L’avancée de la numérisation dans le secteur de l’énergie s’accompagne d’innombrables systèmes de commande des processus. Ces systèmes et leurs composants individuels doivent être planifiés et exploités en toute sécurité afin de garantir la sécurité d’approvisionnement. En tant qu’association faîtière de la branche électrique suisse, l’AES définit les exigences et les instructions d’exécution pour le développement de produits et de systèmes du côté des fabricants et des fournisseurs. Elle fait également des recommandations sur comment les entreprises d’approvisionnement en énergie (EAE) doivent prendre en compte les exigences relatives aux systèmes lors de la planification, l’exploitation et la maintenance. Les exigences de l’AES concernent les technologies des catégories suivantes: Systèmes de gestion / contrôle et exploitation de systèmes, techniques de transmission / communication vocale et techniques secondaires / d’automatisation et de téléconduite.
Coopération internationale
L’approvisionnement en énergie tout comme les systèmes de contrôle et de télécommunication sont aujourd’hui interconnectés au-delà des frontières nationales. En conséquence, les risques, les défis, les opportunités et les solutions possibles sont similaires en Suisse, mais aussi dans les pays limitrophes. C’est pourquoi l’AES est en étroite collaboration avec ses homologues voisins. Dans ce cadre, l’AES, le BDEW Bundesverband der Energie- und Wasserwirtschaft e.V. et l’association «Österreichs Energie» ont révisé le livre blanc du BDEW «Anforderungen an sichere Steuerungs- und Telekommunikationssysteme» (Exigences en matière de systèmes de commande et de télécommunication sécurisés, en allemand), publié pour la première fois déjà en décembre 2007 et révisé en 2018. Ensemble, ils ont publié la nouvelle édition entièrement révisée.
Vers le livre blanc (en allemand)
Focus des exigences
Dans le livre blanc, les trois associations décrivent leurs exigences générales et spécifiques en matière d’organisation de projet, de système de base, de réseau et de communication, d’utilisation, de développement, de maintenance ainsi que de sauvegarde des données et de planification d’urgence. L’accent est mis sur les exigences relatives aux composants et systèmes techniques à prendre en compte dans le cadre des achats, ainsi que sur les processus pertinents pour l’exécution de projets et la maintenance. En revanche, d’autres aspects liés à la sécurité, tels que les mesures de sécurité organisationnelles, personnelles et physiques au sein de l’entreprise, ne sont pas abordés. Les normes et standards internationaux sont référencés dans le livre blanc lorsque cela est possible, mais la systématique de ce dernier diffère de la série de normes ISO/IEC 27000. Il se peut donc que les contrôles des normes référencées ne couvrent que certaines parties de l’exigence correspondante du livre blanc.
Les exemples d’applications soutiennent les EAE, les fournisseurs et les producteurs
Le document regroupant les bonnes pratiques a volontairement un champ d’application très large dans le domaine de l’approvisionnement en énergie, de sorte que les entreprises peuvent choisir les exigences de sécurité qui les concernent. Il contient également de nombreux exemples de mise en œuvre et des conseils d’application pour différents domaines technologiques de commande et d’automatisation des processus. De plus, comme la mise en réseau va continuer à se développer à l’avenir, les exigences de sécurité doivent être régulièrement mises à l’épreuve en collaboration avec les producteurs. Grâce aux exemples d’application, le livre blanc aide les EAE, les fournisseurs et les producteurs à mettre en œuvre ces exigences.
Ordonnance sur la cybersécurité
L’AES s’engage également au niveau réglementaire pour la sécurité numérique du système énergétique suisse. En septembre 2024, elle a déposé une prise de position sur la Projet d’ordonnance sur la cybersécurité (en allemand). Cette dernière précise comment mettre en œuvre l’obligation de signalement des cyberattaques pour les infrastructures critiques, règle l’organisation pour la mise en œuvre de la cyberstratégie nationale et spécifie les tâches du nouvel office fédéral de la cybersécurité (OFCS). Elle précise également quelles autorités et entreprises sont exemptées de l’obligation de signalement. L’AES estime que cette obligation est importante et soutient la stratégie de la Confédération en matière de cybersécurité ainsi que son pilotage par les acteurs concernés. Dans ce contexte, l’AES estime qu’il est indispensable que les représentants des infrastructures critiques puissent jouer un rôle actif au sein du CP NCS (art. 4 Composition du CP NCS). En ce qui concerne l’analyse technique des cyberincidents et des cybermenaces (art. 7), l’AES plaide pour une précision commune des prestations et de la collaboration entre l’OFCS et les CERT privés, ainsi que les entreprises de l’infrastructure critique touchées par l’obligation de signalement. L’AES estime que l’obligation de signalement devrait en outre inclure les «systèmes attaqués» (art. 19, al. 1).
