CYBERS‰CURIT‰ DES INFRASTRUCTURES .CYBERS‰CURIT‰ DES INFRASTRUCTURES...

download CYBERS‰CURIT‰ DES INFRASTRUCTURES .CYBERS‰CURIT‰ DES INFRASTRUCTURES ‰NERG‰TIQUES Regards crois©s

If you can't read please download the document

  • date post

    11-Sep-2018
  • Category

    Documents

  • view

    222
  • download

    0

Embed Size (px)

Transcript of CYBERS‰CURIT‰ DES INFRASTRUCTURES .CYBERS‰CURIT‰ DES INFRASTRUCTURES...

  • CYBERSCURIT DES INFRASTRUCTURES NERGTIQUES Regards croiss Europe/tats-Unis

    tudes de lIfri

    Fvrier 2018

    Arnault BARICHELLA

    Centre nergie

  • LIfri est, en France, le principal centre indpendant de recherche,

    dinformation et de dbat sur les grandes questions internationales. Cr en

    1979 par Thierry de Montbrial, lIfri est une association reconnue dutilit

    publique (loi de 1901). Il nest soumis aucune tutelle administrative, dfinit

    librement ses activits et publie rgulirement ses travaux.

    LIfri associe, au travers de ses tudes et de ses dbats, dans une dmarche

    interdisciplinaire, dcideurs politiques et experts lchelle internationale.

    Les opinions exprimes dans ce texte nengagent que la responsabilit de lauteur.

    Cette tude est publie dans le cadre du projet ENERGEO financ par le Conseil

    suprieur de la formation et de la recherche stratgiques (CSFRS).

    ISBN : 978-2-36567-796-7

    Tous droits rservs, Ifri, 2018

    Comment citer cette publication :

    Arnault Barichella, Cyberscurit des infrastructures nergtiques. Regards

    croiss Europe/tats Unis , tudes de lIfri, Ifri, fvrier 2018.

    Ifri

    27 rue de la Procession 75740 Paris Cedex 15 FRANCE

    Tl. : +33 (0)1 40 61 60 00 Fax : +33 (0)1 40 61 60 60

    E-mail : accueil@ifri.org

    Site internet : Ifri.org

    mailto:accueil@ifri.orghttps://www.ifri.org/

  • Auteur

    Arnault Barichella est doctorant lInstitut dtudes politiques de Paris

    dans le programme doctoral en science politique. Ses recherches portent sur

    lanalyse comparative des politiques climatiques et nergtiques en Europe

    et aux tats-Unis.

    Auparavant, il a travaill lOrganisation des Nations unies pour

    lducation, la science et la culture (UNESCO) et ensuite au Programme des

    Nations unies pour lenvironnement (PNUE) sur le dveloppement de

    projets concernant lefficacit nergtique et la production et consommation

    durables, dans le cadre de la prparation de la COP21. Il a galement

    travaill au Snat pour la rdaction du Livre Vert de la Dfense portant sur

    limpact des enjeux nergtiques et environnementaux sur la scurit

    nationale.

    Arnault Barichella est titulaire du master Affaires europennes de

    lInstitut dtudes politiques de Paris et dune licence en histoire de

    luniversit dOxford.

  • Avant-propos

    Cette tude a t ralise en prenant appui sur une revue de la littrature,

    ainsi que sur une quinzaine dentretiens avec des experts et des

    professionnels dans les domaines de la cyberscurit et de lnergie en

    Europe et aux tats-Unis.

    Lauteur souhaite remercier toutes les personnes interroges pour leur

    soutien et les informations apportes sur ce sujet sensible. Les entretiens se

    sont drouls aux tats-Unis et en Europe avec des personnes issues dun

    large ventail aussi reprsentatif que possible des diffrents acteurs

    concerns, la fois dans le secteur public et priv.

    Les personnes interroges ayant souhait garder leur anonymat, les

    informations issues de ces entretiens et ayant servi la rdaction de cette

    tude nont pas t attribues.

  • Rsum

    Lacclration de la numrisation des infrastructures nergtiques apporte

    de nombreux bnfices conomiques, notamment en termes de

    rationalisation de la consommation dnergie avec des gains defficacit.

    Nanmoins, cela a aussi pour consquence daugmenter les risques de

    cyberattaques, o des logiciels malveillants tirent avantage de la

    digitalisation croissante des quipements. Les rcentes cyberattaques qui

    ont vis les infrastructures critiques ukrainiennes soulignent que la menace

    est relle et grandissante. La vulnrabilit nest pas cantonne aux

    infrastructures situes dans lUnion europenne (UE) ou aux tats-Unis :

    certaines attaques dont a t victime lUkraine se sont propages de

    nombreuses entreprises occidentales notamment travers leurs filiales,

    soulignant le danger de contagion par le biais de logiciels malveillants.

    Au cours des dernires annes, lUE et les tats-Unis ont

    progressivement adopt une srie de mesures et de rglementations pour

    protger les infrastructures nergtiques face au risque cyber. Cependant,

    les approches amricaines et europennes prsentent de nombreuses

    diffrences. En effet, les tats-Unis ont privilgi une stratgie scuritaire

    de fond ( security in depth ) avec des rglementations strictes et dtailles

    dans des secteurs prcis, appliques par des institutions aux pouvoirs

    coercitifs. En revanche, lUE a adopt une stratgie plus souple et gnrale,

    couvrant un large ventail de domaines et laissant une marge de manuvre

    importante aux tats membres dans la mise en application des normes.

    Toutefois, ces approches sont aussi potentiellement complmentaires, dans

    la mesure o les forces du systme amricain peuvent servir de modle pour

    amliorer certaines faiblesses dans lapproche europenne, et

    rciproquement, puisque les tats-Unis pourraient aussi tirer un certain

    nombre denseignements de lUE.

    En effet, le modle amricain est en avance sur lUE au niveau du

    dveloppement de normes prcises et dtailles pour la cyberscurit, ainsi

    que dans la mise en application de ces normes. Seule une poigne dtats

    europens, dont la France, ont un niveau de normes quivalent et lUE

    souffre de manquements et de faiblesses tant lchelle communautaire que

    nationale. Nanmoins, les tats-Unis peuvent apprendre de lUE concernant

    la protection de la vie prive et des donnes caractre personnel, la

    cyberscurit applique aux technologies bas-carbone, ainsi que la

    protection des rseaux de distribution lectrique. De plus, la Californie et la

  • Cyberscurit des infrastructures nergtiques Arnault Barichella

    8

    France prsentent un certain nombre de spcificits pertinentes en la

    matire.

    Cest pourquoi il est essentiel de renforcer la coopration

    transatlantique afin de permettre lUE et aux tats-Unis dapprendre

    chacun du modle de lautre. Cela pourrait avoir lieu travers diffrentes

    plateformes, ce qui inclurait un renforcement de la collaboration bilatrale

    entre les gouvernements, ainsi quune meilleure coopration au sein de

    structures multilatrales telles que lOrganisation du trait de lAtlantique

    nord (OTAN) et le G7, et finalement au niveau des partenariats public-priv.

    Lobjectif serait de dvelopper lharmonisation des normes entre lUE et les

    tats-Unis afin de pouvoir progressivement mettre en place des standards

    transatlantiques communs en matire de cyberscurit. Il est important de

    noter que le prsident Trump a manifest un vif intrt pour les questions

    lies la cyberscurit en renforant la politique de son prdcesseur en la

    matire. Par consquent, malgr les divergences actuelles entre lUE et les

    tats-Unis sur de nombreux sujets, la cyberscurit reprsente un domaine

    o il existe une relle opportunit pour approfondir la coopration

    transatlantique dans les annes venir.

    Ainsi, les standards transatlantiques communs pourraient ensuite

    devenir des normes internationales de cyberscurit rigoureuses,

    permettant de rduire les risques de propagation. Il y a aussi une dimension

    conomique essentielle, o tout retard de lUE en matire de cyberscurit

    risque de diminuer la comptitivit des entreprises europennes spcialises

    par rapport aux entreprises amricaines, avec des pertes potentiellement

    significatives dans un march qui a vocation reprsenter des centaines de

    millions deuros dinvestissements et des milliers demplois par an pour le

    seul secteur de lnergie dans lUE.

  • Sommaire

    INTRODUCTION ................................................................................. 11

    REGARDS CROISS : CE QUE LUNION EUROPENNE

    PEUT APPRENDRE DES TATS-UNIS ................................................. 15

    Le dveloppement de normes strictes, dtailles et exhaustives

    concernant la cyberscurit ................................................................. 15

    Un systme efficace pour la mise en application des normes

    de cyberscurit .................................................................................... 21

    Les dfis institutionnels du systme europen de cyberscurit ...... 22

    Le modle californien de cyberscurit ............................................... 26

    Ce que la France peut apprendre du modle amricain ..................... 28

    REGARDS CROISS : CE QUE LES TATS-UNIS PEUVENT

    APPRENDRE DE LEUROPE ................................................................. 31

    La protection du rseau de distribution lectrique ............................. 31

    La cyberscurit des nergies renouvelables et des technologies

    bas-carbone ........................................................................................... 32

    La protection de la vie prive et des donnes caractre personnel .. 33

    Ce que les tats-Unis peuvent apprendre du modle franais .......... 36

    RENFORCER LA COOPRATION TRANSATLANTIQUE

    POUR DVELOPPER DES STANDARDS COMMUNS ............................ 39

    La coopration transatlantique bilatrale ........................................... 40

    La collaboration transatlantique dans un cadre multilatral ............. 41

    Des partenariats transatlantiques entre les entreprises

    et les groupes industriels ...................................................................... 43