Les réseaux électriques suisses sont vulnérables aux cyberattaques

L'Office fédéral de l'énergie (OFEN) a réalisé une analyse portant sur la cybersécurité des fournisseurs d'électricité suisses. Les résultats «donnent à réfléchir», selon la formule utilisée dans le résumé du rapport. Le score moyen de maturité pour la sécurité des domaines IT et OT dans le secteur suisse de l'électricité est légèrement inférieur à 1 sur une échelle de 0 à 4. Or, le secteur visait initialement un score de 2,6. Au total, 124 entreprises du secteur suisse de l'électricité ont été interrogées, notamment des producteurs d'électricité, des gestionnaires de réseau et des opérateurs de points de comptage.

Les fournisseurs d'énergie sont particulièrement mal préparés lorsqu'il s'agit de détecter les attaques, de réagir et de se rétablir après un incident. L’identification des anomalies est également loin d'être satisfaisante, écrivent les auteurs du rapport.

Le niveau moyen de cybermaturité du secteur suisse de l'électricité. (Source: «Cyber-Sicherheit und Cyber Resilienz für die Schweizer Stromversorgung», OFEN)

Concernant la réactivité, les compétences existantes sont qualifiées de «globalement modestes». La plupart des incidents sont traités sans suivre de processus prédéfinis. Un manque de compétences analytiques est également observé, limitant les possibilités de fournir une réponse adéquate aux cyberincidents. Les notifications des systèmes de détection ne déclenchent pas les enquêtes nécessaires, révèle en outre l’étude.

Le secteur énergétique suisse doit rattraper son retard

Dans le domaine de la cybersécurité et de la résilience du secteur énergétique, la Suisse est à la traîne par rapport aux pays de l'UE, selon l'étude. Un grand nombre des mesures actuellement discutées en Suisse ont déjà été mises en pratique dans l'UE, où elles sont opérationnelles et établies depuis longtemps. En Europe, la directive sur la sécurité des réseaux et des systèmes d’information (directive SRI), entrée en vigueur en 2016, joue un rôle décisif. Elle oblige les exploitants d'infrastructures critiques à garantir un niveau commun de sécurité pour les réseaux et les systèmes d'information. La directive est en cours de révision et est susceptible d'accroître encore les capacités cybernétiques des acteurs européens du secteur de l’électricité. En conséquence, les pays européens voisins vont prendre encore plus d'avance en matière de cybersécurité, du moins à court terme.

Appel à la mise en place de conditions-cadres et de système de reporting

Pour les auteurs de l'étude, les résultats de leur analyse mettent en évidence «une nécessité d’agir fondamentale» en Suisse. Il convient avant tout d'éviter une nouvelle fragmentation des exigences en matière de cybersécurité et de résilience dans le secteur de l'électricité. C'est pourquoi l'OFEN préconise un cadre juridique uniforme et un contrôle régulier de la conformité aux exigences réglementaires.

Il paraît également nécessaire d'agir en ce qui concerne les obligations de déclaration: les auteurs de l'étude proposent l'introduction d'un système de reporting institutionnalisé. Ils demandent également la mise en place d’un cadre réglementaire et de mécanismes de sanctions en cas de non-respect des obligations de déclaration.

Enfin, un échange régulier de connaissances sur les cybermenaces actuelles est nécessaire. Les auteurs préconisent de mettre en place de capacités de renseignement sur les menaces au sein de l’OFEN, en vue de développer les cyber-exigences.

L'OFEN compte mettre en œuvre rapidement les recommandations du rapport, les travaux sont déjà en cours, selon les déclarations à la NZZ de Matthias Galus, Chef de l'Office de l'innovation numérique à l’OFEN. L'accent est mis sur les exigences minimales obligatoires en matière de sécurité informatique. En outre, une autorité d'audit doit contrôler si les exigences sont respectées. Une obligation de déclaration contraignante pour les exploitants d'infrastructures critiques est également en préparation, le Département fédéral des finances doit élaborer un projet en la matière d'ici fin 2021.