À mesure que les systèmes énergétiques deviennent plus numériques, distribués et axés sur les données, la confiance accordée à l'appareil lui-même — plutôt qu'au périmètre réseau traditionnel — s'impose comme la pierre angulaire de la résilience des opérations du réseau.
Dans cet épisode de Parlons transition énergétique, Andrea Grad de CGI s'entretient avec le Pr Christian Zenger, PDG et cofondateur de PHYSEC, sur la façon dont la confiance cyberphysique, l'identité sécurisée des appareils et les architectures de confiance zéro (Zero Trust) peuvent protéger le réseau moderne, des postes électriques jusqu'aux compteurs intelligents et aux ressources énergétiques distribuées (RED).
Pourquoi la confiance cyberphysique définit désormais la résilience du réseau
Le secteur de l'énergie fait face à des cybermenaces de plus en plus sophistiquées et ciblées. Les rançongiciels qui se propagent des environnements de technologies de l'information (TI) vers ceux des technologies d'exploitation (TO), la manipulation de la chaîne d'approvisionnement par des mises à jour logicielles compromises et l'altération physique directe des appareils sur le terrain illustrent comment les attaques numériques peuvent rapidement entraîner des conséquences opérationnelles.
« Dans les TO, la confiance commence par l'appareil, et non par le périmètre. » — Pr. Dr. Christian Zenger
L'établissement de cette confiance exige des identités ancrées dans le matériel, un état vérifiable des appareils et une communication sécurisée de bout en bout afin de renforcer la fiabilité des données, des commandes et des signaux de contrôle à travers toutes les couches du réseau.
L'évolution des systèmes isolés vers la confiance zéro
Aujourd'hui, les services publics exploitent un mélange de trois générations d'architectures :
- Systèmes hérités entièrement isolés (air-gapped) : Encore répandus en raison de systèmes d'exploitation anciens qui ne peuvent être modernisés sans risque.
- Réseaux segmentés selon le modèle Purdue : Séparation claire des niveaux (des appareils de terrain à l'informatique de gestion), voies de communication strictes et hypothèses traditionnelles de périmètre.
- Internet des objets (IdO) industriel moderne : Les appareils peuvent communiquer entre les couches, par exemple en passant du niveau 0 au niveau 5, ce qui débloque l'analyse, l'automatisation et les gains d'efficacité numérique.
« L'IdO moderne fait tomber les frontières traditionnelles des réseaux. La confiance zéro est ce qui rétablit une structure dans cette nouvelle réalité. » — Prof. Dr. Christian Zenger
Les principes de la confiance zéro — vérification continue, authentification robuste, microsegmentation et communication chiffrée — fournissent cette structure nécessaire à une modernisation sécurisée.
Transformer la réglementation en mise en œuvre pratique
De nouvelles réglementations de l'UE refaçonnent la façon dont les opérateurs et les fabricants abordent la sécurité cyberphysique :
- NIS2 élargit les obligations pour les opérateurs de services essentiels.
- Le règlement sur la cyberrésilience (Cyber Resilience Act ou CRA) fixe des exigences de sécurité obligatoires pour les produits connectés.
- La directive sur la résilience des entités critiques (REC) renforce la gestion des risques cyberphysiques.
M. Zenger note que le CRA aide également à résoudre le vieux « dilemme du prisonnier » entre fournisseurs et opérateurs en exigeant des fournisseurs qu'ils fournissent des preuves de sécurité de base que les opérateurs peuvent réutiliser. Cela réduit les efforts en double et évite des évaluations parallèles coûteuses.
« Corriger la sécurité après le déploiement peut coûter de 100 à 200 fois plus cher que de l'intégrer dès la conception. » — Prof. Dr. Christian Zenger
Sécuriser les compteurs intelligents et les actifs RED à grande échelle
Avec la croissance rapide des compteurs intelligents, des capteurs et des interfaces de ressources énergétiques distribuées (RED) en périphérie du réseau, il devient essentiel de disposer de cadres de confiance des appareils qui sont à la fois évolutifs et harmonisés. Les capacités prioritaires comprennent les identités cryptographiques des appareils, l'intégration (onboarding) sécurisée, les micrologiciels signés, la visibilité de la nomenclature logicielle (SBOM) et la journalisation convergente TO/TI. Ces mesures soutiennent à la fois la résilience et l'efficacité opérationnelle.
Renforcer l'analyse de rentabilité de la cybersécurité
Avec des amendes liées à la directive NIS2 pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial, la cybersécurité est désormais une priorité commerciale stratégique. Au-delà de la conformité, M. Zenger souligne que la sécurité offre des avantages opérationnels : l'approche de confiance zéro améliore le dépannage, l'authentification unique réduit la charge de travail des opérateurs et les données des systèmes de gestion des événements de sécurité (SIEM) peuvent soutenir la maintenance prédictive.
La collaboration comme catalyseur d'innovation sécurisée
Parvenir à une numérisation résiliente nécessite une approche écosystémique. Les fabricants d'appareils, les intégrateurs comme CGI et les institutions universitaires jouent chacun un rôle crucial dans la validation des solutions et l'assurance d'une amélioration continue. M. Zenger insiste sur la valeur de partenaires universitaires solides qui apportent des perspectives neutres, fondées sur la recherche, et aident à combler le fossé entre les opérateurs et les fournisseurs.
Perspectives d'avenir : une réglementation favorable à l'innovation
D'ici 2030, une réglementation alignée sur l'innovation et des fondations de confiance cyberphysique plus solides permettront l'essor de modèles axés sur les prosommateurs, de tarifs dynamiques et de flux énergétiques bidirectionnels. Pourtant, la réalisation de cet avenir dépend du dépassement des hypothèses de périmètre au profit d'identités d'appareils vérifiables, d'architectures de confiance zéro et d'une assurance fondée sur des preuves tout au long de la chaîne d'approvisionnement.
Les services publics qui intégreront ces capacités de manière intrinsèque — et non comme des ajouts — réduiront leurs risques opérationnels et de conformité tout en façonnant les normes techniques et les architectures que le reste du secteur suivra, se positionnant ainsi pour diriger le prochain chapitre de la transition énergétique.
Écoutez d’autres balados de cette série pour en apprendre davantage sur la transition énergétique
