Sûreté nucléaire : les centrales françaises sous contrôle

Après les virus WannaCry et NotPetya qui ont paralysé l'activité de plusieurs milliers d'entreprises dans le monde, la crainte d'une nouvelle cyberattaque visant l'industrie nucléaire n'a jamais été aussi grande. Fin juin, la révélation de tentatives d'interférence sur la société américaine Wolf Creek, qui gère une centrale nucléaire au Kansas, a entraîné l'activation par les autorités US du niveau d'alerte orange, le deuxième plus élevé dans le pays, ainsi que l'inquiétude d'une partie de la population. Pourtant, la Direction de la sécurité intérieure et le FBI ont rapidement démenti tout danger. Selon un récent rapport conjoint, il n'existerait « aucune trace d'une menace pour la sécurité publique, l'impact potentiel semblant limité aux réseaux administratifs et professionnels ». Mais l'annonce au même moment d'une panne du système de mesure radioactive de la centrale de Tchernobyl, dont le réseau informatique a été infecté par NotPetya, n'a fait que renforcer le sentiment d'insécurité alors même que ses réacteurs ne fonctionnent plus depuis 2000. Le phénomène ne date pas d'aujourd'hui : dès 2010, l'attaque Stuxnet avait déjà sérieusement perturbé l'activité de plusieurs sites nucléaires en Iran...

La transformation numérique au service du nucléaire français

En France, deuxième pays comptant le plus de réacteurs nucléaires (58) après les Etats-Unis (99), le risque de cyberattaque pourrait paraître proportionnellement élevé. Si la menace resterait encore très limitée en raison de l'ancienneté de ses établissements, qui fonctionnent encore majoritairement en analogique, d'aucuns redoutent un risque accru à mesure que les installations se modernisent. La transformation numérique des centrales a en effet débuté sur le territoire hexagonal, comme dans celle de Saint-Alban, en Isère. Cet été, l'établissement exploité par EDF a profité de sa visite décennale pour incorporer de nouvelles technologies visant à optimiser l'ensemble des systèmes de mesure, de régulation et de protection des installations. Ces nouvelles fonctionnalités permettront notamment de procéder à l'arrêt automatique du réacteur de manière quasi-instantanée dès que la moindre irrégularité sera détectée. D'après la direction, l'utilisation de commandes de pilotage numériques accroîtrait à la fois les capacités de surveillance et d'analyse des données, la souplesse de fonctionnement et la performance globale de la centrale.

La stratégie française à l'avant-garde

La digitalisation des différents outils de pilotage inclut en effet des technologies de surveillance avancées, aujourd'hui indispensables pour lutter contre tout risque de cybercriminalité. Elles permettent par exemple de simuler d'innombrables scenarios pour tester le comportement des équipements dans diverses situations accidentelles et réfléchir à des solutions pour chaque cas de figure. Selon Pierre Béroux, directeur de la transition numérique industrielle, de la production et de l'ingénierie chez EDF, l'absence de passerelles entre les parties opérationnelle et informatique des centrales françaises réduit de toute manière le risque d'accident à néant. « Il y a une règle d'étanchéité absolue qui rend totalement impossible un risque de cyberattaque touchant le contrôle-commande des réacteurs », affirme-t-il.
« Nous pouvons faire confiance aux acteurs économiques, industriels et institutionnels de l’équipe de France du nucléaire car ils innovent pour toujours plus de sûreté, abonde Thierry Marquez, expert en protection des entreprises et en intelligence économique, dans Le Parisien. En France, un appareil législatif important régit un dispositif global de protection de ses infrastructures critiques et vitales dont les installations nucléaires font partie. » Pour faire face au risque de cyberattaque, l'industrie nucléaire a ainsi opté pour une stratégie de « défense en profondeur », qui consiste à superposer plusieurs strates de sécurité afin de palier l'éventuelle défaillance de l'une ou plusieurs d'entre elles. Les différents services d'un établissement veillent à rester compartimentés pour éviter ou ralentir la propagation de toute menace.

En France, plusieurs acteurs garantissent l'intégrité des centrales, à commencer par les exploitants eux-mêmes, mais aussi l'Autorité de sûreté nucléaire (ASN) créée en 2006, l'Institut de radioprotection et de sûreté nucléaire (IRSN), les commissions locales d'information (CLI) ainsi que le Haut comité pour la transparence et l'information sur la sûreté nucléaire (HCTISN). Tous travaillent aux côtés de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), fondée en 2009, qui supervise les systèmes de commande industriels sous le regard attentif de l'Etat. En 2016, la France était d'ailleurs le premier pays au monde à publier des arrêtés précisant les mesures à mettre en place pour la sûreté du secteur énergétique.