L’attaque qui a provoqué une coupure d’électricité en Ukraine fin 2015 a mis la cybersécurité du secteur de l’énergie sur les devants de la scène. Les attaques ont longtemps fait partie de la routine quotidienne des distributeurs d’énergie, mais aujourd’hui, les hackers sont davantage méthodiques et agissent de manière plus professionnelle.
Au fur et à mesure que les systèmes et processus des distributeurs d’énergie deviennent plus intelligents et davantage intégrés, ils deviennent également des cibles d’attaque plus attirantes. La menace que représentent les failles de sécurité non anticipées ne se résume pas seulement à une perte de revenus ou à une baisse de la satisfaction client. Elle concerne également la confidentialité des informations privées des clients et la stabilité du réseau d’électricité.
« En travaillant avec des clients distributeurs d’énergie sur des projets AMI dans toute la région EMEA, nous avons constaté que le niveau de sensibilisation et les exigences en matière de sécurité variaient d’un pays à l’autre. Mais indépendamment du marché, la sécurité est de plus en plus importante, » a précisé Peter-Georg Koller, VP Product Management de Landis+Gyr. « Des pays comme l’Estonie, le Royaume-Uni, l’Allemagne et l’Autriche se classent parmi les premières nations du Global Cyber Security Index, qui mesure l’engagement des pays envers la cybersécurité. Il n’est donc pas surprenant que les exigences les plus élevées en matière de sécurité AMI se trouvent dans ces marchés. »
Pendant des années, Landis+Gyr a travaillé avec ses clients distributeurs d’énergie pour améliorer la cybersécurité AMI. « Il ne s’agit pas simplement d’un investissement et d’une mise en œuvre ponctuels, » a indiqué Peter-Georg Koller. « La sécurité est un processus continu qui nécessite des développements techniques constants, l’éducation et la sensibilisation de tous les acteurs, et un engagement à long terme de la haute direction, » a-t-il ajouté.
L’étape la plus importante
La cybersécurité des AMI ne se limite pas à la sécurité technique de la solution, c’est-à-dire à la sécurité physique des appareils et des communications, des systèmes logiciels et du stockage de données. Elle exige une approche holistique englobant aussi bien la planification de l’infrastructure TI entière sous l’angle de la sécurité que les personnes, les pratiques et les processus qui la permettent.
« La première étape, également la plus importante, de la cybersécurité est la sensibilisation. Tous les acteurs doivent être conscients des risques et le distributeur d’énergie doit définir les mesures à prendre pour atténuer le plus possible ces risques de manière réaliste et à moindre coût, » a déclaré Peter-Georg Koller.
La gestion du risque en cybersécurité consiste à déterminer et comprendre les menaces potentielles, à évaluer leur impact sur les opérations et à créer des processus pour les gérer. L’investissement requis doit être mis en balance avec les risques potentiels. Une solution entièrement sécurisée ne peut pas être réaliste d’un point de vue financier, il est donc important d’identifier la meilleure solution possible dans les limites imposées par les réalités économiques.
Réglementation de l’UE en préparation
La réglementation va également permettre d’aller plus loin en matière de cybersécurité. La première législation sur la cybersécurité applicable à toute l’UE a été approuvée en décembre 2015. Avant que la directive sur la sécurité des réseaux et de l’information n’entre officiellement en vigueur, elle doit être approuvée officiellement par le Parlement et le Conseil européen. L’entrée en vigueur de la directive est prévue en août 2016. Les États membres auront ensuite 21 mois pour transposer la directive dans leur législation nationale. Du fait de leur rôle d’« opérateurs de services essentiels », certains acteurs du secteur de l’énergie devront prendre des mesures de sécurité appropriées et notifier les incidents graves à l’autorité nationale applicable. Ces opérateurs seront identifiés par les États membres.
Travailler vers une approche de sécurité AMI commune
Tandis que la directive sur la sécurité des réseaux et de l’information poursuit son chemin dans l’organisation européenne, plusieurs associations et groupes de travail rédigent actuellement des recommandations pour transformer la directive en produits. Un de ces groupes, l’ESMIG Security and Privacy Group, a créé une liste d’exigences de sécurité minimum pour les composants AMI. Ce travail a été réalisé en coopération avec le Smart Metering Coordination Group (SM-CG) des Organismes européens de normalisation (CEN, CENELEC and ETSI). La liste d’exigences de sécurité minimum qui en résulte couvre l’ensemble des composants AMI, des compteurs intelligents au HES, et sera bientôt publiée par le SM-CG.
Le travail de l’ESMIG est axé sur les aspects techniques des composants et des liaisons de communication de l’AMI. Il repose sur un recueil de toutes les exigences européennes de sécurité AMI applicables, en particulier aux Pays-Bas, au Royaume-Uni, en Allemagne et en Autriche. Les spécifications du NIST (National Institute of Standards and Technology aux États-Unis) ont également été prises en compte. Le recueil contient plus de 300 exigences, qui ont ensuite été divisées en 7 groupes uniquement liés à des exigences fonctionnelles. Le résultat comprend onze exigences de haut niveau, couvrant des fonctions telles que « la journalisation des événements de sécurité », « l’évolutivité des composants AMI avec de nouvelles fonctions de sécurité » et « la conformité des mécanismes de cryptage, ainsi que de la gestion des clés, aux normes approuvées ».
Landis+Gyr a participé activement au travail du groupe ESMIG sur la rédaction des exigences minimum pour l’Europe, en collaboration avec des partenaires de l’industrie et des spécialistes de la cybersécurité. Nous renforçons donc constamment notre solution de comptage intelligent de bout-en-bout Gridstream® avec de nouvelles fonctionnalités de sécurité pour respecter et dépasser ces exigences.
Premier pas
« La meilleure chose que les distributeurs d’énergie puissent faire pour améliorer la sécurité de leurs systèmes AMI, c’est de commencer par sensibiliser davantage à la sécurité et par mettre en place une politique globale de sécurité TI, » a indiqué XXX.
Chez les distributeurs d’énergie, le processus de développement de la cybersécurité AMI commence par une évaluation de l’état actuel de la sécurité, l’identification des faiblesses et la création d’un plan d’amélioration. Dans la plupart des cas, une assistance et un service de conseils externes peuvent améliorer le processus.
La sécurité globale AMI concerne aussi bien les aspects techniques qu’organisationnels. Des améliorations peuvent être apportées dans divers secteurs, notamment :
- Individus et processus
Il s’agit de la catégorie la plus vulnérable et du maillon le plus faible de la cybersécurité, elle nécessite donc une attention continue. Cette catégorie est également la plus facile à améliorer avec la mise en œuvre de pratiques de sécurité communes et la fourniture de conseils sur des thèmes comme les rôles et les responsabilités, la classification des données et les pratiques liées aux mots de passe. Les pratiques de sauvegarde et de restauration AMI, ainsi que les procédures de mise à jour des systèmes, jouent ici également un rôle important.
- Infrastructure TI
La sécurisation correcte de l’environnement TI est au cœur de la cybersécurité. La sécurité TI peut être immédiatement améliorée par une segmentation de réseau afin de mieux protéger les informations sensibles et les services critiques. À titre d’exemple pratique, l’environnement AMI et le réseau de bureau doivent toujours se situer dans des segments distincts.
- Solutions AMI
En tant que fournisseur de solutions de bout-en-bout, Landis+Gyr adopte une approche globale en matière de sécurité. La sécurité est intégrée dans tous les composants Gridstream, de la sécurité physique des appareils (par ex. détection de tentative de sabotage) au soutien des processus sécurisés d’installation et de maintenance des appareils. La communication entre tous les composants de la solution est sécurisée. L’accès aux données et aux fonctions est solidement protégé en s’appuyant sur la fonction de l’utilisateur et supervisé par des pistes de vérification exhaustives.
Une fois que tout est dit et mis en place, chaque distributeur d’énergie possède son propre environnement, des exigences de sécurité spécifiques, et des menaces et vulnérabilités qui lui sont propres. Les ressources et les capacités disponibles pour gérer la cybersécurité varient également d’un distributeur à l’autre. Mais ce que tous les distributeurs d’énergie ont en commun, c’est la nécessité de maintenir un développement continu. Le partage des informations et la collaboration étroite entre les distributeurs d’énergie, les fournisseurs de technologie et les organismes de réglementation représentent certainement un des piliers essentiels de la cybersécurité. C’est la raison pour laquelle Landis+Gyr ouvre la voie.
