Les installations nucléaires suisses préparées aux attaques informatiques
Avec l‘expansion d‘Internet, les informations sont disponibles à tout moment et presque partout. L‘interconnectivité globale a pour corollaire une croissance de la criminalité informatique. L’Inspection fédérale de la sécurité nucléaire (IFSN) surveille la sûreté des installations nucléaires suisses. Elle s’occupe dans ce cadre de la protection contre des actes illicites à l’encontre de systèmes informatiques.
Les technologies de communication et d’information sont aussi un facteur indispensable pour les installations nucléaires suisses. D’un autre côté, l’interconnectivité globale expose les systèmes informatiques à des dangers potentiels. Ces attaques informatiques peuvent avoir des origines et motivations diverses. Depuis peu, elles surviennent non seulement plus fréquemment mais de manière plus ciblée.
La sécurité informatique n’est pas devenue un sujet important depuis la découverte du ver « Stuxnet » en 2010. Malgré tout, Stuxnet est jusqu’à présent hors pair. Il se distingue aussi bien par sa complexité qu’en raison de son but visant à manipuler les systèmes de commande d’installations nucléaires. Le logiciel malveillant a été développé spécialement sur un système déterminé en vue de la surveillance et du contrôle de processus techniques.
Les objectifs d’attaques informatiques sur une installation nucléaire sont listés ci-dessous :
- Récolte et vol d’informations pour la planification ainsi que l’exécution d’attaques
- Manipulation de systèmes informatiques et de commande
- Attaque ou blocage de processus critiques pour la sécurité des installations nucléaires
Une combinaison de ces motifs est également possible.
Prise en compte des cyber-risques
Les exploitants d’installations nucléaires doivent évaluer les risques informatiques. Ils développent dans cette optique des analyses de risque et appliquent les mesures de protection correspondantes. Les hypothèses de risque consécutives sont décrites dans une « menace de référence ». La loi sur l’énergie nucléaire et l’ordonnance correspondante se concentrent principalement sur la protection physique des installations nucléaires. Celle-ci concerne :
- la construction et l’exploitation sûres des installations,
- la protection des matières nucléaires,
- les barrières de sécurité multiples,
- l’automation de systèmes de sécurité pour la protection de l’être humain, de l’environnement et de la société.
Pour tenir compte des cyber-risques, des aspects numériques s’ajoutent à la protection physique. Ils appartiennent aux permis d’exécution et sont régulièrement vérifiés. Les systèmes de contrôle-commande d’installations nucléaires comprennent des dispositifs de protection techniques, administratifs et organisationnels. Une défense en profondeur contribue à empêcher une action non autorisée, ou déplacée à un moment donné, sur un système informatique. Une telle protection permet également de déceler des irrégularités de manière précoce et de minimiser l’étendue d’éventuels dégâts. La séparation physique de réseaux, la construction redondante de systèmes ainsi que l’application de concepts de zones et d’autorisations restrictifs sont notamment employés à ces fins.
Le Conseil fédéral tient également compte de la menace croissante liée à Internet. Depuis 2004 déjà, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) est en opération. Elle s’occupe de la protection d’infrastructures de communication et d’information de la Suisse face à des attaques, abus et pannes. Les exploitants d’installations nucléaires sont intégrés dans ce groupement. Un autre élément se trouve être la « Stratégie nationale de protection de la Suisse contre les cyber-risques (SNPC) », soutenue avec engagement par l’IFSN.