Le secteur des énergies renouvelables est en plein boom. En France, 19 % des besoins énergétiques sont couverts par cette filière.
Portés par des entreprises historiques ou par de nouveaux acteurs innovants, les projets éoliens, hydrauliques et solaires se développent à vitesse grand V.
Dans le même temps, les infrastructures énergétiques ont entamé leur digitalisation, avec une double conséquence : des gains significatifs en matière de temps et de productivité (grâce aux outils comme la signature électronique), mais aussi une vulnérabilité accrue au vol, à la perte et à l’altération de leurs données sensibles (cyberattaques, fuite lors du partage de documents, etc.).
D’où la nécessité, pour ce secteur stratégique, de mettre en place sans attendre une vraie politique de protection des données et de sécurisation des processus.
Quelle place pour les énergies renouvelables en France ?
En 2021, avec 339 TWh, les énergies renouvelables représentent 19,3 % de la consommation finale brute d’énergie, soit une hausse de 89 % depuis 2005.
Plus de 85 % de cette hausse découle du développement de l’éolien, des biocarburants, des pompes à chaleur et de la biomasse solide.
La part de ces énergies compte pour 24,4 % dans la consommation d’électricité, 24,4 % dans la production de chaleur et de froid, et 7,9 % dans les transports. (Source : « Chiffres clés des énergies renouvelables », ministère de la Transition énergétique, édition 2022.)
Au global, en France métropolitaine, la consommation d’énergie primaire issue de sources renouvelables a doublé en 30 ans, entre 1990 et 2021.
La filière bois-énergie reste la plus importante, puisqu’elle représente 35,1 % de la consommation finale brute d’énergie provenant du renouvelable.
Viennent, ensuite : l’hydraulique (16,3 %), les pompes à chaleur (11,9 %), l’éolien (10,3 %), les biocarburants (10 %), le biogaz (4,4 %), le solaire photovoltaïque (4,2 %) et les déchets renouvelables (4 %), le reste représentant 3,8 % (géothermie, solaire thermique, énergies marines, etc.).
La France se place ainsi en bonne position pour atteindre les objectifs fixés par la loi sur la transition énergétique de 2015 et par la loi relative à l’énergie et au climat de 2019.
Ces textes fixent un objectif de 33 % d’énergie produite à partir de sources renouvelables dans la consommation finale brute d’énergie d’ici à l’année 2030.
À cette date, la part des énergies renouvelables devra représenter au minimum 40 % de la production d’électricité, 38 % de la consommation finale de chaleur, 15 % de la consommation finale de carburant, et 10 % de la consommation de gaz.
Des objectifs nationaux qui s’inscrivent dans un but autrement plus lointain, mais aussi plus important : la neutralité carbone en 2050 pour la France, et 32 % de la part de l’énergie produite par des sources renouvelables au niveau européen.
Les efforts réalisés pour atteindre ces objectifs se reflètent dans les investissements. En 2019, plus de 10 milliards d’euros ont été injectés dans le secteur des énergies renouvelables – qui représente 80 000 emplois – contre 8,6 milliards l’année précédente.
En 2020, l’État a financé la recherche et le développement dans ce domaine à hauteur de 189 millions d’euros, avec un focus sur le solaire (41 % du montant total) et sur la biomasse (34 %), notamment les biocarburants.
Cela représente 12 % de la dépense publique totale dédiée à la recherche et au développement en matière d’énergie. Au niveau mondial, les investissements dans les énergies renouvelables sont en passe de dépasser les investissements dans les énergies fossiles, selon le bilan annuel de Bloomberg BEF.
Ce développement rapide croise les enjeux de la digitalisation qui touche le secteur de l’énergie depuis quelques années, et son pendant sécuritaire : les risques relatifs à la gestion des données sensibles, dans le cadre de la transmission d’informations, du partage de documents ou de la protection des données personnelles des utilisateurs.
L’énergie, un secteur particulièrement concerné par la protection des données sensibles
En effet, le secteur de l’énergie se découvre, ces dernières années, particulièrement vulnérable aux cyberattaques et aux problématiques de perte des données sensibles. Il est une cible de choix des cyber-pirates aux États-Unis, en Australie, au Japon et en Europe.
Les exemples ne manquent pas : la centrale nucléaire de Natanz, en Iran, mise à l’arrêt par le logiciel malveillant Stuxnet en 2010; deux centrales électriques ukrainiennes prises pour cibles par deux virus (Black Energy et Industroyer) en 2015 et 2016, avec pour conséquence une gigantesque coupure de courant qui a plongé 230 000 personnes dans le noir; le réseau d’énergie américain violé à plusieurs reprises en 2018 par un groupe baptisé Dragonfly…
En 2022, plusieurs opérateurs de ports pétroliers européens (à Rotterdam, Anvers et Hambourg) ont été victimes de cyberattaques qui ont ralenti l’approvisionnement en carburants.
Dans cette chronologie, 2022 est une année clé. Car l’appréhension au regard des risques cyber a encore augmenté depuis l’invasion de l’Ukraine par la Russie. La guerre a, en effet, un impact significatif sur le secteur de l’énergie, à trois niveaux :
- Au regard des problématiques de consommation énergétique dans une Europe qui cherche à s’affranchir du gaz russe.
- En raison des menaces qui planent sur les infrastructures énergétiques ukrainiennes, avec la centrale nucléaire de Zaporijia au cœur des inquiétudes de la communauté internationale (la situation y reste « instable et imprévisible », cf. Le Monde).
- Et parce que ces infrastructures constituent des cibles particulièrement prisées des pirates informatiques : des attaques cyber contre les installations énergétiques sont susceptibles de servir de levier de chantage, de préparer une opération militaire (comme c’est le cas en Ukraine depuis des années) ou de « compléter » une attaque sur le terrain. À titre d’exemple, une heure seulement avant le début de l’invasion russe, l’Allemagne a subi une attaque informatique sur le réseau KA-SAT qui a compromis la maintenance à distance des éoliennes…Une attaque bientôt attribuée par l’UE à la Russie (source).
Le cloud privé SecNumCloud
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Cette sensibilité du secteur énergétique aux cyberattaques et aux pertes de données s’explique, historiquement parlant, par des infrastructures bâties à une époque où ces risques n’avaient pas lieu d’être, et qui sont passées en peu de temps du statut de système isolé à celui de réseau ouvert et interconnecté.
Mais c’est aussi l’évolution rapide des systèmes qui crée de nouvelles failles. Un rapport du Royal United Services Institute montre ainsi du doigt la multiplication (induite par la transition énergétique) des dispositifs connectés dans les entreprises et dans les foyers.
Or ce sont autant de portes d’entrée potentielles pour les pirates informatiques : compteurs intelligents, chargeurs de véhicules électriques connectés, dispositifs de pilotage énergétique IoT, etc.
Quels risques pour les données sensibles dans le secteur des énergies renouvelables ?
Le secteur des énergies renouvelables n’est pas épargné par ces risques. En 2017, un chercheur néerlandais a souhaité attirer l’attention sur les vulnérabilités des installations photovoltaïques en simulant une attaque (« Horus ») via un scénario de prise de contrôle des équipements.
Des vulnérabilités qui reposent sur le fonctionnement même des parcs éoliens ou solaires, couvrant des superficies importantes, et contraintes de reposer sur des logiciels de pilotage à distance – difficiles à protéger parce que la « couche » servant à ce pilotage ne prend pas en compte les enjeux de cybersécurité dès l’origine (le principe du « security by design »).
Le risque cyber se matérialise de diverses façons. On distingue deux axes majeurs de réflexion autour de la sécurisation des données dans le secteur des énergies renouvelables :
- L’axe entreprise-clients, mis en lumière par le déploiement de la gestion intelligente des données liées à l’énergie (typiquement via l’emploi de compteurs connectés), qui tombe sous le coup de la protection des données personnelles (RGPD).
- L’axe entreprise-collaborateurs, qui a trait aux garde-fous élevés en interne par les acteurs des énergies renouvelables pour se prémunir contre les cyberattaques, les actes de malveillance, les pertes et les altérations de données sensibles. La protection de ces dernières passe essentiellement par l’adoption de protocoles de sécurité stricts et d’outils adaptés à la sensibilité du secteur, qu’il s’agisse du partage des documents, du travail collaboratif ou des leviers d’accélération des processus comme la signature électronique.
Le statut des entreprises de l’énergie (et donc de celles qui évoluent dans la filière des énergies renouvelables) est particulier en France.
À la suite d’un Livre blanc publié en 2008 qui identifiait les principales menaces pesant sur la défense et la sécurité (« blocage malveillant, destruction matérielle, neutralisation informatique, vol ou altération de données, voire prise de contrôle d’un dispositif à des fins hostiles »), la loi de programmation militaire de 2013 a imposé aux « opérateurs d’importance vitale » (OIV) des mesures de renforcement de la sécurité de leur système d’information (SIIV), à travers des règles définies en collaboration avec l’ANSSI.
Sont considérés comme OIV les opérateurs publics ou privés qui exploitent des équipements et des installations indispensables au fonctionnement et à la pérennité de la nation.
La liste des entreprises et institutions concernées n’est pas accessible (pour des raisons que l’on comprendra aisément), mais les acteurs de l’énergie sont concernés au premier chef.
En ce sens, ils ont des obligations relatives à la sécurisation de leurs données sensibles.
Comment se prémunir contre les risques cyber ?
Heureusement, le tableau n’est pas tout noir. Les vulnérabilités historiques des opérateurs de l’énergie tendent à disparaître, notamment parce que les acteurs nouvellement arrivés sur le secteur des énergies renouvelables adoptent un fonctionnement plus agile et, de plus en plus, intègrent les enjeux de la cybersécurité dès la conception de leur système d’information.
Passez à la vitesse SecNumCloud
Découvrez le niveau d’exigence du référentiel SecNumCloud pour protéger et sécuriser vos données sensibles.
Ces acteurs mettent également en place des protocoles visant à sensibiliser les collaborateurs à ces enjeux, afin qu’ils adoptent les bonnes pratiques de sécurité.
Cesser d’introduire des supports de stockage extérieurs à l’entreprise dans le SI, définir des mots de passe plus complexes, intégrer le principe de l’authentification renforcée, mais aussi utiliser les outils adaptés au cloisonnement des données sensible, par exemple :
- Un outil de signature électronique avec un niveau de garantie élevé, respectant les réglementations françaises et européennes (eIDAS),
- Une plateforme collaborative de partage de documents avec accès contrôlés,
- Un logiciel de sauvegarde automatique des fichiers et des informations système,
- Une solution de digitalisation sécurisée pour les réunions de gouvernance,
- Etc.
Un autre versant du problème a trait à l’identification des risques. Il s’agit, pour les organisations, de cartographier leurs processus à risque, de les classer en fonction de leur criticité, et de révéler leurs éventuelles vulnérabilités. Un travail de défrichage mené conjointement par les DSI et les directions générales.
Quant à la protection des données personnelles des utilisateurs, les protocoles sont bien installés depuis l’entrée en vigueur du Règlement européen sur la protection des données (RGPD) en mai 2018.
Néanmoins, ces enjeux méritent d’être régulièrement rappelés aux collaborateurs, considérant l’importance de ces données dans le secteur des énergies renouvelables.
Mais nul doute que le fonctionnement agile de ces opérateurs (et l’adoption conjointe d’outils sécuritaires adaptés) fera rapidement des merveilles.