EDF : les cyberattaques peuvent-elles aggraver la crise de l'énergie cet hiver ?
François Manens
Ce contenu est réservé aux abonnés La Tribune

Photo d'illustration
JOHANNA GERON
François Manens
Ce contenu est réservé aux abonnés La Tribune

Photo d'illustration
JOHANNA GERON
Le secteur de l'électricité s'apprête à traverser un hiver sous tension, et le gouvernement français prépare déjà les entreprises et les particuliers au risque de panne qui se profile pendant les jours les plus froids. Le tout, sous fond de crise géopolitique avec la Russie. De quoi offrir un terreau parfait pour les cyberattaques ? Qu'ils soient motivés par des objectifs stratégiques ou juste l'appât du gain, les acteurs malveillants profitent dès qu'ils le peuvent des situations de faiblesse de leurs victimes.
Mais du côté d'EDF, le premier fournisseur d'énergie français, le discours est rassurant. D'abord, l'entreprise se prépare en continu à faire face à un très large panel de scénarios d'attaque. Ensuite, la montée des menaces étatiques -les fameux APT dans le jargon- relevée par l'ensemble de l'industrie, ne l'inquiète pas outre mesure. « A la fin de l'hiver dernier, nous nous étions demandés si la situation géopolitique de l'Ukraine générerait une recrudescence du nombre d'attaques contre notre secteur. Nous constatons a posteriori, un an plus tard, qu'il n'y a pas eu de croissance significative du nombre d'attaques liées à ces environnements », précise à La Tribune le directeur de la cybersécurité d'EDF, Olivier Ligneul, lors des Assises de la cybersécurité. Avant d'ajouter : « mais ce n'est pas pour autant que nous ne restons pas vigilants ».
Depuis la loi de programmation militaire de 2013, bon nombre d'entreprises du secteur de l'énergie sont qualifiées d'organismes d'importance vitale (ou OIV). Leur identité reste confidentielle, mais EDF en fait certainement partie car elles sont « indispensables à la survie de la nation ». Cette dénomination attribuée par l'État impose toute une liste de normes et de pratiques de cybersécurité de pointe, et donne accès à des liens privilégiés avec les autorités.
À lire également
Ce cadre n'a depuis cessé d'être renforcé, notamment par la directive européenne Network Internet Security (NiS) dont la deuxième version vient d'être votée. Mais la nécessité de protéger le secteur était prise en compte bien avant la régulation. « Dès la création de l'Anssi [en 2009], avant même le statut d'OIV, l'énergie était un secteur prioritaire, pour la simple raison que si le système est défaillant, les conséquences en cascade seraient immenses », résume à La Tribune le directeur de l'Anssi, Guillaume Poupard. Problèmes de sécurité en tous genres, arrêt de la chaîne du froid, coupures des communications et de services vitaux... Une panne d'ampleur imprévue relève du scénario catastrophe le plus cauchemardesque.
François Manens