Le réseau électrique intelligent : entre sécurité énergétique et informatique
Par Nicolas Pellerin-Roy
Chaire Raoul-Dandurand en études stratégiques et diplomatiques | UQAM
De plus en plus de pays adoptent un discours favorisant la production d’énergies renouvelables et la mise en place d’un réseau électrique rendu intelligent par l’incorporation massive des technologies de l’information et de la communication (TIC). Cette étude vise premièrement à comprendre les raisons motivant une telle mise à jour du réseau électrique et deuxièmement à comprendre quels sont les enjeux sécuritaires d’une telle informatisation, à une époque où les cyberattaques et les vols de données informatisées se font de plus en plus nombreux. De cette étude, cinq points attirent notre attention :
1. Puisque la forte demande mondiale en ressources énergétiques est difficile à combler par leur rareté, la complexité de leur production et de possibles troubles géopolitiques, le rôle grandissant des énergies renouvelables comme garantes de la sécurité énergétique de nombreux pays nécessite une mise à jour du réseau électrique en le rendant « intelligent ». Ces améliorations permettent d’optimiser et de mieux contrôler les activités du secteur de l’énergie électrique et de rendre l’approvisionnement plus stable, autant par une résilience accrue que par l’incorporation plus aisée de la production d’énergies renouvelables.
2. Si la croissance rapide de l’« Internet des objets » mise avant tout sur la convivialité et la facilité d’utilisation de ses composantes, elle se fait au détriment de leur sécurité informatique. Nécessaire, elle est néanmoins souvent mise de côté également par souci d’économie. Cela pose problème pour la sécurité informatique du réseau électrique intelligent : les TIC sont désormais reliées à des technologies opérationnelles (TO) visant plutôt à superviser et à optimiser les activités d’un réseau interne, elles n’ont donc pas été pensées afin d’entrer en communication avec le monde extérieur et contiennent très peu, voire pas du tout, de mesures de sécurité informatique.
3. Cette fusion technologique facile les intrusions dans des réseaux sensibles contrôlant des éléments dont le dysfonctionnement pourrait avoir des répercussions graves. Si des évènements tragiques ne sont toujours pas survenus, plusieurs exemples nous démontrent qu’ils demeurent dans l’ordre du possible. Si les infiltrations dans des ordinateurs gouvernementaux et de grandes entreprises, menant au vol d’informations, nous démontrent que cette pratique est simple et répandue, des opérations comme Stuxnet illustrent le fait qu’elles peuvent avoir des impacts physiques importants et dangereux.
4. Les nombreuses contraintes à ce type d’attaques (financières, matérielles, informationnelles, logistiques) limitent les acteurs pouvant les effectuer. Comme dans le cas de Stuxnet, ce sont les États qui sont les mieux outillés pour les mener à bien. Pour le moment, puisque le monde est interdépendant, une cyberattaque massive sur les infrastructures critiques d’un autre État a peu de chance, pour le moment, de survenir. Cette retenue reste dépendante du contexte international, les armées nationales se préparant de plus en plus à ces éventualités.
5. Si les personnes responsables de la sécurité d’infrastructures critiques comme le réseau électrique intelligent sont de plus en plus conscientisées et ont davantage de moyens pour atteindre leurs objectifs de défense, elles ne peuvent pas en éradiquer la principale vulnérabilité : le facteur humain. Souvent, il suffit qu’un employé télécharge un virus camouflé en pièce jointe d’un courriel ou insère une clé USB infectée pour donner accès et mettre en péril l’entièreté d’un réseau informatique. Si l’aspect informatique de la sécurité du réseau électrique intelligent demeure un paramètre qu’il est possible de contrôler, il est par contre ardu de veiller sur le comportement et les habitudes de l’entièreté des utilisateurs d’un réseau.
Décembre 2015
En savoir plus