La cyber sécurité règne dans les centrales nucléaires

Le 09 octobre 2015 par Valéry Laramée de Tannenberg
Imprimer Twitter Facebook Linkedin Google Plus Email
L'informatique des centrales nucléaire est-elle bien verrouillée ?
L'informatique des centrales nucléaire est-elle bien verrouillée ?
DR

Un rapport britannique : les installations nucléaires ne sont pas forcément à l'abri de cyber attaques. En France, à en croire les autorités, tout le monde est paré à recevoir le hacker. 

La protection des installations nucléaires est à l’évidence un sujet trop sérieux pour qu’on en parle. En début de semaine, le Royal Institute of international affairs britannique (plus connu sous son surnom de Chatham House) publie un rapport sur la cyber sécurité des installations nucléaires.

En une cinquantaine de pages, les trois auteurs expliquent que le risque informatique couru par les exploitants de centrales nucléaires, usines d’enrichissement et autres INB s’accroît à mesure que l’exploitation se «digitalise».

Des systèmes qui ne sont pas isolés

Pour Caroline Baylon, David Livingstone et Roger Brunt, il ne fait pas de doute non plus que la totale isolation des réseaux des installations nucléaires relève «du mythe». A les entendre, l’internet est entré dans les centrales, notamment via des réseaux VPN, sans que les exploitants soient toujours au courant. Rien de plus simple, pour un cyber pirate aguerri, de détecter grâce à des moteurs de recherche ces portes discrètes donnant sur certains systèmes informatiques des centrales.

Le rapport rappelle aussi que le monde nucléaire doit anticiper des menaces venant de l’intérieur. En 1992, un technicien de la centrale nucléaire d’Ignalina (Lituanie) avait introduit un virus dans un système de contrôle d’un des deux réacteurs RBMK (type Tchernobyl). Plus récemment, en janvier 2003, c’est un virus niché dans le système informatique de First Energy Nuclear qui a infecté les ordinateurs de la centrale nucléaire de Davis Besse (Ohio). Cinq heures durant, les exploitants de la centrale américaine n’ont pas pu accéder aux relevés de pression et de température du réacteur. A l’arrêt, fort heureusement.

Virus contre enrichissement de l'uranium iranien

L’exemple le plus célèbre reste, bien sûr, l’infection des systèmes informatiques de l’usine d’enrichissement iranienne de Natanze et de la centrale nucléaire de Bushehr, à la fin des années 2000, par le ver Stuxnet. Probablement conçu par des spécialistes israéliens et américains, ce logiciel malveillant aurait permis de ralentir le programme d’enrichissement d’uranium iranien.

Et en France? à la question, l’Autorité de sûreté nucléaire (ASN) renvoie le journaliste dans ses 22 mètres, avant de lui souffler d’appeler le haut fonctionnaire de défense du ministère de l’écologie. Lequel ne décroche jamais. C’est pourtant lui qui est effectivement chargé de recenser tous les événements s’apparentant à des cyber attaques visant des installations nucléaires. Un double est transmis à l’Agence nationale de la sécurité des systèmes d’information (ANSSI), pas bavarde elle non plus.

La France est prête

Justifiant sa réputation d’ouverture, l’Institut de radioprotection et de sûreté nucléaire (IRSN) entrouvre ses portes. Interrogé par le JDLE, Philippe Dupuy s’amuse presque du contenu du rapport: «je n’y vois que des généralités et aucune nouveauté», répond le chef du service de sécurité des installations nucléaires de l’institut de Fontenay-aux-Roses. Certes. Les menaces décrites? Elles existent, à l’évidence. Mais la France est prête: «La législation existe, les exigences sont fortes aussi bien sur les systèmes informatiques, les logiciels que les réseaux», souligne notre interlocuteur.

Sans doute, mais le rapport de Chatham House pointe aussi la faible sensibilité des industriels et des exploitants au cyber risque. Un peu comme les utilisateurs d’ordinateurs Apple (royaume où les virus sont rares), les techniciens de l’atome estiment être à l’abri d’attaques du fait qu’une bonne partie de leur système informatique est, prétendument, isolé et spécifique à l’industrie nucléaire.

L’Agence internationale de l’énergie atomique fait ce qu’elle peut pour sensibiliser au risque «cybernuke». En 2011, l’agence de Vienne a publié un très basique guide de prévention. Le message n’étant pas forcément bien passé partout, sa mise à jour est en cours.

 



A suivre dans l'actualité :

Sites du groupe

Le blog de Red-on-line HSE Compliance HSE Vigilance HSE Monitor

Les cookies assurent le bon fonctionnnement de nos sites et services. En utilisant ces derniers, vous acceptez l’utilisation des cookies.

OK

En savoir plus