Smart énergie : la cybersécurité en première ligne

La smart énergie n’en est qu’à ses prémices, mais sur un marché aussi prometteur et concurrentiel, les places se prennent dès maintenant.

Pour se positionner favorablement, rares sont cependant les acteurs qui mettent en avant leur approche des questions de sécurité. Pourtant, la cybersécurité est un enjeu crucial de la smart énergie, dont la maîtrise peut constituer un vrai différenciateur, créateur de valeur et d’opportunités.

Risques et impacts : quand la cybersécurité est mise à mal

Au-delà des inquiétudes de principe que peuvent susciter les dispositifs numériques dans le grand public, la smart énergie est un domaine réellement exposé à des risques importants. Infrastructure essentielle de la vie quotidienne, le réseau énergétique est potentiellement la cible de toutes sortes de menaces : terrorisme, crime organisé, intelligence économique… Les dégâts occasionnés peuvent avoir des conséquences graves et directes sur l’intégrité des biens et des personnes. Les données personnelles présentes dans les systèmes peuvent susciter la convoitise à grande échelle (revente de fichiers) ou au niveau individuel (indices de présence pour les cambrioleurs). Pour les acteurs, un incident de sécurité peut avoir des impacts juridiques, économiques et d’image particulièrement lourds.

Pire, la grande complexité de l’ensemble accroît les vulnérabilités et les interdépendances : complexité organisationnelle, avec une multiplicité d’acteurs aux rôles et aux profils variés; complexité technologique, avec des interconnexions nombreuses entre des systèmes hétérogènes ; complexité réglementaire, avec un environnement en rapide évolution.
Dans ce contexte, lorsqu’elle est envisagée de façon isolée, la sécurité devient vite un sujet inextricable, qui débouche sur des mesures coûteuses et peu efficaces. Pas étonnant dans ces conditions qu’on n’en fasse guère la publicité.

Quel accompagnement pour éviter les écueils ?

L’erreur est souvent de considérer la sécurité comme une contrainte, et de la traiter comme une question déconnectée des enjeux métiers. Or, la smart énergie est une transformation numérique, et la cybersécurité doit en être reconnue comme un des piliers. À ce titre, elle doit être envisagée en amont et intégrée dès l’origine à l’élaboration de la solution. Les études montrent que la sécurité par construction est non seulement plus performante, mais aussi 30 % plus économique qu’un arsenal de mesures techniques a posteriori. Cette approche positive et proactive présente notamment l’intérêt d’associer toutes les parties aux questions de sécurité, de démêler la complexité des processus et des flux, et de mieux identifier les vulnérabilités du dispositif grâce aux connaissances de chacun.

Dans la droite ligne de son savoir-faire dans l’accompagnement de la transformation des organisations vers plus d’efficacité, certains cabinets conseils ont développé une méthodologie qui permet aux acteurs de la smart énergie de s’emparer efficacement de la question de la cybersécurité pour en faire un véritable différenciateur culturel. Tout part d’une clarification des processus métiers, des flux de données et des rôles des parties prenantes (informatique, métiers, services généraux, prestataires techniques…), de façon à cartographier les périmètres de responsabilité et les liens de dépendances. Dès lors, chacun est invité à imaginer des scénarios malveillants. Les enjeux de sécurité s’expriment ainsi de façon très concrète, sans stigmatisation inutile, et dans un vocabulaire intelligible par les populations concernées : l’évaluation du risque est contextualisée et comprise par tous. La pédagogie et l’implication permettent de faire émerger des solutions souvent simples (renforcement d’un mot de passe, simplification d’un processus…), que les acteurs s’approprient d’autant plus facilement qu’ils en saisissent la pertinence. S’amorcent ainsi les fondements d’une culture de la sécurité au sein de l’organisation étendue.

Une vision optimale pour les décideurs

Grâce à ce travail d’analyse et de dialogue au plus proche du terrain, les décideurs disposent d’une vision clarifiée de leur écosystème et de ses risques, de ressources sensibilisées aux enjeux de cybersécurité, et d’un outillage méthodologique leur permettant d’alimenter une démarche d’amélioration continue. Il leur appartient alors d’arbitrer entre les risques qu’ils souhaitent limiter, annuler, transférer, ou tolérer. Mais, dans tous les cas, ils peuvent présenter à leurs actionnaires, leurs assureurs ou leurs clients finaux, une évaluation objective de la situation et ainsi bâtir sur des bases solides les arguments de la confiance.

Chronique rédigée par Hadi El-Khoury et Annie Combelle, Président du directoire d’Inspearit.