Les centrales nucléaires déconnectées ? Un mythe.

Chatham House n’est pas tendre avec la sureté informatique du nucléaire. Dans un rapport basé notamment sur des entretiens avec une trentaine d’experts, l’ONG s’inquiète d’abord du manque de communication sur les incidents. En France, la loi de programmation militaire de fin 2013 va y apporter un remède, mais il est peu probable que le moindre chiffre atteigne néanmoins le grand public. Elle devrait toutefois apporter des bénéfices sur un autre point mis en avant par Chatham House : le peu de collaboration avec d’autres industrie et de partage d’information. Dans l’Hexagone, au moins, les opérateurs d’importance vitale (OIV) devront communiquer à l’Anssi leurs indicateurs de compromission. A charge pour elle de les partager ou pas. D’où la recherche de sondes capables de garder des secrets.

Mais l’ONG met en avant un point qu’il sera difficile de régler par une quelconque loi : « les personnels des centrales nucléaires sont des ingénieurs des technologies opérationnelles, les personnels de la cybersécurité sont des ingénieurs des technologies de l’information, et leurs populations ont fréquemment du mal à communiquer ». Un problème bien connu et régulièrement soulevé, renvoyant à l’époque où l’informatique a fait son intrusion dans le monde des télécoms.

Alors sans surprise, Chatham House relève que les personnels des centrales nucléaires manquent souvent de culture de la cybersécurité, ou encore de formation au sujet. Mais le plus important est ailleurs : l’ONG rappelle que « de nombreux systèmes de contrôle industriels sont non-sûrs par conception », alors que le contraire serait souhaitable. En outre, appliquer des correctifs n’est aussi simple à faire que dans un système d’information.

Et le manque de culture de la cybersécurité peut conduire à des situations représentant un risque potentiel. Ainsi, selon l’une des sources anonymes interrogées par Chatham House, « nous avons utilisé Shodan [moteur de recherche de systèmes connectés, NDLR] et trouvé que toutes les centrales nucléaires en France sont connectées à Internet. Si un utilisateur sait ce qu’il cherche, il peut aisément trouver cette information ». Et d’expliquer que Shodan permet de visualiser, sur une carte, où se trouve un système connecté à Internet, une information graphique facile à rapprocher de celle des emplacements des centrales nucléaires françaises.

Et Chatham House de souligner que « nombre d’installations nucléaires ont des VPN ou des connexions oubliées ou non documentées, certaines ayant été installées par des sous-traitants ». En clair, pour l’ONG, penser que les centrales nucléaires sont déconnectées d’Internet, c’est un mythe.

Alors Chatham House multiplie les recommandations, à commencer par l’établissement d’une « stratégie internationale de gestion du risque cyber », ainsi que des « lignes directrices » pour l’industrie du nucléaire civil. Mais l’ONG suggère aussi d’engager un « dialogue robuste » autour des parties concernées par la sécurité informatique, et d’établir des règles fermes. Sans surprise, le partage des indicateurs de compromission est également au menu, dans l’esprit de ce qu’impose la France à ses OIV.