Pour tenir compte des cyber-risques, des aspects numériques s’ajoutent à la protection physique. (Photo : iStockphoto/alengo)
Les technologies de communication et d’information sont aussi un facteur indispensable pour les installations nucléaires suisses. D’un autre côté, l’interconnectivité globale expose les systèmes informatiques à des dangers potentiels. Ces attaques informatiques peuvent avoir des origines et motivations diverses. Depuis peu, elles surviennent non seulement plus fréquemment mais de manière plus ciblée.
La sécurité informatique n’est pas devenue un sujet important depuis la découverte du ver « Stuxnet » en 2010. Malgré tout, Stuxnet est jusqu’à présent hors pair. Il se distingue aussi bien par sa complexité qu’en raison de son but visant à manipuler les systèmes de commande d’installations nucléaires. Le logiciel malveillant a été développé spécialement sur un système déterminé en vue de la surveillance et du contrôle de processus techniques.
Les objectifs d’attaques informatiques sur une installation nucléaire sont listés ci-dessous :
- Récolte et vol d’informations pour la planification ainsi que l’exécution d’attaques
- Manipulation de systèmes informatiques et de commande
- Attaque ou blocage de processus critiques pour la sécurité des installations nucléaires
Une combinaison de ces motifs est également possible.
Prise en compte des cyber-risques
Les exploitants d’installations nucléaires doivent évaluer les risques informatiques. Ils développent dans cette optique des analyses de risque et appliquent les mesures de protection correspondantes. Les hypothèses de risque consécutives sont décrites dans une « menace de référence ». La loi sur l’énergie nucléaire et l’ordonnance correspondante se concentrent principalement sur la protection physique des installations nucléaires. Celle-ci concerne :
- la construction et l’exploitation sûres des installations,
- la protection des matières nucléaires,
- les barrières de sécurité multiples,
- l’automation de systèmes de sécurité pour la protection de l’être humain, de l’environnement et de la société.
Pour tenir compte des cyber-risques, des aspects numériques s’ajoutent à la protection physique. Ils appartiennent aux permis d’exécution et sont régulièrement vérifiés. Les systèmes de contrôle-commande d’installations nucléaires comprennent des dispositifs de protection techniques, administratifs et organisationnels. Une défense en profondeur contribue à empêcher une action non autorisée, ou déplacée à un moment donné, sur un système informatique. Une telle protection permet également de déceler des irrégularités de manière précoce et de minimiser l’étendue d’éventuels dégâts. La séparation physique de réseaux, la construction redondante de systèmes ainsi que l’application de concepts de zones et d’autorisations restrictifs sont notamment employés à ces fins.
Le Conseil fédéral tient également compte de la menace croissante liée à Internet. Depuis 2004 déjà, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) est en opération. Elle s’occupe de la protection d’infrastructures de communication et d’information de la Suisse face à des attaques, abus et pannes. Les exploitants d’installations nucléaires sont intégrés dans ce groupement. Un autre élément se trouve être la « Stratégie nationale de protection de la Suisse contre les cyber-risques (SNPC) », soutenue avec engagement par l’IFSN.
Plus d’informations
- La « Cyber-landsgemeinde » du Réseau national de sécurité
- European Commission: Cybersecurity Strategy of the European Union (en anglais)
- Le Conseil fédéral approuve la stratégie nationale de protection de la Suisse contre les cyberrisques
