Daniel Caduff, OFAE: «Les systèmes ICS et SCADA sont les plus critiques»
Spécialiste IT œuvrant pour l’Office fédéral pour l’approvisionnement économique du pays, Daniel Caduff a analysé les vulnérabilités du secteur énergétique suisse. Notre rédaction a profité de son passage à la journée stratégique du Clusis pour échanger sur les risques actuels.
Vous avez analysé les cyber-risques et vulnérabilités des infrastructures énergétiques suisses. Quel est votre verdict?
La situation suisse n’est ni meilleure ni pire que celle des autres pays européens. Mais la menace augmente. Les réseaux sont de plus en plus interconnectés et informatisés. Avec les énergies renouvelables, le nombre de producteurs augmente et la production est plus difficile à planifier. Il faut surveiller la situation en temps réel et être capable de réagir dans des délais très courts.
Quelle est pour vous la dimension la plus critique?
Les systèmes ICS et SCADA sont les plus critiques. A l’origine, ils ont été construits en tant que systèmes isolés. Mais aujourd’hui les systèmes SCADA s’échangent toute une série de données via internet. Par exemple pour annoncer et compenser automatiquement un excédent de courant. Vu cette interconnexion, les entreprises doivent non seulement protéger leur propre réseau, mais aussi pouvoir se fier aux données transmises par les autres fournisseurs.
Qui pourrait s’en prendre à ces systèmes?
Si on analyse les cas de l’Ukraine et de Stuxnet en Iran, il apparaît clairement que ces attaques sont ciblées et sophistiquées. On a donc affaire à des Etats agissant pour des motivations politiques et disposant de beaucoup de moyens. Cela ne correspond pas du tout au mode opératoire de criminels qui usent de moyens plus simples, comme les ransomware, pour obtenir de l’argent.
Une cyberattaque contre une centrale nucléaire est-elle envisageable?
Le scénario est possible, mais peu vraisemblable. Les systèmes SCADA des centrales suisses n’agissent pas sans intervention humaine. D’autre part, s’agissant d’installations relativement anciennes, elles disposent de systèmes non-informatisés qui ont été conservés, au côté des systèmes SCADA plus récents. La plus grande menace vient donc d’attaques de l'intérieur ou de manipulations involontaires.
Les compteurs intelligents représentent-ils un danger sécuritaire?
Absolument, c’est d’ailleurs un sujet de débat en Suisse. Les compteurs intelligents envoient des données de mesure auxquels les systèmes SCADA réagissent en produisant ou en consommant du courant, de façon à conserver l’équilibre. L’intégrité et l’exactitude des données transmises par les compteurs sont donc essentielles, c’est pourquoi nous travaillons à l’élaboration d’un standard. Mais la menace existe aussi en sens inverse, car les compteurs permettent également aux fournisseurs électriques de couper le courant. Une possibilité dangereuse si des pirates en prennent le contrôle.
Quelles infrastructures sont les plus vulnérables: l’énergie ou les télécoms?
Ces deux secteurs dépendent étroitement l’un de l’autre. Sans énergie pas de communication, sans télécom pas de gestion du réseau électrique. Les deux domaines sont susceptibles d’être attaqués. Toutefois, si l’on regarde la situation internationale, il semble que les producteurs d’énergie sont davantage visés. A cela s’ajoute que les opérateurs télécoms sont attentifs au domaine de la cybersécurité. Dans l’énergie, la situation varie beaucoup: les grandes sociétés sont bien préparées, tandis que les plus petites manquent parfois du savoir-faire et des ressources en matière de cybersécurité.