Les électriciens suisses craignent les cyberattaques

Mis à jour le 09.07.2015 / Le Matin.ch
Cybersécurité

Les entreprises électriques suisses se préparent depuis plusieurs semaines à d’éventuelles attaques informatiques, qui pourraient entrainer un black-out dans le pays.

topelementUne analyse des risques réalisée par l’Office fédéral de la protection de la population (OFPP) a démontré qu’un «black-out» du réseau électrique helvétique figure au rang des scénarios redoutés.

Une attaque informatique ciblée sur une entreprise électrique suisse pourrait dans certaines circonstances entraîner un «black-out» dans l’ensemble du pays.

Prenant la menace très au sérieux, fournisseurs d’énergie et autorités se préparent.

Ces dernières semaines, les quelque 700 entreprises distribuant et fournissant du courant en Suisse se sont informées auprès d’un expert de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) de la Confédération quant aux risques informatiques. En tant qu’infrastructure de premier plan, le réseau électrique peut représenter une cible de choix pour les cybercriminels.

OFPP s’attend à ce type d’événement

Une récente analyse des risques réalisée par l’Office fédéral de la protection de la population (OFPP) a démontré qu’un «black-out» du réseau électrique helvétique figure au rang des scénarios redoutés. Depuis l’attaque informatique perpétrée il y a cinq ans contre des installations nucléaires iraniennes, la question n’a plus fait grand bruit. D’autant plus que la probabilité d’une coupure de courant à l’échelle nationale consécutive à une catastrophe naturelle demeure plus élevée.

«Le risque qu’une de nos centrales nucléaires perde le contrôle après une attaque informatique est faible», estime aussi Max Klaus, directeur adjoint de MELANI. Ces installations ne sont pas directement connectées à Internet mais disposent d’un réseau fermé. De plus, elles sont exploitées par les grands groupes électriques, lesquels ont beaucoup investi dans la sécurité informatique ces dernières années.

Risques plus élevés pour les petites sociétés

En revanche, les risques en la matière demeurent sensiblement plus élevés pour les petites sociétés électriques, comme celles détenues par de petites communes, par exemple. Si des cybercriminels parvenaient à leurs fins en visant une entreprise de ce type, une réaction en chaîne ne peut être exclue, avec des conséquences au niveau régional, voire, dans une situation extrême un «black-out» national.

«Dans le cadre de la surveillance de la sécurité en matière d’approvisionnement, le risque d’attaques informatiques s’est imposé comme un thème», note Rento Tami, directeur de la Commission fédérale de l’électricité (ElCom). La Suisse ne compte pas moins de 700 entreprises dans le secteur, mais toutes ne sont pas exposées aux mêmes risques.

Les coûts de la sécurité répercutés sur les prix du courant

Et naturellement, la sécurité absolue n’existe pas: «on pourrait y engloutir de l’argent indéfiniment. Au final, il s’agit de pouvoir affronter d’éventuels problèmes avec un maximum d’efficience, poursuit M. Tami. Car les coûts liés à la sécurité se répercutent sur les prix du courant.

De telles attaques ont déjà visé des entreprises électriques en Suisse. Mais leurs auteurs ont jusqu’ici échoué. Les sociétés à risques, non seulement celles liées à l’électricité, mais aussi les banques ou les CFF, ont accès à une plate-forme d’informations de MELANI. Cette dernière recense les annonces des victimes et donne l’alarme.

Annonces quotidiennes

«Nous recevons quasiment tous les jours des informations. Nous pouvons aussi bénéficier de notre réseau international, des informations de la police et d’autres sources privées ou de services de renseignement», explique M. Klaus. La plate-forme permet aussi de mettre en garde lors de la découverte de failles de sécurité critiques.

Toutefois, la lutte peut parfois s’avérer difficile. Une expérience qu’a vécue le Département fédéral des affaires étrangères (DFAE), cible à trois reprises de pirates informatiques et qui a dû recourir à une aide externe. Mais l’essentiel du danger a été écarté.

Pas de nouvelles mesures à l’ordre du jour

Pour l’heure, la Suisse ne prévoit pas l’adoption d’une loi sur la sûreté informatique, alors qu’une telle législation fait l’objet de discussions en Allemagne. Le cadre en la matière est fixé notamment dans la stratégie nationale pour la protection de la Suisse contre les cyberrisques (SNPC) adoptée en juin 2012 par le Conseil fédéral avec la Stratégie nationale pour la protection des infrastructures critiques (PIC).

Au rang des mesures mises en œuvre figure notamment la création de l’association Swiss Cyber Experts, un partenariat public-privé avec des spécialistes de l’économie privée et de l’administration fédérale. L’organisation patronale faîtière économiesuisse a aussi apporté son soutien à l’initiative.

La mise en oeuvre de la stratégie PIC incombe à l’OFPP. La PIC et la SNPC sont actualisées et révisées de manière périodique. Au besoin, elles seront adaptées d’ici à la fin de l’an prochain, selon Stefan Brem, responsable de l’analyse des risques et de la coordination de la recherche de l’OFPP. (ats/nxp)

Créé: 09.07.2015, 10h18


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload CAPTCHA.