Le risque nucléaire sous-estimé : la discutable cybersécurité des centrales

Échauffant les esprits de politiciens et lobbyistes de l’atome (à tort ou à raison, vaste débat), l’avis scientifique du Conseil supérieur de la santé sur les risques nucléaires en Belgique a épinglé une menace dont aucun décideur ne semble valablement s’émouvoir : les cyberattaques.

Le rapport du CSS sur le nucléaire, LA polémique du moment. Dans son avis d’une grosse centaine de pages publié lundi, l’organe scientifique du SPF Santé publique (et Environnement) a proposé des lignes directrices aux responsables politiques et émis des recommandations sur les risques nucléaires.

Mais à la vue des envolées lyriques que cela suscite à quelques semaines d’une éventuelle prolongation de réacteurs au-delà de la date de sortie prévue en 2025, partisans et opposants semblent irréconciliables.

Pourtant, il y a bien une certitude fédératrice sur laquelle le Conseil supérieur de la santé insiste, le fait que, « après l’arrêt (immédiat ou progressif) des centrales nucléaires, des risques en matière de sûreté nucléaire continueront à se poser dans l’avenir et devront continuer à faire l’objet des contrôles et mesures nécessaires ».

Se préparer aux imprévus

Et les experts du CSS ont soulevé un enjeu important : les actes malveillants destinés à créer la panique et la confusion dans la société. Ils recommandent de mettre sur pied un plan d’urgence complet pour ce genre de situation car les événements externes pour lesquels les centrales nucléaires sont protégées restent des accidents d’origine civile identifiés à l’époque.

« Les plans d’urgence nucléaire demandent encore beaucoup d’attention, tant pour nos centrales nucléaires tant qu’elles fonctionnent que pour les risques liés aux centrales situées à l’étranger à proximité de nos frontières », notent les auteurs.

Ils évoquent alors une menace nucléaire dont on parle finalement peu, voire pas du tout, celle de la protection informatique. Les risques cyberattaques persisteront, souligne le CSS, et il faudra alors pouvoir y faire face. Surtout que la Belgique accuse un certain degré de vulnérabilité en la matière.

Cyberinsécurité nucléaire ?

« Même s’il faut reconnaître que de multiples précautions sont prises pour éviter les cyberattaques, les centrales nucléaires belges restent des cibles possibles », expliquent les experts du CSS, faisant remarquer au passage que « la Belgique n’obtient pas un bon score en ce qui concerne la cybersécurité nucléaire (50/100) », selon le Nuclear Security Index de la NTI (Nuclear Threat Initiative).

Afin de renforcer la cybersécurité de ses installations nucléaires, la Belgique doit exiger des opérateurs qu’ils protègent les actifs numériques sensibles qui ont un impact sur la sûreté, la sécurité, les fonctions de préparation aux situations d’urgence et leurs systèmes de soutien contre les cyberattaques. Les centrales nucléaires devraient également effectuer des évaluations de la cybersécurité et mettre en œuvre  un programme de sensibilisation à la cybersécurité qui touche tout le personnel ayant accès aux systèmes numériques, conseille le rapport de la NTI.

Les cyberattaques font partie des grandes menaces actuelles et futures, concède l’avis scientifique du CSS, une problématique accrue depuis Stuxnet, virus informatique qui aurait été développé et utilisé par Israël et les États-Unis contre l’Iran, en s’attaquant uniquement à des ordinateurs dotés d’un logiciel développé par Siemens pour les installations nucléaires. Sans oublier que le sabotage d’installations civiles par le biais de cyberattaques constitue également l’une des formes du terrorisme nucléaire.

Dédramatisation

Mais pour objectiver la gravité de la « cybermenace nucléaire », notons que les systèmes de commande de la partie nucléaire des centrales restent majoritairement analogues, isolés des serveurs externes, ne pouvant pas faire l’objet d’une cyberattaque, assure depuis une dizaine d’années l’Agence fédérale de contrôle nucléaire (AFCN).

En revanche, d’autres systèmes, comme le système de messagerie, sont quant à eux connecté au monde extérieur. « Raison pour laquelle toute l’attention nécessaire est portée à la cybersécurité », précise l’AFCN.

Suite à l’accident nucléaire de Fukushima en mars 2011, la Belgique a étendu la portée des tests de résistance à d’autres scénarios liés aux activités humaines et à des actes malveillants.

Par ailleurs, l’ENTSO (Réseau européen des gestionnaires de réseau de transport d’électricité) et la CIRED (International Conference on Electricity Distribution) ont dernièrement exposé que la production et la distribution de l’énergie évoluent ces dernières décennies vers des unités de production plus décentralisées.

« Outre des réseaux intelligents, celles-ci présentent globalement une meilleure résilience face aux perturbations telles que catastrophes naturelles localisées, cyberattaques et problèmes techniques dans des générateurs individuels », ponctue le Conseil supérieur de la santé de Belgique.

Améliorations promises

Précisons enfin que l’administration de la ministre de l’Énergie travaille actuellement sur un élargissement de l’application de la loi NIS, la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique. L’objectif de ces travaux serait d’assurer le suivi actif d’un plus grand nombre d’entreprises du secteur de l’énergie afin de suivre de plus près le niveau général de la cybersécurité et, par conséquent, d’augmenter celui-ci.

« L’incident aux États-Unis, la cyberattaque qui a paralysé Colonial Pipeline, le principal opérateur d’oléoducs, confirme l’importance d’une cybersécurité de qualité et de la résilience du secteur de l’énergie. Mes services travaillent en étroite collaboration avec les autres services concernés (le centre de crise, CCB) afin d’améliorer davantage la situation en Belgique », a récemment indiqué Tinne Van der Straeten (Groen).

Plus