La cybersécurité énergétique, nouvelle frontière de la politique énergétique européenne

, par Théo Boucart

La cybersécurité énergétique, nouvelle frontière de la politique énergétique européenne

Les technologies énergétiques devenant de plus en plus importantes, la cybersécurité énergétique doit être le nouveau chantier des Etats et des institutions européennes. Les initiatives dans le domaine doivent aussi être l’occasion de repenser la sécurité énergétique au niveau communautaire.

La politique climat-énergie de l’Union européenne a pour but de favoriser la transition énergétique de l’Union européenne tout en assurant la sécurité énergétique du continent et la concurrence sur les différents marchés énergétiques. Au fil des dix dernières années, le rôle de l’innovation technologique dans la politique énergétique de l’UE s’est renforcé, à la faveur du développement de ce qu’on appelle la « troisième révolution industrielle », l’inclusion des technologies de l’information et de la communication dans les réseaux énergétiques et électriques. L’union de l’énergie lancée en 2015 est en quelques sorte la consécration de la dimension technologique de la politique énergétique de l’UE car elle représente une des cinq priorités principales de cette initiative d’ampleur.

La numérisation des infrastructures énergétiques présente des avantages considérables : la gestion automatisée et intelligente de la production et de la consommation énergétique permet de faire des économies d’énergie et une meilleure intégration des énergies renouvelables dans les systèmes énergétiques. Néanmoins, cette numérisation s’accompagne d’un risque accru de cyberattaques pouvant paralyser l’ensemble du système énergétique d’une région, voire d’un pays. Cela serait alors un véritable désastre, tant l’énergie est indispensable à l’économie et au bon fonctionnement des sociétés. Au cours des dernières années, la cybersécurité énergétique a donc pris une importance particulière. Quelle est l’état actuel de la législation en la matière au niveau européen ? Quelles peuvent être les implications de la cybersécurité énergétique dans un contexte plus large de sécurité énergétique européenne ?

Une législation embryonnaire et encore floue

L’Union européenne a commencé à s’intéresser à la protection des infrastructures critiques énergétiques, notamment face aux cyber-risques, dès le milieu des années 2000. Un premier programme européen de protection des infrastructures critiques (PEPIC) a vu le jour en 2006, tandis que la première directive sur les infrastructures critiques européennes (ICE), incluant l’énergie, a été votée en 2008. Ces textes fondateurs ne mentionnaient cependant pas la « cybersécurité » comme un risque explicite. Contrairement aux Etats-Unis, qui a commencé à s’intéresser au sujet à la même période (le Energy Policy Act a été ratifié en 2005) [6], les textes européens se sont contentés d’établir des axes stratégiques généraux, sans réelle contrainte pour les Etats membres, décideurs parfaitement souverains dans ce domaine très régalien.

Le mode opératoire n’a pas vraiment changé lorsque l’UE a commencé à légiférer sur la cybersécurité en général. La communication de la Commission européenne de 2013, « Stratégie de cybersécurité de l’Union européenne : un cyberespace ouvert, sûr et sécurisé », a établi une liste de priorités concernant les infrastructures critiques, mais ne s’est pas focalisé sur l’énergie. La même année, l’exécutif européen a proposé le premier texte législatif sur la cybersécurité dans son ensemble, la directive sur la sécurité des réseaux et des systèmes d’information (SRI). Ce texte, adopté en 2016, prévoit l’identification « d’opérateurs de services essentiels », des infrastructures critiques particulièrement sensibles aux potentielles cyberattaques. Les infrastructures énergétiques et électriques ont été vues comme un point particulièrement sensible : de nombreuses installations vieillissantes (le cycle d’investissement dans le secteur étant très long) sont très vulnérables. Le nouveau groupe de coordination SRI et sa toute nouvelle section « énergie » doit également permettre des mesures concrètes. Les standards de cybersécurité sont donc considérablement renforcés. La seconde communication de la Commission européenne, rédigée en 2017 sous le titre « Résilience, dissuasion et défense : doter l’UE d’une cybersécurité solide », a donné des indications supplémentaires sur l’interprétation de certains articles de la directive SRI, mais laisse toujours autant de marge de manœuvre aux Etats membres, ce qui peut à terme renforcer l’hétérogénéité de la politique de cybersécurité énergétique.

A côté de ces initiatives touchant la cybersécurité dans sa globalité, les institutions communautaires ont aussi légiféré dans le domaine énergétique. La révision en 2017 du règlement sur la sécurité de l’approvisionnement en gaz naturel a inclus des considérations de cybersécurité (visant notamment le comportement de la Russie et son influence sur les infrastructures gazières en Europe centrale et orientale). Le paquet législatif de 2016 « une énergie propre pour tous les Européens » souligne le besoin de développer la cybersécurité dans les infrastructures d’énergies renouvelables. Ces initiatives ont le mérite d’exister, mais restent isolées et ne permettent pas encore la création d’une stratégie européenne intégrée pour la cybersécurité dans l’ensemble du système énergétique.

Cybersécurité et transition énergétique : l’UE à la pointe

Cela est d’autant plus dommage que l’Union européenne est à la pointe dans le domaine de la cybersécurité appliquée aux énergies renouvelables. La transition énergétique présente en effet de nombreuses caractéristiques singulières d’un point de vue de la cybersécurité : les énergies renouvelables sont intermittentes, et donc dépendantes de technologies de pilotage à distance pour leur intégration au réseau électrique général (une telle informatisation est forcément plus vulnérable aux cyberattaques). Le stockage des énergies renouvelables (qui n’en est qu’à ses balbutiements) est également très informatisé. L’Union européenne a commencé à s’intéresser au problème relativement tôt. Le paquet législatif de 2016 « Une énergie propre pour tous les Européens » souligne le besoin de protéger les énergies propres et renouvelables de potentielles cyberattaques (comme ça a été le cas en 2013 avec « Dragonfly », un groupe de hackers qui a attaqué des entreprises du secteur, notamment en Espagne et en France). Le paquet inclut l’obligation pour chaque nouvelle technologie verte de se conformer à des règles de cybersécurité.

Aux côtés des mesures législatives, il existe également des initiatives scientifiques concrètes. Le rôle du plan intégré des technologies énergétiques stratégiques (SET-Plan) et les plateformes européennes d’innovation et de technologies est à souligner. La plateforme sur les réseaux intelligents pour la transition énergétique intègre des considérations de cybersécurité dans un de ces groupes de travail sur la digitalisation des réseaux. L’alliance européenne pour la recherche énergétique suit également cette même tendance grâce à ces programmes conjoints, notamment celui sur les réseaux intelligents. Le potentiel de recherche et d’innovation technologique est un atout considérable pour l’Union européenne. Reste à savoir si ce potentiel va se traduire effectivement dans l’industrie de la cybersécurité énergétique.

Redéfinir la sécurité énergétique européenne

Pendant longtemps, la sécurité énergétique a été pensée d’un point de vue strictement géopolitique. L’approvisionnement en énergies fossiles (pétrole et gaz en particulier) dessinait les forces et les faiblesses des Etats, les pays producteurs d’hydrocarbures disposant de véritables « armes politiques ». Même si cela est encore vrai aujourd’hui (la Russie dispose toujours d’une influence non négligeable sur la sécurité énergétique de certains pays d’Europe centrale et orientale), la définition « stricto sensu » de la sécurité énergétique européenne, basée sur une grille de lecture géopolitique, est de plus en plus complétée par une définition « lato sensu », basée sur la transition énergétique propre et citoyenne.

Le développement des énergies renouvelables intégrées dans des réseaux électriques intelligents impliquant comme on l’a vu des enjeux de cybersécurité, la sécurité énergétique en Europe doit désormais se penser dans un sens « latissimo sensu » (très large) : celle-ci ayant désormais une dimension géopolitique et informatique. L’UE étant largement dépendante des importations d’énergie (de surcroît d’un nombre restreint de fournisseurs), une stratégie de cybersécurité énergétique, touchant à la fois les infrastructures physiques, les réseaux virtuelles et les nouvelles technologies bas-carbone, est indispensable à une politique énergétique européenne efficace.

Vos commentaires

modération a priori

Attention, votre message n’apparaîtra qu’après avoir été relu et approuvé.

Qui êtes-vous ?

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Suivre les commentaires : RSS 2.0 | Atom