Les smart grids sensibles aux cyberattaques ?

Les smart grids sensibles aux cyberattaques ?

30 Oct 2015

Les réseaux électriques intelligents sont par essence distribués et interconnectés. Ce qui multiplie d’autant les possibilités d’attaque. Alors, comment faire face à la menace ? C’était la question au centre de la table ronde sur « La cybersécurité appliquée aux Smart Grids », dans le cadre convention d’affaires Invest in Cyber.

D’emblée, une vidéo spectaculaire donne le ton. Sur l’écran, un générateur électrique diesel sert de cobaye, il sera la cible d’une attaque informatique. L’objectif de celle-ci : désynchroniser l’appareil par rapport au réseau de courant alternatif qu’il alimente. Quelques secondes après le début de l’attaque, le générateur de plusieurs tonnes se met à trembler. Bientôt, il laisse échapper quelques fumées. Si la démonstration était allée à son terme, il aurait explosé. L’expérience Aurora Generator Test date de 2007. Elle démontre les conséquences matérielles potentielles d’une attaque pourtant dématérialisée.

Après cette vidéo apéritive, place aux débats. Autour de la table, Frédéric Cuppens, enseignant-chercheur à Télécom Bretagne et corédacteur d’un livre blanc sur la sécurité des réseaux électriques intelligents, Guillaume Prigent, cofondateur de Diateam et spécialiste de la simulation de cyberattaques, Maximilien Le Menn, ingénieur chargé des politiques énergétiques de la Région Bretagne. Participent également par visioconférence Didier Giarratano, qui dirige la plateforme cybersécurité de Schneider Electric et Marc Lagouardat, responsable de la division Conduite de réseaux à ERDF. Le débat est animé par Gérard Le Bihan, directeur d’Images & Réseaux et président de SmartGrids France, un dispositif de collaboration regroupant les neuf pôles de compétitivité français engagés dans le domaine de l’énergie et des TIC. La table ronde a pour cadre la deuxième journée de la convention d’affaires Invest in Cyber, le 15 octobre 2015 à l’Inria Rennes.

Le numérique source de vulnérabilités

Un premier tour de table met en évidence la complexité du problème de sécurité posé par les réseaux d’énergie, à l’exemple de Didier Giarratano qui pointe « l’hétérogénéité des équipements ». Ou encore Guillaume Prigent qui distingue « le temps des systèmes informatiques » où tout va très vite, notamment les mises à jour, du « temps industriel qui est beaucoup plus long ». Dans le monde du contrôle-commande industriel, « il faut tenir compte de l’existant. »

Et ce d’autant que les smart grids étendent l’informatisation et les interconnexions à l’ensemble du réseau : production, distribution et consommation. L’intention est louable, améliorer l’efficacité énergétique de l’ensemble, mais pour Maxilien Le Menn « la vulnérabilité croît avec la numérisation ». Frédéric Cuppens complète en indiquant que la menace peut venir de n’importe où : « Avant il fallait des moyens physiques. Aujourd’hui une attaque peut être réalisée à distance, sans bouger de son bureau. »

Marc Lagouardat observe en outre qu’au sein des smart grids circulent des données confidentielles. Notamment en provenance des compteurs électriques communicants (exemple Linky), qui devraient équiper la plupart des foyers français dans les cinq ans. Selon lui « les smarts grids sont à la croisée de deux problématiques : la protection des systèmes industriels qui dépend de l’ANSSI, et la protection des données personnelles qui dépend de la CNIL. » Sur ce dernier point, Frédéric Cuppens avait lui aussi fait remarquer combien les nouveaux moyens de mesure de la consommation peuvent être intrusifs : « Je n’ai pas envie que l’on sache que je suis insomniaque. »

Travailler en parallèle sur tous les plans

Pour le chercheur de Télécom Bretagne, les menaces sont de trois ordres : le sabotage, la fraude et l’utilisation abusive des données privées. Mais comment se défendre des attaques ? Selon Guillaume Prigent, une partie de la solution est dans la simulation : « Il faut jouer les attaques. C’est comme ça qu’on fait émerger les bonnes questions. Il ne faut pas attendre que ça arrive, il faut s’entraîner. »

Didier Giarratano insiste, lui, sur l’aspect organisationnel qui fait entrer la sécurité dans une pratique globale : « C’est un démarche d’amélioration continue tout comme on l’a fait pour la qualité. Il y aura toujours des vulnérabilités… Les solutions techniques ne garantiront jamais la sécurité à 100%. » Cette nécessaire vision d’ensemble va de pair avec la sécurisation de chacun des équipements : « Il faut travailler la sécurité de chacune des briques dans une vision systémique. »

Table-ronde smart grids

Cinq recommandations

Frédéric Cuppens énonce alors cinq recommandations tirées du livre blanc dont il est l’un des rédacteurs : 1, sécurisation dès la conception ; 2, résilience, « il faut faire l’hypothèse que l’attaque réussit et que le système continue à fonctionner » ; 3, certification, « pour garantir la confiance dans les composants » ; 4, formation, « depuis la simple hygiène informatique à la formation d’experts » ; 5, recherche, « pour identifier les nouveaux problèmes et les anticiper ».

Le point certification est « critique » selon Marc Lagouardat et pour l’instant « peu couvert ». « Si je veux assembler une smart grid, j’ai besoin d’un catalogue de composants certifiés et interopérables. Pour faire sens, il faudrait un travail commun européen sur le sujet. »

Bretagne et Pays de la Loire territoire pilote ?

En introduction, Gérard le Bihan avait mis en évidence l’importance de la sécurité des smart grids pour notre territoire car au croisement de deux thèmes en pointe localement : l’énergie dont la balance production-consommation est ici déficitaire, et la cybersécurité avec la construction d’un écosystème local autour du pôle d’excellence Cyber.

Dans le droit fil, la dernière intervention revenait à Maximilien Le Menn à propos du projet Smile (Smart ideas to link energies). Il s’agit d’une réponse commune des régions Bretagne et Pays-de-la-Loire à un appel à projets « Réseaux électriques intelligents » dans le cadre de la Nouvelle France Industrielle. L’enjeu pour les collectivités locales : « Maîtriser le demande d’énergie, inclure plus d’énergies renouvelables et changer de paradigme quant à la sûreté des approvisionnements.« 

Si le projet Smile est retenu, Bretagne et Pays-de-la-Loire seront régions pilote pour le déploiement « à grande échelle » d’une smart grid à partir de 2017. La dimension cybersécurité est au cœur du projet car « fondamentale pour les smart grids et fondamentale pour nos régions ». Smile fédère 17 grands projets dont le projet CyberLab mené par l’IRT b-com, dédié à la cybersécurité des produits et services smart grids sur les plans test, validation, labellisation et formation.

Plus

Consultez le livre blanc sur la sécurité des réseaux électriques intelligents, issu des travaux du groupe de travail « REI-cyber »
constitué au sein du cercle des entreprises de la SEE. juin 2015.

Billets similaires :

No comments

Trackbacks/Pingbacks

  1. ¿ watt’s up ? la revue de presse / 31 octobre – 6 novembre 2015 « Atlante & Cie - […] Les smart grids sensibles aux cyberattaques ? […]