energies renouvelables

Contenus sensibles : les enjeux de la digitalisation dans le secteur des énergies renouvelables

#Sécurité 24.03.2021 6min

Le secteur des énergies renouvelables est en plein boom. En France, plus d’un quart des besoins énergétiques sont couverts par cette filière, en hausse de 72 % depuis quinze ans. Portés par des entreprises historiques ou par de nouveaux acteurs innovants, les projets éoliens, hydrauliques et solaires se développent à vitesse grand V. Dans le même temps, les infrastructures énergétiques ont entamé leur digitalisation, avec une double conséquence : des gains significatifs en matière de temps et de productivité (grâce aux outils comme la signature électronique), mais aussi une vulnérabilité accrue au vol, à la perte et à l’altération de leurs données sensibles (cyberattaques, fuite lors du partage de documents, etc.). D’où la nécessité, pour ce secteur stratégique, de mettre en place sans attendre une vraie politique de protection des données et de sécurisation des processus.

La place des énergies renouvelables en France

En 2020, plus d’un quart de l’électricité consommée en France provenait des énergies renouvelables (27 % précisément). Un chiffre en hausse de 4 % par rapport à l’année précédente… et de 72 % depuis 2005 !

La production est tirée notamment par l’éolien (+17 %) et par l’hydroélectrique (+9 %), le solaire montrant un dynamisme plus modeste (+2,5 %). Plus globalement, l’hydraulique est la deuxième source d’énergie la plus consommée dans l’Hexagone, à hauteur de 18 %, derrière la filière bois énergie qui reste controversée (compte tenu de la longue durée nécessaire au renouvellement des forêts, certains hésitent à l’intégrer dans la catégorie des « énergies renouvelables »). Des chiffres que vous pouvez retrouver dans le guide édité par le Syndicat des énergies renouvelables.

Bien que la production française d’électricité repose encore essentiellement sur le nucléaire (plus de 70 %), on ne peut que saluer la nette hausse de la part des énergies renouvelables. Les projets se multiplient, les entreprises existantes grandissent, et de nouvelles sociétés innovantes voient le jour. L’emploi augmente sensiblement dans ce secteur : +9 % en 2017, avec une pointe dans le domaine du photovoltaïque (+56 %), comme l’indique le rapport du ministère de la Transition écologique (« Chiffres clés des énergies renouvelables », édition 2020).

La France se place ainsi en bonne position pour atteindre les objectifs fixés par la loi de transition énergétique en 2015 : faire en sorte que les énergies renouvelables couvrent 40 % de la production électrique en 2030 et 32 % de la consommation finale d’énergie. Une progression qui trouve son pendant dans l’ensemble des pays européens.

Ce développement rapide croise les enjeux de la digitalisation qui touche le secteur de l’énergie depuis quelques années, et son pendant sécuritaire : les risques relatifs à la gestion des données sensibles, dans le cadre de la transmission d’informations, du partage de documents ou de la protection des données personnelles des utilisateurs.

L’énergie, un secteur particulièrement concerné par la protection des données sensibles

En effet, le secteur de l’énergie se découvre, ces dernières années, particulièrement vulnérable aux cyberattaques et aux problématiques de perte des données sensibles. Il est une cible de choix des cyber-pirates aux États-Unis, en Australie, au Japon et en Europe. Les exemples ne manquent pas : la centrale nucléaire de Natanz, en Iran, mise à l’arrêt par le logiciel malveillant Stuxnet en 2010 ; deux centrales électriques ukrainiennes prises pour cibles par deux virus (Black Energy et Industroyer) en 2015 et 2016, avec pour conséquence une gigantesque coupure de courant qui a plongé 230 000 personnes dans le noir ; le réseau d’énergie américain violé à plusieurs reprises en 2018 par un groupe baptisé Dragonfly…

Cette sensibilité aux cyberattaques et aux pertes de données s’explique, historiquement parlant, par des infrastructures bâties à une époque où ces risques n’avaient pas lieu d’être, et qui sont passées en peu de temps du statut de système isolé à celui de réseau ouvert et interconnecté. Or, le rôle essentiel joué par les entreprises de l’énergie dans l’économie et le fonctionnement de l’État en feront un secteur à part, de plus en plus prisé des pirates du web.

En 2017, un chercheur néerlandais a souhaité attirer l’attention sur les vulnérabilités des installations photovoltaïques en simulant une attaque (« Horus ») via un scénario de prise de contrôle des équipements. Des vulnérabilités qui reposent sur le fonctionnement même des parcs éoliens ou solaires, couvrant des superficies importantes, et contraintes de reposer sur des logiciels de pilotage à distance – difficiles à protéger parce que la « couche » servant à ce pilotage ne prend pas en compte les enjeux de cybersécurité dès l’origine (le principe du « security by design »).

Quels risques pour les données sensibles dans le secteur des énergies renouvelables ?

Le risque cyber se matérialise de diverses façons. On distingue deux axes majeurs de réflexion autour de la sécurisation des données dans le secteur des énergies renouvelables :

  • L’axe entreprise-clients, mis en lumière par le déploiement de la gestion intelligente des données liées à l’énergie (typiquement via l’emploi de compteurs connectés), qui tombe sous le coup de la protection des données personnelles (RGPD).
  • L’axe entreprise-collaborateurs, qui a trait aux garde-fous élevés en interne par les acteurs des énergies renouvelables pour se prémunir contre les cyberattaques, les actes de malveillance, les pertes et les altérations de données sensibles. La protection de ces dernières passe essentiellement par l’adoption de protocoles de sécurité stricts et d’outils adaptés à la sensibilité du secteur, qu’il s’agisse du partage des documents, du travail collaboratif ou des leviers d’accélération des processus comme la signature électronique.

Le statut des entreprises de l’énergie (et donc de celles qui évoluent dans la filière des énergies renouvelables) est particulier en France. À la suite d’un Livre blanc publié en 2008 qui identifiait les principales menaces pesant sur la défense et la sécurité (« blocage malveillant, destruction matérielle, neutralisation informatique, vol ou altération de données, voire prise de contrôle d’un dispositif à des fins hostiles »), la loi de programmation militaire de 2013 a imposé aux « opérateurs d’importance vitale » (OIV) des mesures de renforcement de la sécurité de leur système d’information (SIIV), à travers des règles définies en collaboration avec l’ANSSI. Sont considérés comme OIV les opérateurs publics ou privés qui exploitent des équipements et des installations indispensables au fonctionnement et à la pérennité de la nation.

La liste des entreprises et institutions concernées n’est pas accessible (pour des raisons que l’on comprendra aisément), mais les acteurs de l’énergie sont concernés au premier chef. En ce sens, ils ont des obligations relatives à la sécurisation de leurs données sensibles.

Comment se prémunir contre les risques cyber ?

Heureusement, le tableau n’est pas tout noir. Les vulnérabilités historiques des opérateurs de l’énergie tendent à disparaître, notamment parce que les acteurs nouvellement arrivés sur le secteur des énergies renouvelables adoptent un fonctionnement plus agile et, de plus en plus, intègrent les enjeux de la cybersécurité dès la conception de leur système d’information.

Ces acteurs mettent également en place des protocoles visant à sensibiliser les collaborateurs à ces enjeux, afin qu’ils adoptent les bonnes pratiques de sécurité. Cesser d’introduire des supports de stockage extérieurs à l’entreprise dans le SI, définir des mots de passe plus complexes, intégrer le principe de l’authentification renforcée, mais aussi utiliser les outils adaptés au cloisonnement des données sensible, par exemple :

  • Un outil de signature électronique avec un niveau de garantie élevé, respectant les réglementations françaises et européennes (eIDAS),
  • Une plateforme collaborative et de partage de documents avec accès contrôlés,
  • Un logiciel de sauvegarde automatique des fichiers et des informations système,
  • Etc.

Un autre versant du problème a trait à l’identification des risques. Il s’agit, pour les organisations, de cartographier leurs processus à risque, de les classer en fonction de leur criticité, et de révéler leurs éventuelles vulnérabilités. Un travail de défrichage mené conjointement par les DSI et les directions générales.

Quant à la protection des données personnelles des utilisateurs, les protocoles sont désormais bien installés – en mai prochain, nous fêterons le troisième anniversaire de l’entrée en vigueur du Règlement européen sur la protection des données (RGPD). Néanmoins, ces enjeux méritent d’être régulièrement rappelés aux collaborateurs, considérant l’importance de ces données dans le secteur des énergies renouvelables. Mais nul doute que le fonctionnement agile de ces opérateurs (et l’adoption conjointe d’outils sécuritaires adaptés) fera rapidement des merveilles.