Les Smart grids se caractérisent notamment par davantage de technologies numériques dans les réseaux d’énergies. Rendre ces réseaux plus communicants ne doit pas se faire au prix d’une baisse de la sécurité par la création de vulnérabilités numériques. La cybersécurité des systèmes électriques et gaziers est un enjeu majeur et stratégique.

Les gestionnaires de réseaux doivent faire de la cybersécurité une nouvelle dimension de leurs analyses de risques. En tant qu’acteurs économiques importants assurant une mission de service public et disposant d’une puissance de calcul importante, ils constituent des cibles privilégiées. Ces gestionnaires constatent déjà que les attaques sont de plus en plus nombreuses.

La régulation de la cybersécurité dans le domaine de l’énergie en France et en Europe

En France :

L’Agence nationale de sécurité des systèmes d’information (ANSSI) est l'autorité nationale en matière de sécurité et de défense des systèmes d’information, point de contact unique et centre de réponse aux incidents de sécurité informatique (CSIRT) dans le cadre de la directive NIS.

Le régulateur de l’énergie (CRE) joue un rôle important, d’une part, en apportant son appui à l’ANSSI pour apprécier de façon indépendante les enjeux des projets de réseaux intelligents et, d’autre part, en émettant des recommandations (délibérations de 2014 et 2016). La CRE régulant les gestionnaires de réseaux, elle est informée sur la façon dont les recommandations de l’ANSSI sont implémentées.

Avec le soutien de l’ANSSI, la CRE a lancé fin 2020 un groupe de travail sur la cybersécurité comprenant les acteurs des secteurs de l’électricité et du gaz et ayant les objectifs suivants :

• faire émerger une position française dans le cadre des travaux européens (notamment la création du futur code réseau sur le sujet) ;
• servir de référence à la CRE et l’ANSSI pour leurs travaux respectifs et aux acteurs pour leurs choix des meilleures techniques à mettre en œuvre ;
• être un lieu d’échange d’expériences des acteurs régulés ;
• permettre la création d’une communauté de la cybersécurité dans l’énergie.

En Europe :

L'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) a pour mission d'assurer un niveau élevé de sécurité des réseaux et de l'information. L'ENISA, en collaboration avec les instances nationales et les institutions européennes, s’emploie à développer une culture de la sécurité des réseaux d'information dans toute l'Union.

Le Conseil des régulateurs européens de l’énergie (CEER) est le porte-parole des régulateurs nationaux de l'énergie en Europe. Depuis 2014, le CEER a mis en place un groupe de travail sur la cybersécurité (CS WS). Le CS WS a pour objectif d’améliorer la connaissance des membres du CEER sur le sujet et de pré-parer ses avis. Ce groupe est actuellement coprésidé par la CRE et l’ACER. Le CEER a publié en 2018 un rapport sur la cybersécurité dans le gaz et l’électricité, en 2019 un parangonnage et en 2020 un rapport sur la cybersécurité dans le 4e paquet énergie.

Les enjeux relatifs aux réseaux d’énergie relevés par l’EECSP

De 2015 à 2017, la Commission européenne a mis en place l’Energy Expert Cyber Security Platform (EECSP). Il avait pour objectifs d’analyser la législation, les initiatives, les projets et les stratégies de cybersécurité existants liés à tous les acteurs du secteur de l'énergie (électricité, gaz, pétrole et nucléaire) afin d'identifier leurs enjeux spécifiques et de proposer une stratégie à court, moyen et long terme. Début 2017, l’EECSP a publié son rapport, qui identifie les enjeux listés dans le tableau ci-après.

L’EECSP a proposé les réponses suivantes à ces enjeux