Bien que la cybersécurité fasse l’objet d’un débat nourri dans le secteur de l’énergie, nombre de distributeurs d’énergie ignoraient jusqu’à présent comment intégrer concrètement ce concept dans leur activité. Cet été, l’UE a adopté deux textes qui encadrent le développement de la cybersécurité et facilitent la définition de l’orientation des prochaines étapes. La gestion quotidienne de la sécurité de l’information, quant à elle, est encadrée par des normes industrielles.
Le Parlement européen a adopté le premier texte législatif de l’UE en matière de cybersécurité début juillet : la directive sur la sécurité des réseaux et des systèmes d’information (directive NIS) est entrée en vigueur en août 2016 et impose aux États membres de la transposer dans leur droit national dans un délai de 21 mois.
Au titre de cette directive, certains distributeurs d’énergie nationaux seront classés dans la catégorie « opérateurs d’infrastructure critique » et seront tenus d’adopter des mesures de gestion des risques et de déclarer les incidents majeurs à l’autorité nationale compétente. La directive exige que ces opérateurs soient identifiés par les États membres au cours des six prochains mois.
Parallèlement, le Smart Meter Coordination Group (SM-CG), créé par les organismes de normalisation européens CEN, CENELEC et ETSI, ont adopté une liste des exigences minimales de sécurité applicables aux composants AMI. Cette liste, compilée en collaboration avec l’ESMIG, l’association européenne des fournisseurs de solutions énergétiques intelligentes, définit neuf exigences minimales pour le comptage intelligent, couvrant l’intégralité des composants AMI des compteurs intelligents ainsi que les logiciels de collecte des données, et a été élaborée après avoir passé en revue plus de 300 exigences de sécurité.
L’illustration représente le cadre de travail du développement de la cybersécurité des réseaux AMI au sein de l’UE.
John Harris, Vice-Président en charge des affaires gouvernementales et réglementaires de Landis+Gyr déclare : « Un niveau élevé de protection des données et de sécurité est essentiel à l’acceptation du comptage intelligent par le public, qui détermine bien souvent le succès d’un déploiement. Les exigences minimales de sécurité du SM-CG, publiées par CEN-CENELEC et ETSI, constituent un exemple probant de coopération efficace entre des entreprises privées, une association professionnelle et les pouvoirs publics. Elles constituent également un excellent point de référence pour les États membres qui n’ont pas encore défini leurs propres besoins en matière de comptage intelligent et procurent aux distributeurs d’énergie et à leurs clients la sécurité qu’ils recherchent et méritent ».
Même si la directive européenne et la liste des exigences minimales de sécurité constituent le socle sur lequel la cybersécurité sera développée au sein des distributeurs d’énergie, un travail continu doit être accompli au niveau des entreprises. Des normes industrielles guident les entreprises dans l’adoption d’une approche méthodique en matière de développement de la cybersécurité ; la norme ISO/IEC 27001 définit les exigences applicables à un système de gestion de la sécurité de l’information (SGSI) et aide les entreprises à préserver la confidentialité de leurs données sensibles.
Intégrer la cybersécurité des réseaux AMI dans la structure de votre entreprise
Pour un distributeur d’énergie, le développement de la cybersécurité dans les réseaux AMI est un processus continu dont le point de départ est l’évaluation de la situation actuelle de l’entreprise en termes de sécurité, l’identification des points faibles et l’élaboration d’un plan d’amélioration. Il est essentiel de comprendre les vulnérabilités et de mettre en place des mesures d’atténuation adéquates. La cybersécurité des réseaux AMI n’est pas une simple solution technique : elle englobe également les personnes et les processus et s’étend à l’infrastructure informatique globale du distributeur d’énergie. Des améliorations peuvent être faites dans tous ces domaines. Pour en savoir plus, lisez notre article sur la cybersécurité : « Intégrer la cybersécurité des réseaux AMI dans la structure de votre entreprise ».
