Des experts ont réalisé une étude sur la cybersécurité des centrales nucléaires aux États-Unis (EU) et au Canada. Le résultat : 25 points faibles qui rendent les centrales nucléaires vulnérables aux hackers. Il s'agit surtout de points faibles dans le protocole régissant la communication interne entre les différentes parties. Ces protocoles ne sont d'ordinaire pas contrôlés sur le plan de la sécurité car ils ne sont pas directement liés à l'internet. Par ailleurs, des experts font état d'un faux sentiment de sécurité. Ils considèrent que moins on est au courant du fonctionnement des protocoles, moins on risque de les utiliser à de mauvaises fins.

Les chercheurs ont toutefois découvert que ces vulnérabilités pouvaient avoir d'importantes conséquences. Les centrales pourraient être mises à l'arrêt, ou le système pourrait être mis dans l'impossibilité de réagir aux ordres des opérateurs. Dans le plus mauvais cas, des hackers prennent le contrôle de l'ensemble du système.

Source : http://www.theguardian.com/technology/2013/oct/17/us-power-plants-hacking

Je souhaiterais poser les questions suivantes :

1) Comment réagit-on aux éventuels dangers de cyberattaques contre des centrales nucléaires belges et à leurs implications sur notre pays ? Nos centrales présentent-elles également les mêmes « points faibles » qu'aux États-Unis ? Pouvez-vous fournir des précisions ? La ministre estime-t-elle qu'une telle attaque est possible ?

2) A-t-on déjà réalisé des études sur la cybersécurité des centrales nucléaires belges ? Dans l'affirmative, quels en ont été les résultats ? Dans la négative, pour quelles raisons ? Pouvez-vous fournir des précisions ?

3) Si aucune étude n'a été réalisée, la ministre juge-t-elle nécessaire d'en faire effectuer une à l'avenir ? Si oui, pourquoi ? Sinon, pour quelles raisons ?

4) Le premier ministre estime-t-il possible que les centrales nucléaires belges aient déjà été la cible de cybercriminels? Si oui, pourquoi ? Sinon, pour quelles raisons ? Dans l'affirmative, peut-il fournir des explications détaillées ?

5) A-t-on déjà pris conscience, sur le plan politique, de l'éventuel impact de cyberactions sur la sécurité des centrales nucléaires dans notre pays ? De quelle manière ?

6) Notre pays est-il conscient des éventuels dangers d'attaques sur des protocoles qui ne sont pas liés à internet, comme décrit dans l'étude évoquée ? La ministre peut-elle détailler la situation en Belgique ?

7) Qui est responsable de la cybersécurité des centrales nucléaires dans notre pays ?

Au lendemain de la catastrophe nucléaire qui a frappé la centrale nucléaire de Fukushima-Daiichi en 2011, les centrales nucléaires belges ont été soumises à des tests de résistance, baptisés « stress tests », dans le cadre d’initiatives prises conjointement au niveau européen. Dans notre pays, la portée de ces tests de résistance ne s’est pas limitée aux phénomènes naturels extrêmes, mais elle a été élargie aux menaces potentielles liées aux activités humaines, qu’elles soient ou non malveillantes, telles qu’une cyber-attaque.

La vulnérabilité des centrales nucléaires de Doel et de Tihange aux cyber-attaques a fait l’objet d’une analyse de l’exploitant, dont la fiabilité a ensuite été évaluée par l’AFCN et Bel V. Une synthèse des résultats a été publiée début 2012 sur le site web de l’AFCN (http://www.fanc.fgov.be/fr/news/stresstests-nationaal-verslag-over-de-door-de-mens-veroorzaakte-gebeurtenissen/479.aspx).

L’exploitant a analysé les risques liés à quatre types d’attaque informatique :

- l’attaque externe, depuis l’extérieur du réseau informatique de l’entreprise,

- l’attaque hors site, via le réseau bureautique de l’entreprise,

- l’attaque sur site, via le réseau bureautique de la centrale,

- l’attaque sur site, par accès physique direct aux ordinateurs et systèmes sur les réseaux de la centrale.

L’exploitant a ensuite étudié les possibilités de perte de contrôle de la centrale par l’opérateur, compte tenu des dispositions de sécurité existantes.

Selon l’analyse de l’exploitant, la perte des fonctions de sûreté des centrales nucléaires résultant d’une attaque informatique est impossible, considérant que :

- les systèmes de contrôle commande et de protection des réacteurs ne sont connectés ni au réseau informatique de la centrale, ni au réseau de l’entreprise ;

- la quasi-totalité des systèmes de contrôle commande et de protection des réacteurs utilise une technologie analogique câblée (non numérique) qui n’est pas vulnérable aux cyber-attaques ;

- des dispositions sont en place (incluant la protection physique) pour protéger les systèmes informatisés qui supportent des fonctions de sûreté ;

- un programme d’améliorations a été mis en place pour accroître le niveau de sécurité.

L’évaluation de l’AFCN et de Bel V confirme ces conclusions. Toutefois, un des points d’attention qui a été identifié et qui devra continuer à être vérifié minutieusement, concerne la vulnérabilité des systèmes industriels de type SCADA (Supervisory Control and Data Acquisition), qui augmente en raison de l’apparition de nouveaux malware développés pour s’attaquer à ces systèmes. La vulnérabilité de ces protocoles SCADA pour la collecte, la transmission, le traitement et la visualisation des signaux de mesure et de contrôle, est également abordée dans l’étude auquel vous faites référence.

L’AFCN n’a pas connaissance d’incidents de cybercriminalité ayant été dirigées à l’encontre de centrales nucléaires belges.

Les autorités de sûreté belges sont tout à fait conscientes du fait que les centrales nucléaires constituent une cible potentielle de cyber-attaques. Les éléments suivants attestent de cette prise de conscience :

a) La Belgique a, d’initiative, élargi la portée des tests de résistance de 2011 au risque de cyber-attaques.

b) Le rapport national portant sur ces tests de résistance précise que les risques de cyber-sécurité doivent être suivis minutieusement, dès lors que :

- La vulnérabilité/le au risque augmente de plus en plus au fur et à mesure de la modernisation de la technologie informatique des installations.

- La vulnérabilité/leau risque augmente avec l’augmentation de la sous-traitance. Ce risque est partiellement géré par la mise au point de normes internes pour cadrer les intervenants externes.

- La vulnérabilité des systèmes industriels de type SCADA (Supervisory Control and Data Acquisition) augmente en raison de l’apparition de nouveaux malware développés pour s’attaquer à ces systèmes.

c) La Belgique possède une réglementation spécifique en matière de protection physique des installations nucléaires et en matière de protection des informations classifiées et catégorisées, laquelle porte notamment sur les mesures de protection physique destinées à protéger les centrales nucléaires (arrêtés royaux du 17 octobre 2011). Cette réglementation constitue la pierre angulaire d’une politique efficace de cyber-sécurité.

d) L’objectif est de définir en 2014 une menace de référence (Design Basis Threat ou DBT) en matière de cyber-sécurité. Une DBT est un document classifié qui décrit les acteurs génériques potentiels de la menace, ainsi que leur motivation, leur intention, leur potentiel et leur mode opératoire. La définition de cette DBT est un processus interactif impliquant l’AFCN et d’autres services publics concernés, mais également des experts en informatique. Ce domaine évolue rapidement et, tant sur le plan international que national, les initiatives nécessaires doivent être mises en place pour faire face à cette menace. En conséquence, l’AFCN prend des initiatives qui s’inscrivent dans le droit fil des évolutions actuelles au niveau international.

e) La Belgique est également attentive aux activités des divers groupes de travail qui, dans le giron de l’Agence internationale de l'Énergie atomique (AIEA), élaborent des recommandations spécifiques à la cyber-sécurité dans le secteur nucléaire. Au cours de prochaines années, le thème de la cyber-sécurité sera de plus en plus souvent abordé lors des différentes conférences internationales consacrées à la sécurité nucléaire.

f) La Belgique est en contact avec des homologues étrangers afin d’échanger des informations dans la mesure du possible.

Comme déjà mentionné, un points d’attention résultant des tests de résistance de 2011 concerne la nécessité de vérifier minutieusement à l’avenir la vulnérabilité des systèmes industriels de type SCADA (Supervisory Control and Data Acquisition). La vulnérabilité augmente au fur et à mesure de la modernisation des installations IT des centrales nucléaires, de l’augmentation de la sous-traitance dans le secteur informatique et de l’apparition de nouveaux malware développés spécifiquement pour s’attaquer à ces systèmes de type SCADA. Ce genre de risques fait partie de la cyber-DBT du secteur nucléaire.

La protection physique d’une installation nucléaire telle qu’une centrale relève avant tout de la responsabilité de l’exploitant (arrêté royal du 17 octobre 2011 relatif à la protection physique des matières nucléaires et des installations nucléaires). L’agence fédérale de Contrôle nucléaire (AFCN) s’assure que les exploitants respectent la réglementation relative à la sûreté et à la sécurité de ces installations.