Haut de page

Accueil » Tous les dossiers » La gestion des données

Interview de Stéphane Meynet (Agence nationale de la sécurité des systèmes d’information - ANSSI) :

Pouvez-vous nous présenter les missions de l’ANSSI relatives aux Smart grids ?

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est une autorité nationale rattachée au Premier ministre et chargée de la sécurité et de la défense des systèmes d’information. Elle a pour principales missions d’assurer la sécurité des systèmes d’information de l’État et de veiller à celle des Opérateurs nationaux d’importance vitale1 (OIV – acteurs agissant par exemple dans le secteur de la santé, de la gestion de l’eau, de l’alimentation). Les trois missions majeures de l’ANSSI sont :

  • prévenir la menace en anticipant les modes d’attaques par l’expertise scientifique, en définissant les mesures de protection, en labellisant des produits et des services informatiques de confiance ;
  • défendre les systèmes d’information en détectant les failles et incidents, en réagissant le plus vite en cas de cyber-attaque, en apportant son assistance technique et son expertise ;
  • informer les différents publics en sensibilisant sur la nécessaire protection des environnements numériques, en promouvant les bonnes pratiques de cybersécurité et en émettant des recommandations techniques.

Les Smart grids sont considérés par de nombreux États, dont la France, comme des infrastructures critiques et entrent de ce fait dans le périmètre des missions de l’ANSSI.

En pratique, l’Agence sensibilise une large palette d’acteurs du domaine (gestionnaires et opérateurs de réseau, équipementiers, bureaux d’études, intégrateurs), les conseille et leur fournit l’expertise nécessaire pour renforcer la sécurité des systèmes en cours de développement ou ceux déjà en production. Les guides relatifs à la cyber-sécurité des systèmes industriels, ainsi que les nombreux autres que nous publions sur la sécurité des systèmes d’information en général, s’appliquent bien évidemment aux Smart grids.

1. Opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre économique, la sécurité ou la capacité de survie de la Nation.

Comment est assurée la sécurité des systèmes d’information des Smart grids ? Comment intervenez-vous auprès des gestionnaires de réseaux pour assurer cette sécurité des systèmes d’information ?

La sécurité, ou plutôt devrions nous parler de cyber-sécurité afin d’éviter toute confusion’, est assurée par les opérateurs des Smart grids eux-mêmes. Ce sont eux qui en ont la charge et, donc, la responsabilité. Certains opérateurs peuvent être d’importance vitale et, donc, soumis à la réglementation relative aux OIV. Ils seront, en particulier, soumis aux articles concernant la cyber-sécurité de la loi de programmation militaire (LPM) du 18 décembre 2013 (Cette loi est relative à la programmation militaire pour les années 2014 à 2019 et porte diverses dispositions concernant la défense et la sécurité nationale) dont les décrets d’application seront publiés prochainement. Ces articles, parmi d’autres mesures, permettront au Premier ministre, à travers l’ANSSI, de fixer des règles de sécurité pour renforcer la sécurité des systèmes d’information critiques des OIV, de recevoir des notifications d’incidents informatiques (tentatives d'intrusion par exemple) touchant ces systèmes et de mener des audits pour évaluer le niveau de sécurité et l’application des règles fixées. La France est le premier pays à adopter une telle réglementation, à la hauteur des enjeux, ce qui mérite d’être souligné.
Les premiers groupes de travail dédiés à la préparation des règles de sécurité, ont été lancés mi-octobre pour le secteur de l’énergie (électricité et gaz). Les travaux s'appuieront sur les nombreux guides et référentiels déjà publiés par l'ANSSI. Bien avant la LPM, les pouvoirs publics se sont intéressés à la question de la sécurité des Smart grids et notamment à la sécurité des compteurs communicants. Un travail collectif, réunissant les ministères et opérateurs concernés, la CRE et l’ANSSI, a abouti à la prise en compte de mesures de cyber-sécurité dans l’arrêté relatif au comptage électrique du 4 janvier 2012 (arrêté du 4 janvier 2012 pris en application de l’article 4 du décret n° 2010-1022 du 31 août 2010, relatif aux dispositifs de comptage sur les réseaux publics d’électricité, pris par le ministre de l’économie, des finances et de l’industrie, de l’énergie et de l’économie numérique). Celui-ci prévoit, dans son article 4, que les « dispositifs de comptage mentionnés au présent article sont conformes à des référentiels de sécurité approuvés par le ministre chargé de l’énergie. Cette conformité est vérifiée par une évaluation et une certification conformément aux dispositions du décret du 18 avril 2002 susvisé » (décret n° 2002-535 du 18 avril 2002, relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information).

Quels seraient les risques possibles si cette sécurité n’était pas assurée ?

Les risques sont de deux natures. Tout d’abord, l’atteinte à la vie privée des utilisateurs. Les Smart grid pénètrent jusqu’à l’intérieur du domicile des particuliers via les compteurs communicants par exemple, auxquels seront connectés des équipements domestiques (chauffe-eau, radiateurs, éclairage, équipements électroménagers et domotiques, etc.), et qui véhiculeront potentiellement des données à caractère personnel. Cet aspect est traité par la CNIL qui a d’ailleurs publié, à la suite des réflexions d’un groupe de travail, un « pack de conformité » pour les compteurs évolués. Ce pack propose des recommandations sur les conditions de collecte et de traitement des données personnelles relatives à la consommation électrique par des appareils installés par les usagers en aval des compteurs électriques.

Ensuite, il ne faut pas oublier les enjeux liés à la résilience de nos infrastructures. La résilience est définie comme la capacité à fonctionner pendant un incident et à revenir à l’état nominal.

En effet, les Smart grids « inter-connectent » un ensemble d’infrastructures industrielles (sites de production, infrastructures de transport et de distribution électriques) communiquant massivement entre elles. C’est la raison pour laquelle les technologies mises en œuvre, provenant du monde de l’informatique de gestion, sont propices aux attaques informatiques dont le nombre n’a cessé de croître ces dernières années. La menace pourrait devenir réelle, nous devons anticiper des tentatives de coupures électriques de la part d’individus malveillants. Ce type de scénario, mettant en cause la résilience des réseaux électriques, a été pris très au sérieux par de nombreux États, dont la France, ainsi que par l’Union européenne. Le nombre important de recommandations et d’études qu’ils ont déjà ou s’apprêtent à publier sur la cyber-sécurité des Smart grids, illustre bien les préoccupations dont nous parlons.

À ce sujet, pour être efficace, il est important de ne pas se disperser en créant une multitude de nouvelles réglementations et standards et de s’appuyer sur ceux déjà existants.

L’approche de l’ANSSI est de traiter les Smart grids comme des systèmes industriels présentant des particularités. La finalité des Smart grids est bien de gérer « intelligemment » les réseaux électriques (des systèmes industriels) en développant pour cela des systèmes d’information performants, s’appuyant sur des technologies telles que le cloud-computing, les réseaux de communications sans-fil, l’Internet des Objets (IoT), etc. Nous retrouvons dans les Smart grids tous les composants des systèmes industriels « modernes », ceux de « l’usine numérique », mais déployés à l’échelle d’une infrastructure nationale.

Toutefois, la particularité des Smart grids par rapport aux systèmes industriels, réside dans le fait qu’ils manipulent potentiellement des données à caractère personnel. Ce sujet est traité par la CNIL comme nous l’avons abordé précédemment.

Quelle différence faites-vous entre la protection de la vie privée et la sécurité des données ?

Toutes les données ne concernent pas la protection de la vie privée. Une donnée de paramétrage d’un équipement électrique du réseau de distribution, par exemple, ne présente pas de caractère personnel. Pour autant, il est important de sécuriser cette dernière afin d’éviter des dysfonctionnements et d’assurer la résilience des réseaux publics de transport et de distribution d’électricité.


Stéphane Meynet
21 novembre 2014



Stéphane Meynet, ingénieur de l’École des Mines d’Alès, a démarré sa carrière dans l’industrie de la micro-électronique. Après avoir été en charge pendant 10 ans de systèmes automatisés de contrôle de procédés industriels, il est aujourd’hui chef de projet sécurité des systèmes industriels à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) où il traite des aspects de cyber-sécurité des infrastructures critiques.



L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été créée par le décret n° 2009-834 du 7 juillet 2009, sous la forme d’un service à compétence nationale. L’agence assure la mission d’autorité nationale en matière de sécurité des systèmes d’information. À ce titre, elle est chargée de proposer les règles à appliquer pour la protection des systèmes d’information de l’État et de vérifier l’application des mesures adoptées.
Dans le domaine de la défense des systèmes d’information, elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l’État.
«Page 23 de 26»

La gestion des données

Rechercher

Se tenir informé

Abonnez-vous à notre liste de diffusion pour être informé régulièrement des mises à jour du site.

S'abonner

Participer au site

Vous souhaitez participer à notre site ou réagir à un dossier, contactez-nous dès aujourd'hui.

Nous contacter

Les forums de la CRE

La CRE organise des forums, associés à chaque nouveau dossier, pour donner la parole aux experts des Smart grids.
Se tenir informé des prochains forums

Nos contributeurs

Notre site se nourrit aussi de vos contributions. Nous tenons donc à remercier "Actility" qui fait partie de nos 172 contributeurs.
Découvrir nos contributeurs