La cybersécurité d'EDF épinglée au Royaume-Uni
Publié par Clément Bohic le | Mis à jour le
Le régulateur britannique de l'industrie nucléaire a passé EDF au niveau maximal de surveillance sur le volet cybersécurité.
EDF, au niveau en matière de cybersécurité ? Au Royaume-Uni, le régulateur de l'industrie nucléaire estime que non.
Le groupe français fait l'objet d'une surveillance accrue depuis l'an dernier. La conséquence d'inspections ayant mis au jour des manquements en matière de gouvernance, de conformité et de gestion des risques. En toile de fond, une modernisation de SI et une restructuration des équipes cyber.
Il s'agissait initialement d'une surveillance de niveau 2 (« enhanced »). Depuis lors, on est monté d'un cran, pour atteindre le niveau maximal (3, « significantly enhanced »). Le régulateur en fait part dans son rapport annuel. Il regrette qu'EDF n'ait pas respecté son engagement à fournir, pour fin mars 2023, un plan d'action « exhaustif et documenté ». Des recrutements spécifiques ont toutefois été effectués.
EDF, pas seul dans le radar
EDF en est au même niveau de vigilance que Sellafield, qui gère, sous le contrôle de l'Autorité britannique de démantèlement nucléaire, le site du même nom. À la différence que ce dernier a des « pistes d'action claires pour revenir au niveau routine »...
EDF est un poids lourd du nucléaire civil outre-Manche. Il dispose d'installations à Hartlepool (comté de Durham), Heysham (Lancashire), Sizewell (Suffolk) et Torness (East Lothian). Il est également associé - majoritaire - avec China General Nuclear Power Group dans le Somerset.
L'an dernier, Londres a mis à jour sa stratégie nationale de cybersécurité pour le nucléaire civil. La phase précédente (2017-2021) a notamment permis de piloter le framework CyAS de l'ANSSI britannique, destiné à évaluer le niveau de protection des environnements OT. Elle a aussi permis la mise en place d'exercices sectoriels. Et mis en lumière le manque de compétences spécialisées dans la cybersécurité du nucléaire.
En France, la cybersécurité n'est pas de la compétence de l'Autorité de sûreté nucléaire. Celle-ci note toutefois, dans son dernier rapport annuel, un « nombre croissant de cyberattaques ». Dont, en 2022, deux sur des centres de radiothérapie et un sur un centre de médecine nucléaire.
À consulter en complément :
Cybersécurité du nucléaire : où en est-on ?
Comment EDF mise sur les jumeaux numériques pour construire ses futurs EPR
Crise énergétique et souveraineté numérique : une antinomie ?
Comment le XDR se déploie sur les SI
Illustration principale © Strikernia - Adobe Stock