaque pays de l’UE est prévue pour le 9 novembre 2018, vise la sécurité des réseaux et des systèmes d’information contre les risque et incidents. Elle établit notamment des exigences pour chaque état en matière de cybersécurité pour les opérateurs de services essentiels dans les secteurs de l’énergie (électricité, gaz, pétrole), des transports (aérien, ferroviaire, voie d’eau, routier), des banques, des infrastructures de marchés financiers, de la santé, de la fourniture et distribution d’eau potable et des infrastructures numériques. S’ajoute à cela l’obligation pour les opérateurs de notifier les incidents qui ont un impact sur la continuité de leurs services essentiels.
Des exemples édifiants
En 2003, Slammer, un ver informatique à la propagation extrêmement rapide, a notamment attaqué le réseau privé dans une centrale nucléaire dans l’Ohio, désactivant un système de surveillance de la sécurité pendant 5 heures. A l’époque, cinq autres services publics ont également été touchés.
En 2012, le virus informatique Shamoon a infecté plus de 30.000 ordinateurs appartenant à Saudi Aramco, producteur mondial de pétrole et de gaz. Certains systèmes ont été hors ligne pendant 10 jours et 85% du matériel de l’entreprise ont été détruits. Toute l’économie nationale a été affectée.
En 2015, en Ukraine, un hacking bien planifié sur trois sociétés de distribution d’électricité a causé des pannes affectant 80.000 clients en énergie. C’est le premier piratage informatique connu provoquant une panne de courant. L’attaque a commencé par une campagne de harponnage (spear-phising) axée sur le personnel informatique des entreprises.
L’énergie, un secteur en mutation
« L’énergétique est un domaine très vaste qui englobe généralement les secteurs du pétrole, du gaz et de l’électricité. Chacun ayant ses propres spécificités, en fonction des lieux de production, du/des modes de transport et des pratiques de consommation », explique William De Riemaecker.
Il nous propose de se concentrer sur le secteur de l’électricité qui, en plus d’être essentiel au bon fonctionnement de nos sociétés modernes, semble être devenu la nouvelle cible de prédilection des cyberattaquants.
« D’un point de vue organisationnel, le secteur est subdivisé en trois activités, à savoir la production (ou génération), la transmission/distribution et finalement la fourniture/consommation.
Pour satisfaire ses besoins en électricité, chaque pays utilise dans des proportions différentes les ressources dont il dispose : c’est ce qu’on appelle le « mix électrique ». Ce terme désigne la part des différentes sources d’énergie (fossiles (pétrole, gaz, charbon), nucléaire, hydraulique, autres énergies renouvelables) dans la production d’électricité sur une zone géographique donnée.
Pour chaque région ou chaque pays, la composition du mix énergétique dépend :
-de la disponibilité des ressources exploitables sur le territoire ou de la possibilité d’en importer ;
-de l’ampleur et de la nature des besoins énergétiques à couvrir ;
-des choix politiques qui découlent du contexte historique, économique et social.
Chacune de ces centrales ou source d’approvisionnement (en cas d’import) sur lesquelles repose le mix électrique ont leurs propres particularités. Une grosse centrale nucléaire, par exemple, produit une énergie pas chère en grande quantité mais est beaucoup moins flexible qu’une centrale au gaz ou au charbon (start/stop). L’énergie renouvelable, pour sa part, est hautement variable. Bien qu’elle ne nécessite pas une source d’énergie primaire pour être produite, l’énergie renouvelable a besoin de conditions météorologique particulières (vent, soleil, précipitation, …). Le coût d’investissement est élevé mais leur coût opérationnel est pratiquement nul. Lorsqu’il n’y a pas de vent et de soleil, on fait appel aux centrales au gaz ou au charbon capable de réagir rapidement.
Si le pétrole occupait il y a peu encore une place de choix (notamment en Belgique avec les citernes à mazout), aujourd’hui c’est nettement moins le cas face aux enjeux climatiques. A l’heure actuelle, en Europe et dans la majeure partie du monde, on parle beaucoup d’un mix entre le renouvelable et le gaz où ce dernier prendra le relais quand il n’y aura pas de vent, de soleil, etc.
Cette stratégie devrait mettre un terme à l’exploitation des énergies polluantes et dangereuses telles que le charbon et le nucléaire. On constate cependant encore le recours massif au charbon dans certains pays européens comme l’Allemagne ou la Pologne. A noter que si le gaz reste l’énergie fossile la plus verte, reste la problématique de son exploitation qui est polluante. Ces questions font à l’heure actuelle l’objet de nombreuses discussions qui sapent quelque peu la confiance des investisseurs.
En sus de la production, il faut ajouter les activités de transmission et de distribution. Alors que la transmission concerne la transmission d’électricité à très haute tension depuis les centrales, la distribution est une activité plus locale qui veille à livrer depuis le réseau de transmission l’électricité chez les consommateurs finaux. Certains moyens de production d’électricité décentralisés (éoliennes, panneaux photovoltaïques chez un particulier) peuvent être directement raccordés au réseau de distribution et ne passent pas par le réseau de transport. On parle alors de production décentralisée.
La fin de la branche concerne les consommateurs (et la fourniture) qui deviennent de plus en plus actifs par le déploiement croissant de « compteurs intelligents », d’unités décentralisés et de stockage ainsi que de nombreux outils de gestion énergétiques (gestion de la demande, aggrégateur,…). »
(fin du volet 1)
