La mauvaise note en cybersécurité des entreprises d'électricité met le Valais dans l'embarras
Les entreprises suisses actives dans l’électricité obtiennent la médiocre note de 1 sur 4 en matière de cybersécurité, selon un rapport de l’Office fédéral de l’énergie. Un résultat qui place le Valais – canton de l’hydroélectricité – dans l’embarras.
Les entreprises suisses actives dans l’électricité font partie des cancres européens face aux risques de piratage. Dans un rapport de l’Office fédéral de l’énergie, les firmes helvétiques obtiennent le score de 1 sur 4 en matière de cybersécurité, alors que l’OFEN espérait atteindre la moyenne de 2,6.
« Le résultat est mauvais car les entreprises suisses ne sont pas conscientes de l’importance de s’occuper de la sécurité digitale.»
Stéphane Genoud, professeur en Management de l’énergie à la HES-SO Valais-Wallis
Autre déconvenue : la participation des entreprises. Seulement 18% des 750 firmes de la branche ont daigné répondre à l’étude. "Si le rapport est sévère, le faible taux de participation pose la question de la représentativité de cette étude", indique un responsable informatique d’une entreprise valaisanne active dans le secteur, qui s’exprime sous couvert de l’anonymat. Stéphane Genoud, de la HES-SO Valais-Wallis rajoute : "Ces entreprises ont pour mission de nous fournir de l’électricité, on peut attendre d’elles une meilleure prise au sérieux de ces questions de sécurité."
La sûreté des barrages ?
La vulnérabilité des entreprises d’électricité prend un écho particulier en Valais, qui est le plus grand producteur d’hydroélectricité du pays. Subsidiairement se pose la question de la sécurité des barrages. Peuvent-ils subir un piratage ?
« Des hackers ont réussi à rentrer dans le Pentagone, je ne vois pas pourquoi ils n’arriveraient pas à prendre le contrôle d’un barrage. »
Stéphane Genoud
De son côté, l’entreprise active dans la branche, qui s’exprime sous le couvert de l’anonymat, temporise : "Ce n’est pas possible physiquement de détruire un barrage. Les hackers peuvent néanmoins éteindre une turbine ou ouvrir des vannes."
Pour mémoire, les Etats-Unis ont été victimes en 2013 d’une tentative de piratage sur l’un de leurs barrages new-yorkais. Les hackers n’étaient toutefois par parvenus à prendre le contrôle de l’installation.
La sécurité progresse
Les entreprises valaisannes actives dans le secteur n’ont pas attendu le rapport de l’Office fédéral de l’énergie pour agir. Depuis plusieurs années, la cybersécurité fait partie des préoccupations des firmes. "Nous avons une phase de protection pour empêcher les intrusions, une phase de détection en cas de piratage et une phase de réparation", indique sous couvert de l’anonymat le responsable informatique d’une entreprise valaisanne active dans le secteur. Même son de cloche du côté d’OIKEN. Le distributeur valaisan d’électricité assure tout mettre en œuvre pour éviter des cyberattaques.
« OIKEN dispose d’une cellule de crise pour gérer les éventuelles cyberattaques. »
Fabrice Gillioz, responsable du secteur « transformation numérique » auprès d'OIKEN
Dans son rapport, l’Office fédéral de l’énergie émet quatre recommandations pour améliorer la sécurité des entreprises helvétiques d’électricité. L’OFEN propose de créer un cadre juridique uniforme en matière de cybersécurité et de résilience. Le deuxième volet comprend le contrôle régulier de la conformité des firmes aux exigences réglementaires. La troisième recommandation porte sur l’introduction d’un système de reporting institutionnalisé pour permettre de rapporter les tentatives de cyberattaque. Finalement, l’OFEN préconise la mise en place d’échanges réguliers sur les connaissances des cybermenaces actuelles.
Le blackout : inévitable ?
Si le blackout reste une éventualité en cas de piratage, le demande de rançons est l’option la plus probable. "La destruction d’une installation ou la mise hors service du réseau est peu envisageable sauf en cas de dégradations des relations géopolitiques. Les demandes de rançon sont souvent l’œuvre d’hackers indépendants", indique le responsable informatique d’une entreprise valaisanne active dans le secteur, qui s’exprime sous couvert de l’anonymat. Le blackout n’est toutefois pas complètement utopique à en croire Fabrice Gillioz d’OIKEN.
« Le scénario du blackout est envisageable et donc envisagé par notre entreprise. »
Fabrice Gillioz
Oiken assure pouvoir faire face à un blackout. "Il faudrait temporairement revenir à une manière de distribuer l’énergie plus historique en enlevant les outils informatiques", explique Fabrice Gillioz. Le scénario de blackout convainc aussi Stéphane Genoud, professeur en Management de l’énergie à la HES-SO Valais-Wallis : "La Suisse fait face à un manque d’électricité notamment l’hiver. Cette faiblesse de production ajoutée à une faiblesse de sécurité va inévitablement amener à un blackout." Stéphane Genoud met en garde contre les conséquences d’une coupure générale d’électricité : "Vous prenez le PIB de la Suisse et vous le divisez par 365. Ce montant correspond à la perte économique par jour en cas de blackout."
Précisons que ce rapport de l’OFEN sur la cybersécurité des entreprises électriques ne prend pas en compte la sûreté des centrales nucléaires.
Le Valais a révisé son analyse cantonale des risques l'an dernier. Le Canton a rétrogradé les tremblements de terre en 2e position. Désormais la menace qui plane le plus sur le Valais est celle d'une vaste panne électrique. La panne que redoute l'OCRI - l'Observatoire cantonal des risques - est de très grande ampleur. Il s'agirait d'un blackout européen d'une semaine qui pourrait être ravageur tant notre société est aujourd'hui connectée. Ce scénario ne relève pas du fantasme. Le 28 septembre 2003, un dimanche à 3h30 du matin, toute l'Italie, Sardaigne exceptée, s'était retrouvée dans le noir complet. A l'origine de cette coupure de courant : la chute d'un arbre en Suisse qui avait ensuite, provoqué des pannes en cascade.