Quel est l'état de la cybersécurité dans l'approvisionnement électrique suisse et quelle est la stratégie pour son avenir numérique ?

Fin 2018, l'Office fédéral de l'énergie (OFEN) a abordé la numérisation dans le secteur de l'énergie dans un document de dialogue. La cybersécurité a été identifiée comme un sujet fondamental pour le développement durable de la numérisation dans le secteur de l'énergie.

L'Office de l'innovation numérique (OIN) de l'OFEN élabore des principes de base dans le domaine de la cybernétique, dont on peut déduire des mesures possibles pour un futur approvisionnement en électricité numérique et toujours sûr. Cela inclut l'étude sur la cybersécurité, dont les résultats sont maintenant disponibles.

Situation initiale de la cybersécurité dans le secteur de l'électricité et contexte des travaux

Jusqu'à présent, la responsabilité de la cybersécurité incombait aux entreprises du secteur de l'énergie (en vertu du principe de subsidiarité). Dans le cadre de la stratégie énergétique 2050, la loi sur l'énergie a précisé que la protection des infrastructures critiques inclut également les systèmes d'information et de communication correspondants. En 2018, l'Office fédéral pour l'approvisionnement économique du pays (OFAE) a élaboré, en collaboration avec l'Association des entreprises électriques suisses (AES) et les entreprises électriques, une directive volontaire de la branche. Elle s'est basée sur la norme minimale volontaire relative aux technologies de l'information et de la communication (TIC). L'ElCom a ensuite souligné qu'elle s'attendait à ce que les entreprises d'énergie mettent en œuvre cette directive. Les opérateurs de réseau peuvent inclure les coûts de mise en œuvre de la directive industrielle dans leurs coûts de réseau.

Résultats de l'étude fondamentale

L'étude de base montre que les lignes directrices existantes, essentiellement volontaires, sont relativement très fragmentées. Les responsabilités en matière de cybersécurité dans le secteur de l'énergie ne sont pas toujours précisément réglementées. Pour l'étude de base, une enquête nationale, bien que volontaire, sur la cybermaturité dans le secteur de l'électricité a été menée pour la première fois. Ce "niveau de maturité" a été interrogé sur la base de la norme minimale TIC volontaire et connue de longue date, afin d'évaluer l'état actuel. Le taux de réponse à l'enquête était d'un peu moins de 18 %. L'auto-évaluation de la cybermaturité des compagnies d'électricité interrogées sur la base de cette enquête ne se situe qu'entre 0,9 et 1,1 sur une échelle de 0 à 4. Malgré toutes les imprécisions statistiques, c'est loin d'être suffisant pour répondre aux exigences d'une infrastructure critique aussi exposée aux risques.

Classification des résultats, cyber-stratégie et procédure ultérieure

L'étude montre que la nécessité d'agir est manifestement plus grande en Suisse. Dans d'autres pays européens, on travaille actuellement davantage sur la cybersécurité et la cyberrésilience. De nouvelles mesures sont mises en œuvre dans un court laps de temps. Cette démarche s'inscrit dans le cadre du programme Digital Europe, de la directive sur la sécurité des réseaux et de l'information (NIS 2) et d'un code européen des réseaux. Pour la Suisse, il est important de ne pas perdre le contact sur le plan technologique et organisationnel. L'objectif doit maintenant être de réaliser des gains de sécurité pour les participants au marché aussi rapidement, pragmatiquement et proportionnellement que possible.

En plus de l'analyse, l'OD fournit également une stratégie pour améliorer les mesures de sécurité dans l'étude. Par exemple, les responsabilités doivent être clarifiées. De même, des exigences minimales obligatoires (protection de base) devraient être imposées à certaines entreprises et leur respect devrait être assuré, par exemple au moyen d'audits. Les entreprises qui ne sont pas tenues de fournir une protection de base sur la base d'une évaluation des risques devraient procéder à une auto-évaluation régulière, être tenues d'en rendre compte à une autorité compétente et être soumises à des contrôles aléatoires. La déclaration obligatoire des cyberincidents et le renforcement du partage des connaissances entre les organismes d'exécution, les régulateurs et le Centre national de cybersécurité (NCSC) complètent cette stratégie. L'orientation de cette stratégie a récemment été confirmée dans son principe par des chercheurs de l'ETH Zurich.

L'OFEN va maintenant élaborer un concept de mise en œuvre pour le secteur de l'électricité sur la base de l'étude fondamentale, en collaboration avec la CNCC, l'ElCom, la CAF et les représentants de la branche. Ce concept doit être proportionné et adapté à la nature hétérogène du secteur. La mise en œuvre se fera étape par étape. D'autres sources d'énergie, comme le gaz et le pétrole, seront également prises en compte. La Suisse peut ainsi se préparer aux défis et aux risques d'un approvisionnement énergétique de plus en plus numérique, renforcer sa résilience face aux attaques du cyberespace et donc aussi la sécurité de l'approvisionnement et la protection des acteurs du marché.

La stratégie de cybersécurité pour l'approvisionnement en électricité de la Suisse peut être consultée dans les publications de l'Office fédéral de l'énergie.

Dr Matthias Galus, Chef de l'Office de l'innovation numérique, OFEN