Le Bureau de l'innovation numérique de l'Office fédéral de l'énergie (OFEN) a chargé Deloitte de réaliser une étude de base qui, entre autres, décrit l'état actuel de la cybersécurité et de la résilience dans le secteur suisse de l'électricité.
L'étude propose également un concept global sur la manière dont le secteur peut garantir un niveau approprié de cybersécurité à l'avenir, face à la numérisation qui progresse rapidement et aux menaces qui évoluent constamment.
Le rapport complet de l'OFEN est disponible à l'adresse suivante : here.
Nous avons brièvement résumé ci-dessous les principales conclusions de l'étude :
Le rythme de la numérisation s'accélère et les nouvelles technologies trouvent constamment leur place dans les centrales et les réseaux électriques suisses.
Les cyber-attaques contre les entreprises du secteur de l'électricité sont de plus en plus fréquentes et la menace cybernétique qui pèse sur l'approvisionnement en électricité de la Suisse est actuellement en pleine mutation.
À l'heure actuelle, les questions de cybersécurité et de résilience ne font pas l'objet d'une réglementation uniforme ou complète pour toutes les parties prenantes du secteur de l'électricité.
Bon nombre des lignes directrices existantes sont également de nature volontaire. En outre, les spécifications obligatoires et les exigences minimales sont toujours en suspens dans le secteur.
L'évaluation de l'enquête électronique pour 2020 réalisée dans le cadre de l'étude sur la sécurité informatique des acteurs du marché suisse de l'électricité montre clairement que ces derniers n'ont pas encore pris toutes les mesures nécessaires de manière indépendante et volontaire.
Par conséquent, la majorité des entreprises ne se conforment pas encore à leurs propres lignes directrices et sont encore loin de l'objectif d'une maturité moyenne de "2,6", fixé spécifiquement pour tous les domaines en tant que norme minimale fédérale en matière de TIC.
La plupart des priorités du gouvernement fédéral énoncées dans la Stratégie nationale pour protéger la Suisse des cyberrisques 2018-2022 (SOC) sont compatibles avec les mesures de la première directive de l'UE sur la sécurité des réseaux et des systèmes d'information (NIS).
Toutefois, les États membres de l'UE semblent actuellement avoir une avance considérable en termes de cybersécurité et de résilience. De nombreuses mesures actuellement discutées pour la Suisse ont déjà été mises en pratique et sont bien établies dans les pays de l'UE en raison de la directive NIS.
Sur la base des besoins d'action identifiés pour la Suisse, le concept holistique décrit dans l'étude se concentre principalement sur quatre domaines d'action : (1) les conditions-cadres, (2) l'examen, (3) les rapports et (4) le partage des connaissances.
Toutes les approches décrites dans l'étude doivent être systématiquement définies et mises en œuvre dans le secteur dans un avenir proche, afin que le secteur suisse de l'électricité puisse garantir un niveau approprié de cybersécurité face à la numérisation rapide et à l'évolution constante des menaces.
Le gouvernement fédéral travaille actuellement à plein régime sur la mise en œuvre de la stratégie nationale de protection de la Suisse contre les cyberrisques 2018-2022 (SOC).
Les entreprises du secteur suisse de l'électricité doivent donc s'attendre à de nouvelles exigences et à des changements dans le statu quo dans les domaines de la cybersécurité et de la résilience. Selon l'étude, les changements futurs les plus importants seraient les suivants :