2. Climat

  3. Energie & Environnement

Cybersécurité dans l’énergie : pourquoi l'Europe et les Etats-Unis devraient collaborer

Une étude de l'Ifri préconise une coopération sur la cybersécurité dans l'énergie entre l'Europe et les Etats-Unis, dont les approches sont complémentaires. A défaut, le Vieux continent risque de passer à côté d'un gigantesque marché.
Dominique Pialot
Les infrastructures énergétiques constituent une cible de choix pour la cyber criminalité

Avec un retard certain par rapport à d'autres secteurs d'activité, les infrastructures énergétiques ont entamé depuis quelques années leur digitalisation. Celle-ci s'accompagne de gains économiques significatifs, grâce aux progrès qu'elle autorise en termes d'efficacité énergétique et de maîtrise de la consommation. Mais cette avancée a son revers : elle rend les réseaux d'autant plus vulnérables aux cyberattaques. Face à cette nouvelle menace, l'Europe et les Etats-Unis réagissent par des approches distinctes.

Sur la base de ces constats, une étude de l'Ifri (Institut français des relations internationales) préconise une coopération entre les deux côtés de l'Atlantique qui permettrait d'aboutir à des normes de portée internationale. Cette coopération sur un des rares sujets actuellement consensuels entre l'Union européenne et les Etats-Unis pourrait se développer au sein de structures multilatérales telles que le G7 ou l'OTAN. La France et la Californie, particulièrement en avance de phase, y joueraient un rôle de premier plan.

A défaut, c'est un gigantesque marché de plusieurs centaines de millions d'euros et de milliers d'emplois dédiés à la cybersécurité dans le seul secteur de l'énergie qui pourrait échapper aux acteurs du Vieux Continent au profit des américains.

L'énergie, secteur particulièrement vulnérable

Le risque cyber peut se matérialiser aussi bien sous la forme de dommages matériels et physiques provoqués par des virus, que de piratage et de vol de données, qui peuvent être le fait de pays ou d'entreprises en situation de concurrence, ou encore de groupes criminels. Les récents incidents qui ont vu un virus informatique se propager depuis l'Ukraine jusqu'au sein d'entreprise occidentales telle que le danois Maersk ou le français Saint-Gobain illustrent une vulnérabilité accrue des multinationales par le biais de leur  implantation géographique étendue.

La digitalisation tardive de l'énergie est notamment due aux cycles d'investissement longs qui prévalent dans cette industrie. Jouant un rôle essentiel dans l'économie, elle irrigue plusieurs fonctions vitales (défense, communication, santé...) d'un Etat, et constitue à ce titre un secteur à part, qui représente une cible de choix pour les cyberattaques.Conçues à une époque où le risque cyber n'existait pas, les infrastructures énergétiques sont passées en quelques décennies de systèmes industriels isolés et protégés à un réseau ouvert et des technologies interconnectées, synonymes de grande vulnérabilité.

La digitalisation de l'énergie accroît notamment sa sensibilité à la cybersécurité via le déploiement massif des compteurs intelligents, en Europe comme aux Etats-Unis. Mais ces derniers, où les lobbies industriels sont particulièrement puissants, ne sont guère enclins à légiférer au niveau fédéral, que ce soit en faveur de la protection des données (qui les préserve d'une collecte excessive) ou de leur sécurité (qui concerne la façon dont elles sont ensuite utilisées).

L'Europe, en pointe sur la cybersécurité des énergies renouvelables

En Europe, le  « règlement général de protection des données » adopté en 2016 et en voie de transposition dans les Etats membres, notamment en France, concerne aussi bien la protection que la sécurité des données. Il prévoit le droit à l'oubli et la portabilité des données, et contraint les entreprises concernées à rendre compte de l'impact de leurs activités, notamment concernant les réseaux et les compteurs intelligents.

Dans son ensemble, l'Europe est également en pointe sur la cybersécurité des énergies renouvelables, dont la vulnérabilité est accrue par leur intermittence, le contrôle à distance, les enjeux d'intégration au réseau, et de plus en plus, ceux du stockage. C'est ce qu'a montré le virus Dragonfly qui avait affecté de grands groupes américains et européens de l'énergie et perturbé la distribution d'électricité, en 2013 et 2014. Le paquet d'hiver de novembre 2016 « Energie propre pour tous les Européens » fait d'ailleurs clairement référence à la cybersécurité des énergies renouvelables. A l'inverse, même les états américains favorables à ces énergies sont réticents à se pencher surles cyber risques spécifiques aux quels elles sont exposées.

La France à l'avant-garde européenne

Au sein de l'Union européenne, la France se distingue particulièrement par une réglementation riche, depuis le livre blanc de la défense et la sécurité nationale de 2008 jusqu'aux arrêtés sectoriels publiés en août 2016, dont l'un concerne précisément l'énergie (hydrocarbures, gaz, électricité), en passant par la création de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) en 2009. Cependant, il n'existe pas en Europe de structure équivalente à la NERC (North American Electric Reliability Corporation) américaine, exclusivement dédiée à l'énergie. Dotée d'un système d'information plus performant et d'un système d'alerte spécialisé, une telle instance permettrait de réagir plus rapidement et de façon synchronisée en cas d'attaque. La France pourrait par exemple créer une division de l'ANSSI. La CNIL (Commission nationale de l'informatique et des libertés) française, crée en 1978, dédiée à la protection de la vie privée et des données personnelles et indépendante de tout acteur public ou privé, est l'une des instances les plus actives de l'Union européenne, et sans équivalent aux Etats-Unis. Elle dispose même de son propre laboratoire pour y tester de nouveaux logiciels.

Un terrain de coopération transatlantique

Rien de tel à l'échelle fédérale aux Etats-Unis, qui pourraient, souligne l'Ifri, s'inspirer de l'exemple européen.

Si les Etats-Unis, adeptes d'une stratégie sécuritaire appliquée à chaque secteur, sont plus avancés sur le plan de la définition de normes et de leur mise en application, l'Europe, plus souple et plus généraliste, est aussi plus en pointe côté protection de la vie privée et données à caractère personnel, ainsi qu'en ce qui concerne les technologies bas-carbone et les réseaux électriques.

Le bouclier de protection des données US/UE mis en œuvre en 2016 prévoit la protection des données personnelles dans les échanges commerciaux transatlantiques. Les entreprises américaines qui y adhèrent étant favorisées, cela peut les inciter à adopter les standards européens, d'autant plus que l'Union européenne est pour les Etats-Unis le premier marché en lien avec l'énergie.

Dominique Pialot

Sujets les + lus

|

Sujets les + commentés

Commentaires 3
à écrit le 06/03/2018 à 9:32
Signaler
Avant de traverser les océans, peut être faudrait il déjà mettre au point un système Européen viable. Sachant que si l'on ne veut pas se retrouver avec des "usines à gaz technologiques", la meilleure des protections contre une paralysie générale res...
à écrit le 05/03/2018 à 16:35
Signaler
Qu'est-ce que c'est que cette histoire d'être en avance sur la protection de la vie privée? Les USA s'en foutent royalement. Coopérer avec les USA dans des domaines stratégiques, c'est faire rentrer le loup dans la bergerie. Dans le cadre de l'OTAN ...
à écrit le 05/03/2018 à 16:21
Signaler
En effet, ce serait pratique : ça permettrait de tout bloquer d'un coup...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.