Dans un communiqué publié le 30 octobre 2019, A. K. Nema, directeur associé de NPCIL (Nuclear Power Corporation of India Limited) a reconnu qu'un logiciel malveillant avait été trouvé sur le réseau administratif de la centrale nucléaire de Kudankulam (KKNPP, une filiale de la NPCIL). Le malware a été identifié par plusieurs chercheurs en sécurité comme étant une version de Dtrack, un cheval de Troie développé par le groupe Lazarus, un groupe de piratage informatique d'élite de la Corée du Nord. Trois jours plus tôt, un chercheur indien en cybersécurité avait publié des informations relatives à cette brèche. Les autorités indiennes avaient d'abord nié avoir subi une attaque avant d’avouer que l’intrusion avait été découverte début septembre et que des efforts étaient en cours pour y remédier.Selon le Washington Post, Kudankulam est la plus grande centrale nucléaire d’Inde, « équipée de deux réacteurs à eau sous pression VVER conçus et fournis par la Russie, d’une capacité de 1 000 mégawatts chacun. Les deux réacteurs alimentent le réseau électrique sud de l’Inde. La centrale ajoute quatre réacteurs de même capacité, faisant de la centrale nucléaire de Kudankulam l’une des collaborations les plus importantes entre l’Inde et la Russie ».
Alors que les opérations des réacteurs à Kudankulam n’auraient apparemment pas été affectées, cet incident devrait servir de sonnette supplémentaire pour rappeler que le secteur de l’énergie nucléaire doit prendre plus au sérieux la cybersécurité. Des informations inquiétantes semblent indiquer que ce n’est actuellement pas le cas : un rapport publié en 2015 par le groupe de réflexion britannique Chatham House a révélé des lacunes profondes dans l’approche de la cybersécurité du secteur nucléaire, de la réglementation à la formation en passant par le comportement des utilisateurs. En général, les exploitants de centrales nucléaires n'ont pas réussi à élargir leurs cultures de sûreté et de sécurité à la sensibilisation aux cybermenaces. Par culture de sûreté et de sécurité, ceux qui se trouvent sur le terrain, tels que le Groupe de travail sur les matières fissiles, font référence à une approche globale de la sécurité nucléaire, qui prend en compte le facteur humain et englobe des programmes sur la fiabilité et la formation du personnel, l'interception du trafic illicite, la sécurité des douanes et des frontières, le contrôle des exportations et sécurité informatique, pour ne citer que quelques éléments.
Ce laxisme pourrait être compréhensible si l’incident indien était le premier du genre. Plus de 20 cyber incidents survenus dans des installations nucléaires ont été recensés depuis 1990. Ce nombre inclut des éléments relativement mineurs, tels que des accidents dus à des bogues logiciels, des mises à jour insuffisamment testées et des intrusions délibérées, mais cela démontre que le secteur nucléaire n'est pas à l'abri des cyber menaces liées. En outre, au fur et à mesure que la numérisation des systèmes d'instrumentation et de contrôle des réacteurs nucléaires augmente, les risques de cyber incidents malveillants ou accidentels augmentent également.
Une situation qui devrait également réfuter le vieux mythe, malheureusement répété dans les remarques des responsables de Kudankulam, selon lequel ce que l’on appelle le air gap sécurise efficacement les réseaux opérationnels des usines. Cette mesure consiste à séparer les réseaux d'entreprise connectés à Internet de l'usine des réseaux opérationnels qui contrôlent les processus de l'usine. Cela a pour but d'empêcher les logiciels malveillants provenant de réseaux d'entreprise infectés plus facilement d'affecter les systèmes de contrôle industriels. L’intrusion à Kudankulam semble jusqu’à présent limitée aux réseaux d’affaires de l’usine, mais les air gap n'ont pas réussi à la centrale nucléaire de Davis-Besse dans l’Ohio en 2003 et ont même contourné pour accéder à des dossiers classés dans les systèmes militaires américains en 2008. Le même rapport de Chatham House a révélé de nombreuses preuves du comportement des employés qui contourneraient les air gap en faisant des choses telles que charger des téléphones personnels via les connecteurs USB de la salle de commande du réacteur ou installer des outils d'accès à distance pour les sous-traitants.
Les conséquences d’une intrusion cybernétique dans une centrale nucléaire peuvent aller de la perte d’informations confidentielles concernant les employés ou les activités commerciales, en passant éventuellement par l’arrêt du réacteur ou des dommages matériels. L’industrie doit comprendre que les cyberattaques peuvent être l’événement principal, et non simplement un moyen de permettre des menaces imaginaires plus traditionnelles, telles que des intrusions physiques. Et quelles que soient les conséquences d’un incident donné, les déclarations publiques telles que celles des autorités indiennes, qui refusaient d’admettre la possibilité d’une cyberattaque, vont saper la confiance du public, alors que cette confiance constitue une ressource existentielle pour de nombreux programmes nucléaires.
Malgré les spéculations quant à une éventuelle responsabilité nord-coréenne ou à une escalade avec le Pakistan, révéler les coupables et les motivations associées à l'attaque de Kudankulam est moins important pour le secteur de l'énergie nucléaire que de réparer les défaillances systémiques qui l'avaient permis. La bonne nouvelle est que les solutions ne manquent pas: la Nuclear Regulatory Commission (Commission de réglementation nucléaire) a publié des directives à l'intention des exploitants américains pour améliorer le développement des effectifs et l'évaluation des performances de la cybersécurité dans les centrales nucléaires. Et la National Nuclear Security Administration inclut la cybersécurité dans ses évaluations de la sécurité dans des installations américaines et internationales, ainsi que des échanges techniques et des programmes de formation. Il a également mis au point un cours sur la cybersécurité destiné aux exploitants de centrales nucléaires, en partenariat avec l’Agence internationale de l’énergie atomique (AIEA), qui a publié ses propres guides techniques sur la sécurité informatique.
Il convient toutefois de noter que l’ampleur et la complexité du problème ne feront probablement que croître à mesure que d’autres États rejoindront le club de l’énergie nucléaire. Et même avec des années d'expérience, aucun pays n'est à l'abri de la cyberattaque : l'incident indien s'est produit dans un pays dont le programme d'énergie nucléaire remonte aux années 50 et de précédentes cyberattaques ont frappé des installations nucléaires dans des pays dotés de programmes de ce type déjà établis depuis longtemps, y compris le Japon, la France et les États-Unis. Le fait qu’ils soient toujours victimes d’infractions augure mal pour de futurs nouveaux arrivants comme la Jordanie, dont l’équipe nationale d’intervention en cas d’urgence informatique n’a que deux ans. On peut s’attendre à ce que les nouveaux venus dans le secteur nucléaire avec une expertise moindre en matière de cybersécurité auront besoin de plus d’aide de leurs partenaires internationaux et devront faire face à une ascension encore plus raide vers le maintien de cette main-d’œuvre.
Si la récente cyberattaque a un côté positif, c’est que l’Inde a maintenant la possibilité de devenir un chef de file en matière de cybersécurité nucléaire. L'Inde a mis en place le partenariat du Centre mondial de l'énergie nucléaire en tant qu'instance de coopération bilatérale et multilatérale en matière de sécurité nucléaire, qui pourrait être élargie à la cybersécurité.
Le problème de la cybersécurité n'est pas nouveau dans le secteur de l'énergie nucléaire et il ne nécessite pas de solutions radicalement différentes de celles déjà existantes dans des domaines tels que la finance et l'aviation commerciale. L’histoire de la culture de sûreté et de sécurité de l’industrie nucléaire et le corpus de recherches sur les recommandations sectorielles en matière de cybersécurité peuvent, ensemble, ouvrir la voie à une industrie de l’énergie nucléaire qui se défend mieux contre les cybermenaces. Les moyens de favoriser la coopération et de partager les meilleures pratiques ont été définis, de même que la nécessité de développer la main-d'œuvre.
Sources : Washington Post, NPCNIL, Indian Times, rapport de Chatam House, rapport Berkeley, Foreign Affairs, conséquences des cybermenaces
Envoyé par matthius
.
