Smart grids, une nouvelle cible potentielle de cyberattaques

Les Smart grids sont des réseaux en pleine expansion, les risques associés relatifs à leur sécurité étant essentiels.

Pour rappel, les Smart grids sont des réseaux énergétiques, essentiellement électriques, intelligents. Ces réseaux sont dans la capacité d’échanger des informations et données très précises sur toute la chaîne de production. En France, l’exemple le plus connu est le compteur Linky d’ERDF.

Le principal risque lié à ces nouveaux réseaux, comme tout système d’information, est la sécurité des systèmes (1). Les Smart grids pourraient devenir la nouvelle cible des pirates informatiques. En effet, l’utilisation de Smart grids permet de pouvoir contrôler les appareils électroménagers et le chauffage. Il s’agit d’une nouvelle voie d’accès aux réseaux des particuliers mais aussi des entreprises. Cela multiplie donc les risques de perte de contrôle ou d’utilisation illégale.

Pour rappel, en 2010, le ver informatique Stuxnet, créé par la NSA pour s’attaquer aux centrifugeuses iraniennes d’enrichissement d’uranium, avait contaminé près de 45 000 systèmes d’information, ayant mené à la prise de contrôle d’automates industriels pour modifier les paramètres de fonctionnement d’installations industrielles en accélérant leur vitesse de rotation. Cette affaire est encore dans toutes les mémoires des industriels. En comparaison, un virus envahissant les réseaux des Smart grids pourrait être utilisé pour provoquer de vastes dégâts, pouvant éventuellement aller jusqu’à un blackout national. De même, la menace pourrait aussi partir des consommateurs essayant de détourner leur réseau intelligent pour modifier leurs tarifs ou leurrer le distributeur.

Pour cette raison, le succès de l’implantation d’un Smart grids passe nécessairement par une volonté des entreprises d’anticiper les risques majeurs liés à la protection de leur système d’information, dès sa conception et son déploiement en adoptant des bonnes pratiques (analyse de risques, liaison avec les autorités, mise en œuvre de systèmes de contrôles robustes avec des capacités de mise à jour, audits réguliers et transparents des systèmes). Les directions d’entreprises doivent prendre conscience des risques liés à ces implantations de réseaux, notamment au regard des données présentes sur leur système d’information, aussi bien des données à caractère personnel, que des données commerciales stratégiques confidentielles. Il conviendrait donc de confier la gestion des incidents à une équipe qualifiée, qui saura mieux protéger leurs données sensibles.

Lexing Alain Bensoussan Avocats
Lexing Droit Intelligence économique

(1) Voir le site de l’Anssi.