Article

Cybersécurité pour l’approvisionnement en électricité de la Suisse

Quel est l’état de la cybersécurité dans l’approvisionnement en électricité de la Suisse et quelle est la stratégie pour son avenir numérique? Deloitte en tant qu’auteur d’une étude pour le compte de l’Office fédéral de l’énergie (OFEN).

Le Bureau de l’innovation numérique de l’Office fédéral de l’énergie (OFEN) a chargé Deloitte de rédiger une étude de base qui, entre autres, montre l’état actuel de la cybersécurité et de la résilience dans le secteur électrique suisse.

L’étude propose également un concept holistique quant à la manière dont le secteur peut garantir un niveau approprié de cybersécurité à l’avenir face à la numérisation en évolution rapide et aux menaces en constante évolution.

Le rapport complet publié par le OFEN peut être consulté ici.

Nous avons brièvement résumé les résultats les plus importants du travail ci-dessous:
 

1. Progression de la numérisation et évolution des menaces

La numérisation progresse de plus en plus vite et de nouvelles technologies font constamment leur apparition dans les centrales électriques et les réseaux électriques de la Suisse.

Les cyberattaques contre les entreprises du secteur de l’électricité se multiplient et les cybermenaces visant l’approvisionnement en électricité de la Suisse sont actuellement en pleine mutation.

 
2. Paysage juridique très fragmenté de la cybersécurité et de la résilience dans le secteur de l’électricité

Les sujets de la cybersécurité et de la résilience ne sont actuellement ni uniformément ni globalement réglementés pour tous les acteurs concernés du secteur de l’électricité.

Bon nombre des lignes directrices existantes sont également facultatives. De plus, des spécifications obligatoires et des exigences minimales sont toujours en suspens dans le secteur.

 

3. Le niveau de maturité actuel de la cybersécurité au sein du secteur est actuellement inférieur aux attentes

L’évaluation de l’E-Survey 2020 réalisée dans le cadre de l’étude sur la maturité de sécurité informatique des acteurs du marché suisse de l’électricité montre clairement que les acteurs n’ont pas encore pris toutes les mesures nécessaires de manière indépendante et volontaire.

La majorité des entreprises n’ont donc pas respecté leur propre directive sectorielle et sont encore loin de l’objectif d’une valeur de maturité moyenne de «2,6» fixée spécifiquement pour tous les domaines de la norme minimale fédérale des TIC.

 
4. Les pays voisins de l’UE ont actuellement une longueur d’avance

La plupart des priorités du gouvernement fédéral énoncées dans la Stratégie nationale pour la protection de la Suisse contre les cyber-risques 2018-2022 (NCS) sont compatibles avec les mesures de la première directive européenne sur la sécurité des réseaux et des systèmes d’information (SRI).

L’avance des États de l’UE dans le domaine de la cybersécurité et de la résilience est néanmoins actuellement considérable. Bon nombre des mesures en cours de discussion en Suisse ont déjà été mises en œuvre ailleurs dans l’UE conformément à la directive SRI, et sont opérationnelles et établies depuis longtemps.

 
5. Dans le cadre de l’étude, un besoin clair d’action a été identifié et un concept pour aborder les points ouverts a été développé

Sur la base du besoin d’action identifié pour la Suisse, le concept holistique décrit dans l’étude se concentre principalement sur quatre domaines d’action: (1) Conditions-cadres, (2) contrôle, (3) reporting et (4) échange de connaissances.

Toutes les approches décrites dans l’étude doivent être systématiquement définies et mises en œuvre dans le secteur dans un proche avenir, afin que le secteur électrique suisse puisse garantir un niveau de cybersécurité approprié face à la numérisation en évolution rapide et aux menaces en constante évolution.

Conclusion: qu’est-ce que cela signifie pour les entreprises du secteur suisse de l’énergie?

Le gouvernement fédéral travaille actuellement d’arrache-pied à la mise en œuvre de la stratégie nationale de protection de la Suisse contre les cyber-risques 2018-2022 (NCS).
Les entreprises du secteur électrique suisse doivent s’attendre à de nouvelles exigences et à des changements de statu quo dans les domaines de la cybersécurité et de la résilience. Selon l’étude, les changements futurs les plus importants possibles seraient principalement les suivants:

  1. L’existence d’un environnement réglementaire simplifié pour la cybersécurité et la résilience dans le secteur électrique suisse avec des exigences minimales obligatoires, ainsi qu’un soutien accru de la part du gouvernement fédéral
  2. Un examen central régulier par le gouvernement fédéral pour déterminer si une entreprise se conforme à la législation
  3. L’obligation de nommer un cyber-officier au sein de chaque entreprise du secteur électrique suisse qui la représente auprès de l’organe de surveillance fédéral
  4. L’introduction d’une obligation de signaler les cyberincidents majeurs au gouvernement fédéral, ainsi qu’un accès plus facile aux informations pertinentes concernant la situation actuelle de la menace (Threat Intelligence) pour toutes les entreprises du secteur de l’électricité
Cela vous a-t-il été utile ?