Les cyberattaques se multiplient. Et leur impact sur l’activité d’une entreprise peut être particulièrement désastreux notamment pour les opérateurs d’importance vitale (OIV) qui exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation. Un dispositif national a donc été mis en place pour faire face à ces nouvelles menaces et renforcer la sécurité des systèmes d’information critiques exploités par ces organismes. Douze secteurs d’activité sont concernés, parmi lesquelles le nucléaire.
Les entreprises sont des cibles privilégiées pour les cyberattaquants. Et le secteur du nucléaire ne fait pas exception. Leurs motivations : activisme politique, vol de données ou d’argent, sabotage, etc. En 2014, puis en 2015, Korea Hydro and Nuclear Power a été victime d’une importante attaque informatique. Les données personnelles de près de 11 000 employés ainsi que des éléments techniques des réacteurs et de leurs circuits de refroidissement ont été, en partie, diffusés.
« Les cyberattaques ou les tentatives de cyberattaques sont désormais une occurrence quotidienne », déclarait en 2016 Yukiya Amano, directeur général de l’Agence Internationale de l’Energie Atomique (AIEA) lors d’une conférence sur la sécurité informatique dans le monde nucléaire.
Renforcer la sécurité des SIIV
Pour faire face aux nouvelles menaces, l’article 22 de la loi de programmation militaire impose aux OIV le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent : les systèmes d’information d’importance vitale (SIIV). Pour déterminer si un système d’information peut être qualifié d’importance vitale, l’OIV doit mener une analyse d’impact. Les obligations de chaque secteur d’activité sont ensuite définies par un arrêté sectoriel. Celui consacré au nucléaire a été publié fin mars.
Fin 2015, une étude réalisée par des chercheurs britanniques a montré que les centrales nucléaires étaient vulnérables aux cyberattaques. La raison ? Un manque de préparation face à la menace. Les centrales sont généralement des installations assez anciennes, peu informatisées au départ. Mais les risques augmentent avec la numérisation croissante de cette industrie. « La plupart des équipements informatiques de sites sensibles ont longtemps bénéficié d’une certaine forme de protection par l’antiquité », a expliqué Carolyne Baylon, co-auteur d’un rapport sur le cybersécurité des installations nucléaires. Mais selon Chatham House, à l’origine de cette étude, tout cela n’est plus vrai.
La France, pionnière en matière de protection des infrastructures d’importance vitale
Même si le secteur du nucléaire se croit parfois à l’abri des menaces informatiques compte tenu de l’ancienneté de certaines installations, des mesures doivent être mises en place pour contrer les effets du développement du numérique. La France est le premier pays à s’appuyer sur la réglementation pour définir un dispositif efficace de cybersécurité de ses infrastructures d’importance vitale qui sont indispensables au bon fonctionnement et à la sécurité de la nation.
Douze secteurs d’importance vitale, dont le nucléaire, ont été définis par décret. Des arrêtés fixent pour chaque secteur d’activité un certain nombre de mesures prévues par le Code de la Défense :
- Des règles de sécurité, à la fois organisationnelles et techniques, s’appliquant aux SIIV
- Des modalités d’identification des SIIV et de notification des incidents de sécurité affectant ces SIIV.
Protéger les infrastructures sensibles
Pour les opérateurs du secteur du nucléaire, il est désormais obligatoire d’élaborer, de tenir à jour et de mettre en œuvre une politique de sécurité des systèmes d’information (PSSI). Cette politique devra décrire l’ensemble des moyens organisationnels et techniques mis en œuvre par l’opérateur afin d’assurer la sécurité de ses SIIV. Il sera notamment chargé de préciser les objectifs et les orientations stratégiques en matière de sécurité des SIIV, ou encore de prévoir un plan de sensibilisation à la sécurité des SIIV au profit des personnes ayant des responsabilités particulières, notamment les personnes en charge de l’administration et de la sécurité des SIIV et les utilisateurs disposant de droits d’accès privilégiés aux SIIV.
L’arrêté sectoriel consacré au nucléaire rappelle que l’opérateur devra fixer les mesures de sécurité générales, notamment en matière de contrôle du personnel interne et du personnel externe, de sécurité physique des SIIV, de gestion des ressources matérielles et logicielles, de contrôle d’accès aux SIIV, d’exploitation et d’administration des SIIV et de sécurité des ressources, des réseaux et des postes de travail.
Un suivi précis des incidents
D’après l’article 4 de l’arrêté, et en application du Code de Défense, tout opérateur relevant du sous-secteur d’activités d’importance vitale « Nucléaire » devra déclarer chaque incident de sécurité à l’Anssi. Ces déclarations concernent tous les incidents relatifs à la protection et au contrôle des matières nucléaires, de leurs installations et de leur transport. Un système d’information spécifique devra être mis en place pour traiter les incidents, notamment pour stocker les relevés techniques relatifs aux analyses des incidents. L’opérateur devra conserver les relevés pendant une durée d’au moins six mois et les tiendra à la disposition de l’Anssi.
En France, le nucléaire représente la troisième filière industrielle, avec environ 2500 entreprises et 220 000 salariés. Confrontés plus que jamais à un enjeu de performance ainsi qu’aux problématiques de sûreté, les acteurs de la filière comptent s’appuyer sur la transformation numérique pour y répondre.
En savoir +