Pourquoi la sécurité du réseau électrique d'hier ne fonctionnera pas demain

Lorsque l'Espagne et le Portugal ont été privés d'électricité pendant 12 heures en avril dernier, la première réaction a été d' exclure une cyberattaque .

Cette réaction en dit long sur notre position concernant la sécurité des réseaux électriques, les pannes de courant suscitant automatiquement des soupçons de cyberattaques. Ces inquiétudes sont justifiées, car l'ère des réseaux pré-numériques, avec leurs systèmes de contrôle isolés et hors réseau, est révolue. Les ressources énergétiques distribuées se comptent désormais par milliers – des panneaux solaires aux onduleurs intelligents –, chacune représentant un point d'entrée potentiel pour les pirates.

Le rapport Black & Veatch 2025 sur l'énergie électrique révèle comment les entreprises du secteur perçoivent les menaces actuelles, notamment les défis de sécurité auxquels sont également confrontés de nombreux autres secteurs. En effet, les logiciels malveillants arrivent en tête des préoccupations (41 %), suivis de près par les vulnérabilités du cloud (38 %) et les rançongiciels (37 %).

Le réseau électrique présente la particularité que nombre des attaques les plus dangereuses restent indétectables à l'œil nu. Par exemple, il est difficile de distinguer les opérations de maintenance courantes des cyberattaques provoquant des pannes de moteurs. De même, une surtension peut être due au vieillissement du matériel ou à une intervention intentionnelle. Faute d'une meilleure visibilité sur le fonctionnement du réseau, les opérateurs ne pourront détecter les attaques que lorsque leurs systèmes atteindront des points de défaillance critiques.

Pourtant, les opérateurs de salle de contrôle doivent toujours détecter les intrusions numériques tout en diagnostiquant les pannes mécaniques, même avec une visibilité limitée sur ce qui se passe réellement. Les ingénieurs chargés des flux d'énergie doivent surveiller les flux de données, et lorsqu'un équipement présente un comportement anormal, il faut déterminer s'il s'agit d'usure normale ou d'une tentative de sabotage.

Le secteur des services publics est conscient de ses failles de sécurité. Près d'un tiers des répondants ont classé la surveillance et la réponse aux incidents parmi leurs principales priorités en matière de cybersécurité, juste après la formation et la gestion des accès. Mais le défi n'est pas seulement technique ; il est aussi opérationnel.

La sécurité traditionnelle supposait qu'un fournisseur d'énergie puisse sécuriser son périmètre et faire confiance à tout ce qui se trouvait à l'intérieur. Les réseaux électriques modernes n'ont pas de périmètre véritablement défini et toutes ces ressources énergétiques distribuées, ces capteurs distants et ces appareils mobiles constituent malheureusement des cibles faciles.

réalité de sécurité fondée sur les risques

La sécurité des réseaux intelligents consiste à protéger ce qui compte le plus. Les entreprises de services publics doivent assurer une protection maximale de leurs infrastructures critiques, telles que les centrales de production, les contrôleurs de turbines et les réseaux de distribution principaux. Tout le reste doit être géré par des contrôles d'accès et une surveillance afin de gérer le grand nombre de petits dispositifs d'une entreprise de services publics.

Le rapport de Black & Veatch révèle un décalage entre les mesures de sécurité et les besoins réels. Environ 37 % des personnes interrogées estiment pouvoir se remettre d'une cyberattaque en une journée. Pourtant, seulement la moitié d'entre elles affirment fonder leurs décisions d'investissement sur des évaluations de risques formelles, ce qui creuse un fossé entre confiance et préparation.

Les nouvelles réglementations pourraient inciter les entreprises de services publics à renforcer leur surveillance et à adopter des pratiques de gestion des risques plus structurées, mais elles ne fixent que les exigences minimales de conformité. La véritable sécurité est atteinte lorsque la cybersécurité est intégrée aux opérations quotidiennes et considérée comme faisant partie intégrante du travail.

Les gens trump patchs

Même les systèmes de surveillance les plus sophistiqués au monde seront inutiles si le facteur humain fait défaut. La sécurité des technologies repose sur des opérateurs sensibilisés à la sécurité et qui protègent proactivement les systèmes. L'utilisation d'identifiants robustes, la gestion responsable des accès et la vigilance constante face aux menaces nécessitent une approche d'équipe coordonnée. Selon le rapport, la formation est désormais la priorité absolue en matière de sécurité pour les entreprises de services publics : 40 % des répondants considèrent la préparation du personnel comme le domaine le plus important.

Les équipes opérationnelles chargées de la gestion du matériel et de la disponibilité doivent développer des compétences en matière de journalisation du réseau et des périphériques, de documentation de conformité et d'évaluation des menaces. Les protocoles de sécurité doivent être appliqués en permanence, quelles que soient les pannes d'équipement ou la réduction des intervalles de maintenance.

Les dirigeants de haut niveau doivent veiller à ce que ces pratiques deviennent des procédures opérationnelles standard. Si les cadres supérieurs de l'organisation continuent de considérer la cybersécurité comme une simple formalité de conformité plutôt que comme une stratégie opérationnelle, de mauvaises pratiques en la matière pourraient entraîner des cyberattaques réussies.

Le véritable problème réside dans l'organigramme.

Les attaquants ne font pas la distinction entre les vulnérabilités physiques et numériques, contrairement aux systèmes de défense des entreprises de services publics. L'expérience montre que ces entreprises ont plus de chances de se défendre contre les attaques lorsque leurs équipes d'exploitation, informatiques et d'ingénierie travaillent en étroite collaboration.

Le plus souvent, cependant, les équipes de sécurité physique et de cybersécurité opèrent séparément, utilisant des outils et des protocoles différents. De plus, elles peuvent manquer de communication constante, ce qui rend la collaboration d'autant plus difficile en cas d'attaque.

Les chiffres le prouvent : 34 % des personnes interrogées n'ont pas intégré la planification de la sécurité physique et de la cybersécurité et seulement 22 % utilisent des équipes unifiées.

L'échelle accélère tout

La modernisation des réseaux électriques accélère tous les défis. Le rapport de Black & Veatch montre que les entreprises de services publics doivent désormais gérer non plus des milliers, mais potentiellement des millions d'appareils, chacun représentant une vulnérabilité. Plus d'appareils connectés signifient plus d'automatisation, plus de complexité et plus de vecteurs d'attaque. Le paysage des menaces s'intensifiera avec le développement des énergies renouvelables, des systèmes d'intelligence artificielle et des objets connectés. Les entreprises de services publics ne peuvent ignorer cette complexité.

La question est de savoir si les entreprises de services publics peuvent développer les capacités organisationnelles nécessaires pour gérer ces systèmes en toute sécurité. Concernant l'expertise, les avis sont partagés : 40 % ont fait appel à des spécialistes externes pour la sécurité des technologies opérationnelles, tandis qu'environ un tiers s'appuient uniquement sur leurs équipes internes. Face à l'expansion des surfaces d'attaque et à l'évolution des menaces, ce choix stratégique devient crucial. Il faut soit développer une expertise interne pointue, soit nouer un partenariat avec des organisations qui la possèdent.

Ce qui fonctionne réellement

Le succès repose sur la sensibilisation des équipes aux opérations physiques et numériques, la formation de ces équipes pour qu'elles comprennent l'interaction entre les systèmes de réseau et les cybermenaces, et qu'elles sachent réagir lorsque les systèmes de surveillance détectent une anomalie.

Aucun service ne peut gérer à lui seul la cybersécurité de l'ensemble d'un réseau électrique. La sécurité du réseau doit devenir la responsabilité de tous, car personne ne peut ni ne doit en assumer seul le fardeau.

Une chose est indéniable : le réseau électrique se numérise, se fragilise et se décentralise chaque jour davantage. Les entreprises qui mettent en place des systèmes de défense intégrés garantiront la sécurité du réseau. Les autres devront s’expliquer auprès des autorités de régulation en cas de défaillance.