La régulation de la cybersécurité dans le domaine de l’énergie en France et en Europe
Cette page a été rédigée par la
Commission de régulation de l'énergie.
1. La cybersécurité dans le domaine de l’énergie en France
La cybersécurité est principalement traitée en France par le code de la défense (notamment le Chapitre II Titre III Livre III Partie 1).
Du fait de leurs rôles et de leurs tailles respectives, certains acteurs énergétiques, notamment dans les activités de production et de gestion des réseaux, sont considérés comme des opérateurs d’importance vitale. Ces opérateurs, dont la liste est confidentielle, doivent soumettre leurs systèmes d'information à des contrôles destinés à vérifier leur niveau de sécurité et leur respect des règles de sécurité (article L 1332-6-3 du code de la défense). Ils sont par ailleurs tenus d’informer sans délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité de leurs systèmes d'information (article L 1332-6-2 du code de la défense).
Créée en 2009 sous l’égide du Premier ministre, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) est l'autorité nationale en matière de sécurité et de défense des systèmes d’information. L’ANSSI recommande l’utilisation des normes ISO 27 000 pour les systèmes de contrôle industriels. Certaines entreprises dans le domaine de l’énergie ont constitué leur propre équipe d’intervention spécialisée sur la cybersécurité, qui prend par exemple la forme d’une Computer emergency response team (CERT ENGIE d’ENGIE) ou d’une Cyber incident response team (COrSR de RTE).
En ce qui concerne la cybersécurité, la CRE a pour rôle, en tant que régulateur de l’énergie, de proposer des projets de textes réglementaires et de formuler des recommandations. Dès 2014, la CRE a attiré l’attention des acteurs des Smart grids sur les enjeux de la cybersécurité.
A titre d’exemple, il existe un modèle européen d’analyse d’impact relative à la protection des données applicable au sujet des Smart grids (DPIA Template). La CRE recommande de mener cette étude d’impact pour chaque projet de réseaux intelligents. Cela s’inscrit dans le processus de gestion des risques liés à toute expérimentation Smart grids. Cette étude permet d’identifier, d’évaluer et de classer les risques associés à la protection des données. Une fois ceux-ci évalués, il est possible grâce à l’étude de définir un plan d’action pour réduire ces risques et leurs impacts. Une telle analyse a été rendue obligatoire au travers de l’article 35 du règlement général sur la protection des données n°2016/679 du 27 avril 2016, entré en application le 25 mai 2018.
Les porteurs de projets Smart grids sont également invités à mettre en œuvre les meilleures techniques de cybersécurité disponibles pour les systèmes de comptage en s’appuyant sur leurs représentants sectoriels ou sur les instances administratives françaises y ayant participé comme la Commission nationale de l'informatique et des libertés (CNIL) ou l’ANSSI. Cette recommandation figure dans la délibération de la CRE du 8 décembre 2016 relative au développement des réseaux intelligents.
Les porteurs de projets de smart grids sont par ailleurs invités à appliquer les conclusions du groupe d’experts « Smart Grids Task Force » de la Commission européenne concernant la protection des données. Parmi les contributions de ce groupe de travail sur la cybersécurité des Smart grids, figure notamment la publication en 2019 de recommandations pour la mise en œuvre de règles sectorielles concernant les aspects de la cybersécurité.
Les gestionnaires de systèmes de comptage évolués doivent, quant à eux, faire valider leur système par l’ANSSI.
Enfin, avec le soutien de l’ANSSI, la CRE a lancé fin 2020 un groupe de travail sur la cybersécurité comprenant les acteurs des secteurs du gaz et de l’électricité et ayant pour objectifs de :
- faire émerger une position française dans le cadre des travaux européens (notamment la création du futur code réseau sur le sujet) ;
- servir de référence à la CRE et l’ANSSI pour leurs travaux respectifs et aux acteurs pour leurs choix des meilleures techniques à mettre en œuvre ;
- être un lieu d’échange d’expériences des acteurs régulés ;
- permettre la création d’une communauté de la cybersécurité dans l’énergie.
2. La cybersécurité dans le domaine de l’énergie en Europe
Le Conseil des régulateurs européens de l'énergie (CEER) est le porte-parole des régulateurs nationaux de l'énergie en Europe. Les membres et observateurs du CEER comprennent 38 autorités nationales de régulation de l'énergie de tout le continent européen. Depuis 2014, le CEER a mis en place un groupe de travail sur la cybersécurité (le cybersecurity workstream dit CS WS). Actuellement coprésidé par la CRE et l’ACER, ce groupe a pour objectif d’améliorer la connaissance des membres du CEER sur le sujet et de préparer des avis du CEER sur les propositions de textes européens. Le CEER a publié en 2018 un rapport sur la cybersécurité dans le gaz et l’électricité, suivi d’un état des lieux en 2019.
Le CEER participe aux groupes de travail européens traitant de la cybersécurité comme le groupe d’experts de « la Smart grids task force » de la Commission européenne. Ce groupe d’experts a notamment publié :
- en 2016 les meilleures techniques disponibles pour la protection des systèmes de comptage évolués ;
- en 2018 une mise à jour du modèle d’analyse d’impact de protection des données et ;
- en 2019 des recommandations pour la mise en œuvre de règles sectorielles concernant les aspects de la cybersécurité.
Ces recommandations doivent mener à la publication d’un code réseau sur la cybersécurité à l’échéance de 2021.
Par ailleurs, l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) a pour mission d'assurer un niveau élevé de sécurité des réseaux et de l'information. L'ENISA, en collaboration avec les instances nationales et les institutions européennes, s’emploie à développer une culture de la sécurité des réseaux d'information dans toute l'Union.
L’ENISA en plus de participer aux travaux du groupe de travail de « la Smart Grids Task Force » en tant qu’institution européenne, assiste aussi le Cybersecurity Workingstream du CEER, notamment dans son objectif de formation des régulateurs nationaux de l’énergie sur la cybersécurité.
Enfin, le Paquet Energie Propre a, comme le CEER l’a indiqué dans son rapport de 2020 sur la cybersécurité dans le paquet énergie propre, explicitement intégré le sujet cybersécurité dans le cadre de la régulation européenne de l’énergie. Il prévoit notamment que :
- les systèmes de comptage évolués doivent intégrer les meilleures techniques disponibles ;
- un code de réseau spécifique à la cybersécurité doit être développé ;
- les plans de préparation aux risques doivent considérer les cyber-incidents.