• Auteur/autrice de la publication :
  • Temps de lecture :4 min de lecture
  • Post category:Cybersécurité
You are currently viewing Les cyberattaques contre l’alimentation en énergie : l’arsenal réglementaire européen

L’alimentation en énergie est un secteur-clé, les conséquences d’une cyberattaque contre les systèmes d’information des opérateurs de ce secteur peuvent être désastreuses. Le 7 mai 2021, l’oléoduc États-unien « Colonial Pipeline » était paralysé par un ransomware ce qui a affecté la distribution d’énergie dans l’est des États-Unis. Pour lutter contre de telles situations, l’Union européenne s’est dotée d’un arsenal juridique afin de protéger son alimentation en énergie, mais la transposition en France de cet arsenal laisse à désirer.

Les cyberattaques contre les réseaux d’alimentation en énergie ne sont pas sans conséquences, aussi bien pour les États qui les subissent que pour leur population. En effet, à la suite de l’attaque de « Colonial Pipeline », le prix du pétrole a drastiquement augmenté sur la côte est des États-Unis ce qui a impacté directement la mobilité de la population.

L’UE s’est donc dotée d’un arsenal juridique afin de réglementer la protection du système d’information des opérateurs du secteur de l’énergie. Cet arsenal se matérialise par l’adoption de la Directive NIS (Network and information system) qui a été transposée en droit français par la loi 2018-133 du 26 février 2018 et le décret 2018-134 du 23 mai 2018.

Cet arsenal réglementaire crée des obligations aux opérateurs de différents secteurs-clés dont celui de l’énergie. Ces opérateurs sont appelés Opérateurs de Services Essentiels (OSE). Les OSE sont nommés par le Premier ministre et doivent répondent à certains critères énumérés à l’article 5 point 2 de la directive NIS.

Afin d’assurer un niveau de sécurité élevé et une résilience de leurs systèmes d’information, les OSE sont soumis à un certain nombre de règles aussi bien techniques qu’organisationnelles. Parmi ces règles, on trouve l’obligation de désigner un représentant auprès de l’Agence Nationale de Sécurité des Système d’Information (ANSSI), d’identifier et déclarer les Systèmes d’Information Essentielle (SIE) ainsi que l’élaboration et l’application d’un certain nombre de règles de sécurité dans différents domaines énumérés dans le décret d’application. Ces règles ont fait l’objet de précisions dans un arrêté du 14 septembre 2018 2018-384. En outre, les OSE ont l’obligation de déclarer les incidents qui touchent les réseaux et systèmes d’informations nécessaires à la fourniture de services essentiels si ces incidents ont un impact sur la continuité du service.

Afin de faire respecter ces différentes règles, la loi du 26 février 2018 dispose d’un volet pénal en son article 9 qui crée trois délits dont les peines s’étendent de 75 000 euros à 125 000 euros. Ces sommes, mêmes élevées au quintuple pour les personnes morales peuvent sembler minimes car elles concernent des opérateurs qui peuvent disposer d’importants moyens. De plus, ces infractions constituant des délits, il n’est pas possible de cumuler plusieurs peines de même nature. Ainsi, si plusieurs infractions ont été commises, il n’est pas possible d’additionner les sanctions. Ces infractions apparaissent donc dénuées de toute fonction dissuasive.

Le 16 décembre 2020, la Commission européenne a proposé son projet de révision de la directive NIS. Le législateur français a donc aujourd’hui l’occasion de rectifier le tir au moment de la transposition de cette future directive NIS 2 en adoptant des sanctions pénales dissuasives comme cela est exigé aussi bien par l’article 21 de la directive NIS que l’article 33 de la future directive NIS 2.

Hugo Berviller

Sources :

A propos de COMED 2021/2022