vendredi 20 octobre 2017

Accueil du site > Technologie > Mission commune d’information sur la sécurité d’approvisionnement

Mission commune d’information sur la sécurité d’approvisionnement électrique de la France et les moyens de la préserver

Sénat.fr

vendredi 11 mai 2007, sélectionné par Spyworld

logo

Audition de M. Olivier Darrason, président de la Compagnie européenne d’intelligence stratégique (CEIS)

La mission commune d’information a ensuite procédé à l’audition de M. Olivier Darrason, président de la Compagnie européenne d’intelligence stratégique (CEIS).

En préambule, M. Bruno Sido, président, après avoir rappelé l’objet de la mission commune d’information, a estimé essentiel d’avoir l’avis d’un spécialiste sur certains aspects de la sécurité du système électrique, en particulier sur la sécurité des réseaux informatiques qui en régulent le fonctionnement.

Soulignant qu’il ne limiterait pas son propos au seul aspect informatique, M. Olivier Darrason, président de la CEIS, a expliqué que l’attaque des moyens de production faisait partie, depuis longtemps, de l’histoire des conflits. Il a cependant constaté une évolution récente avec, d’une part, l’émergence d’activistes contestataires, notamment anti-nucléaires, souhaitant démontrer que la protection des installations et des systèmes comportait des failles compromettant leur sécurité propre ou celle d’un ensemble plus large, et d’autre part la montée en puissance de terroristes et de maîtres-chanteurs essayant de profiter d’éventuelles vulnérabilités. Sur un plan militaire, il a relevé que, lors de la guerre du Kosovo, en 1999, la réflexion des alliés européens et américains avait consisté, en application de la théorie du colonel John Warden III, à analyser le système électrique serbe afin d’en identifier les points névralgiques et les cibles les plus facilement accessibles, dont la destruction serait la plus rapide et la moins coûteuse entraînant les plus faibles dégâts collatéraux, ce qui a conduit à la neutralisation de quelques sous-stations électriques.

M. Olivier Darrason a ensuite souligné qu’un réseau de distribution pouvait être rendu vulnérable par la connaissance éventuellement acquise par le public grâce aux nouveaux moyens de communication. Ainsi, après avoir évoqué le récent scandale aux Etats-Unis de la reconstitution d’un réseau électrique par un étudiant, grâce aux images de Google Earth, il s’est interrogé sur l’exposition des installations françaises sensibles provoquée par ce type d’outil, regrettant que les demandes de « floutage » des autorités françaises pour des impératifs de sécurité nationale n’aient pas été satisfaites.

Puis il a abordé la question de la sécurité informatique, observant, si elle se posait aux électriciens dans les mêmes termes qu’à l’ensemble des organisations, qu’elle concernait cependant un réseau de production et de transport considérable, voisinant avec des systèmes commerciaux tournés vers le public. Il a évoqué les dangers qui existent lorsque les réseaux informatiques de production sont connectés à ceux de la gestion, généralement moins protégés, et les risques résultant de l’accès à Internet, de l’utilisation en réseau des outils professionnels à des fins qui ne le sont pas, et de l’importation de « softwares » extérieurs par les utilisateurs du système. Les pirates informatiques utilisent de nouvelles techniques informatiques consistant à pénétrer les réseaux sans fil (« wifi »), souvent fragiles s’ils ne font pas l’objet d’une protection adéquate. De plus, les travaux de l’observatoire de la criminalité informatique, créé en 2004 auprès du ministère de la défense montrent que les pirates, auparavant souvent des étudiants ou des scientifiques au profil marginal voire libertaire, deviennent de plus en plus de vrais professionnels, prêts à vendre leurs services aux plus offrants. La vulnérabilité peut parfois se trouver au sein même des entreprises, notamment en raison du développement de réseaux sectaires.

M. Olivier Darrason a conclu en abordant les parades à mettre en oeuvre afin de contrecarrer les menaces contre les systèmes. Il a ainsi expliqué que la « concentricité », consistant à établir des lignes de défense successives (barrières, signaux d’alerte, matériels de repérage...), s’avérait efficace pour la sécurité physique des sites, le temps nécessaire pour atteindre le coeur de la cible devant suffire à contrecarrer les assaillants. Puis, après avoir mis en garde contre les dangers que pouvait comporter, de ce point de vue, l’externalisation de certaines tâches, il a souligné l’importance, pour les entreprises, de porter une plus grande attention à leurs propres collaborateurs, en particulier à ceux ayant accès à des données sensibles.

Pour ce qui concerne la protection de l’information, il a conseillé d’opérer une sélection, tout n’ayant pas vocation à être protégé, et d’utiliser, lorsque nécessaire, les techniques de cryptologie avancée. Ayant relevé que cette science demeurait, à ce jour, l’apanage d’un tout petit nombre de grandes nations, et précisé à M. Bruno Sido, président, qui s’en inquiétait, que la France est l’une des toutes premières en la matière, il s’est déclaré préoccupé par le succès grandissant des sollicitations que certains Etats ou organisations adressent aux spécialistes de l’ex-Union soviétique pour obtenir leur savoir-faire.

Puis, après avoir rappelé le débat sur le niveau de cryptage utilisable par des entités non étatiques, suscité par la loi du 21 juin 2004 sur la confiance dans l’économie numérique, il a estimé que les entreprises françaises n’utilisaient globalement pas suffisamment cette technique, contrairement à EDF et RTE, même si la CEIS n’avait pas mené d’audit précis sur ce point.

A M. René Beaumont qui demandait les règles que pouvait imposer l’Etat en matière de sécurité des installations électriques à l’heure de la libéralisation des marchés de l’électricité et du gaz au sein de l’Union européenne, M. Olivier Darrason a fait valoir que, quel que soit leur propriétaire, les centrales nucléaires installées sur le territoire français devaient répondre, pour leur sécurité physique, aux normes sévères régissant les installations à risques, dites « Seveso », et étaient soumises à des contrôles réguliers très rigoureux. Il a en revanche reconnu qu’il n’existait pas, à ce jour, de normes relatives à leur sécurité numérique, expliquant que l’élaboration en cours de telles règles, nécessairement complexes, relevait de la double compétence du Secrétariat général de la défense nationale (SGDN) et du ministère de l’industrie, et appelant de ses voeux une mobilisation plus intense pour parvenir à raccourcir le délai de deux ans prévu pour achever ce travail et rendre ces normes rapidement applicables. S’agissant des installations situées dans d’autres Etats, il a relevé que, s’il convenait de faire confiance auxdits Etats, nécessairement soucieux de la protection de leur population, rien ne permettait aujourd’hui d’avoir des assurances sur la qualité des mesures de sécurité et de sûreté, et de leur contrôle, instituées dans certains des pays concernés.

Enfin, M. Eric Doligé ayant souhaité savoir quel était le niveau d’habilitation de structures non étatiques s’occupant d’intelligence stratégique, comme la CEIS, M. Olivier Darrason a indiqué que les organismes privés devaient être habilités par l’Etat - en pratique, selon le cas, le ministère de l’industrie ou le ministère de la défense - afin de travailler avec certains clients sensibles. Il a ainsi précisé que les sociétés intervenantes étaient soumises à des procédures très exigeantes d’habilitation ainsi que leurs collaborateurs.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :