Début 2017, le groupe de travail (EECSP) a proposé dans son rapport Cyber Security in the Energy Sector 10 actions, répartie en 4 propriétés, à mettre en œuvre face aux défis de la cybersécurité. Il s’agit d’une réponse aux 10 défis que ce même groupe a identifiés. 

1. Mise en place d’un système efficace de gestion des menaces et des risques

La première des priorités est de faire un état des lieux pour définir un plan d’actions permettant de traiter le sujet de la cybersécurité de la manière la plus intégrée et cohérente possible.

1. Identifier les opérateurs de services essentiels (OSE) pour le secteur de l'énergie.

En premier lieu, il est nécessaire que chaque administration nationale définisse des critères d’identification des opérateurs de services essentiels (nombre d’utilisateurs, puissance, etc.) et leur niveau, en collaboration avec les opérateurs et les régulateurs tels que la CRE.

En France, l’agence nationale de la sécurité des systèmes d’information (ANSSI) pilote cette action.

2. Analyser et traiter les risques.

Une analyse des menaces possibles doit être lancée afin d’évaluer les risques qui leur sont associés et leurs conséquences, et déterminer les actions de prévention et de mitigation.

3. Définir un cadre pour une coopération mutli-latérale.

La cybersécurité ne connaissant pas les frontières des états, doivent être établis des coopérations régionales et des groupes de centres de réponse aux incidents de sécurité informatique (CSIRT) pour l'énergie.

Il existe un CSIRT par pays. En France, il s’agit de l’ANSSI.

4. Définir un cadre pour le partage des vulnérabilités dans le secteur de l'énergie.

Un cadre européen commun pour le partage des vulnérabilités dans le secteur de l'énergie doit être mis en place. Ce cadre doit fournir une ontologie et une méthodologie de classification des risques et des vulnérabilités.

2. Mise en place d’un cadre efficace de cyberdéfense

La deuxième priorité est de répondre aux attaques et aux urgences.

1. Définir et mettre en œuvre un cadre et une coordination européenne de cyber-réponse.

Un cadre régional de cyberdéfense pour le secteur de l'énergie doit être mis en place sans préjudice des cadres généraux existants aux niveaux international et national (comme le COMCYBER^[1] en France en partenariat avec l’ANSSI).

2. Mettre en place et renforcer la coopération multi-latérale pour la gestion des urgences.

Chaque groupe régional de coopération CSIRT en tant qu’organe de coordination doit coopérer avec les centres de coordination des interventions d'urgence des opérateurs ou groupe d’opérateurs, évaluer les plans d'urgence des opérateurs et superviser les exercices d'urgence réguliers impliquant un ou plusieurs opérateurs.

3. Amélioration continue de la cyber-résilience

La troisième priorité est la surveillance des attaques, la réévaluation continue des parades et du cadre mis en œuvre.

1. Établir un cadre européen mature pour la cybersécurité dans l'énergie.

Le futur code de réseau européen sur la cybersécurité devrait définir les modalités de mise en œuvre d’un cadre européen mature en matière de cyber-résilience pour le secteur de l'énergie. Cela se traduirait notamment par la mise en place d’un un socle d’exigences commun à tous les opérateurs, accompagné, le cas échéant, d’exigences plus strictes en fonction du degré d’importance des opérateurs (obligation de participation active à un système d’alerte précoce, par exemple). 

2. Établir des partenariats public-privé (PPP) pour garantir l'intégrité de l’approvisionnement.

L'intégrité de la chaîne d'approvisionnement pour les composants utilisés dans les processus gérés par les opérateurs de services essentiels pour l'énergie, doit pouvoir être garantie via un partenariat contractuel public-privé (PPP). Cette forme particulière de partenariat traduit la nécessité de collaboration entre les fabricants de matériels, des acteurs privés, et les Etats qui ont la compétence régalienne de défense.

3. Favoriser la collaboration européenne et internationale.

Un lieu d’échanges, dont la forme reste à définir, comprenant les autorités de régulation, les autorités compétentes et les autres parties prenantes doit sensibiliser et encourager la confiance dans l'échange libre et sécurisé de bonnes pratiques, d'études de cas (par exemple, d'incidents), de menaces détectées et de nouveaux risques potentiels.

4. Renforcement des compétences requises

La quatrième priorité est d’améliorer le niveau des ressources humaines.

4. Renforcer les capacités et les compétences.

Des programmes de certification et de sensibilisation doivent permettre de renforcer les capacités et les compétences en matière de cybersécurité dans le secteur de l’énergie.

La création d'un réseau de partenaires pour la formation, l'établissement et le fonctionnement de programmes de certification et d'enseignement avec des programmes universitaires doit être promue.