Ça y est, nous y sommes parvenus! L’approvisionnement énergétique mondial repose entièrement sur des formes d’énergie dites «renouvelables». Voitures, camions, avions, bateaux: tous fonctionnent à l’électricité et n’émettent plus de gaz à effet de serre. Il en va de même des systèmes de chauffage, qui affichent par ailleurs une efficacité énergétique élevée. L’électricité nécessaire à leur utilisation ne provient ni de matières premières fossiles, telles que le charbon ou le pétrole, ni de l’énergie nucléaire. Contrairement à l’ancien mode de production – centralisé dans de grandes usines électriques – les énergies solaire et éolienne, notamment, s’inscrivent dans un schéma décentralisé: de nombreuses petites installations créent du courant à partir de la lumière du soleil et du vent, puis l’injectent dans le réseau. Ce type de production se caractérise non seulement par des exigences élevées pour le réseau et une forte fluctuation des flux, mais également par un énorme volume de données générées par les installations hydroélectriques, solaires et éoliennes, qui doivent être échangées, évaluées et archivées. Pour ce faire, les installations et composants du système communiquent entre eux. Or toute transmission entre systèmes suppose l’existence d’interfaces qui, même extrêmement sécurisées, peuvent être la cible d’attaques.
Nombre d’entre nous se souviennent de celles qui ont frappé le réseau électrique ukrainien en 2015 et 2016. Leur retentissement sur le long terme est probablement dû en grande partie au fait qu’en raison du contexte géopolitique de l’époque (annexion par la Russie de la péninsule de Crimée appartenant à l’Ukraine), un large public en a eu connaissance. Bien sûr, ce n’étaient pas les premières attaques ou tentatives d’attaques perpétrées contre le réseau électrique d’une nation, et il y en a eu d’autres par la suite, mais les auteurs de ces faits n’avaient encore jamais réussi à couper le courant d’un pays. Conséquence: des centaines de milliers de foyers ukrainiens ont été privés d’électricité pendant des heures. La compagnie d’électricité visée, Kyivoblenergo, n’a pas non plus été épargnée, les attaquants ayant également saboté l’alimentation de secours.
Nul n’est jamais à l’abri
Comme le montre cet exemple, tout système de sécurité, aussi savamment conçu soit-il, peut être piraté par des personnes dotées des intentions criminelles et connaissances spécifiques suffisantes, et les systèmes d’infrastructures sensibles ne font pas exception. Ces dernières années, la branche énergétique a pris davantage conscience de l’importance de la sécurité. Markus Riner, responsable Digitalisation au sein de l’Association des entreprises électriques suisses (AES), dresse le même constat: «Les incidents survenus à l’étranger ont conduit à ne plus traiter la problématique avec la même légèreté qu’auparavant.» C’est également ce que montre une enquête de branche menée l’an passé: «Avec la protection des données, la cybersécurité est devenue l’un des grands enjeux.» D’une manière générale, la branche sait qu’il faut faire preuve de vigilance et qu’elle doit former et préparer ses collaboratrices et collaborateurs en conséquence.
C’est toutefois à ce niveau que le bât blesse. «Par manque de ressources, les petites EAE en particulier se heurtent rapidement à leurs limites lorsqu’il s’agit de cybersécurité. En tant qu’association faîtière, nous voulons donc soutenir nos membres.» Concrètement, cette volonté passe par exemple par la création d’un forum AES dédié à la digitalisation dont la mise en ligne est prévue au cours du deuxième trimestre 2021. Le sous-forum «digital upskilling» devrait permettre de répertorier les compétences et d’évaluer celles qui sont nécessaires à la mise en œuvre réussie de la digitalisation au sein de la branche. En outre, l’association s’engage aux côtés de ses membres de diverses façons: formations continues spécifiques, recommandations de la branche et, de manière générale, actions de sensibilisation soulignant l’importance des questions de sécurité à tous les niveaux.
E-learning, simulations d’attaques et nouveaux cours
L’offre de formation propose notamment un cours d’e-learning que les entreprises peuvent tester en ligne avec leurs équipes. Bien qu’une grande partie des contenus abordés ne soient pas nouveaux, de tels cours sont importants. En effet, malgré l’omniprésence de la cybersécurité dans les médias et la connaissance des dangers que peuvent représenter, dans une messagerie, des pièces jointes semblant inoffensives, le facteur de risque numéro un demeure le personnel. «C’est la triste vérité», confirme Markus Riner. Celles et ceux qui, machinalement, cliquent sur un lien ou ouvrent une pièce jointe représentent aujourd’hui encore la plus grande menace pour les systèmes informatiques. «Mais les méthodes utilisées par les pirates sont également de plus en plus élaborées. Il est donc de notre devoir d’attirer sans cesse l’attention de nos équipes sur le sujet.» Les simulations d’attaques permettent aussi de tester l’agilité digitale de tous. Elles consistent à envoyer dans l’entreprise des e-mails contenant une pièce jointe douteuse – mais bien évidemment sans danger. En analysant le taux d’ouverture, il est ensuite possible de déterminer si l’entreprise doit ou non organiser des formations continues supplémentaires.
«Nous développons en permanence des offres de formation et de formation continue en vue de soutenir la branche», explique Markus Riner. Le cours «IT-/OT-Grundschutz für IT-/OT-System-Engineers» (protection de base IT/OT pour les ingénieurs système IT/OT) tient par exemple compte du fait que les infrastructures OT (Operational Technology) ne fonctionnent plus depuis longtemps de manière isolée et sont donc exposées aux risques associés. Il présente non seulement la situation actuelle en matière de cybermenaces, mais montre également, sur la base d’un document de la branche, les mesures préventives que peuvent prendre les EAE pour lutter contre celles-ci. «La cybersécurité est essentielle à tous les niveaux – d’autant plus pour nos infrastructures sensibles – et doit être intégrée dans le fonctionnement des entreprises.» En collaboration avec la branche, l’AES a donc constitué le groupe de travail «Cyber Security IT/OT Systems and Clouds».
Une formation avec certificat: la solution?
Thomas Mettler, responsable de l’état-major IT chez Arbon Energie AG, réfléchit à une autre approche: «Il serait souhaitable de mettre en place une formation avec certificat de capacité en matière de sécurité IT/OT, par exemple un CAS Énergie en collaboration avec une haute école. Cette solution conférerait non seulement plus de poids à la formation, mais permettrait également de sensibiliser davantage la branche aux questions de sécurité.» Ces sujets sont discutés au sein d’un groupe de coordination dédié à la digitalisation dont Thomas Mettler fait partie. Celui-ci a été créé par l’AES et les entreprises membres. «Nous ne devons pas oublier que l’informatique n’est pas notre cœur de métier et que les petites entreprises n’ont tout simplement pas les ressources nécessaires pour se doter de leurs propres services informatiques.» Il est d’ailleurs lui-même le seul informaticien au sein de son entreprise. «Confier ces tâches à un prestataire externe, ou régler la suppléance avec des spécialistes externes peut être une approche de solution. Il faut surtout que le management ait conscience que cela est important, qu’il transfère les tâches au bon service et qu’il mette à disposition les moyens financiers nécessaires.»
Poussée massive de la digitalisation
Qu’une EAE dispose de son propre service ou fasse appel à un prestataire pour la protection de ses systèmes, l’important est de pouvoir compter sur des spécialistes informatiques qualifiés. Or la Suisse souffre d’un manque criant d’experts. L’automne dernier, ICT-Formation professionnelle Suisse – une association représentant les compétences ICT de toute la branche dans la formation professionnelle – tirait la sonnette d’alarme en annonçant que d’ici 2028, quelque 36 000 spécialistes ICT feraient défaut. La pandémie a en effet contraint nombre d’entreprises à digitaliser leur communication et leurs processus. Mais, parallèlement, les mutations structurelles et les évolutions économiques se sont produites encore plus rapidement que prévu. L’ensemble va conduire à une augmentation exponentielle de la demande en spécialistes, analyse Serge Frech, directeur d’ICT-Formation professionnelle Suisse. «Une fois la pandémie derrière nous, nous constaterons que les entreprises appliquant des processus digitalisés auront un avantage concurrentiel considérable. La concurrence fera de même et le besoin en personnes qualifiées ira en s’amplifiant.»
Si la pénurie de spécialistes ICT est à déplorer dans tous les secteurs, elle concerne avant tout le domaine de la sécurité des ICT, comme l’explique Serge Frech: «Elle est colossale. Nous partons donc du principe que c’est ici que nous observerons la plus forte croissance. Dans la branche énergétique, qui se caractérise par des infrastructures particulièrement sensibles, il est crucial de pouvoir compter sur des spécialistes en sécurité des ICT qualifiés.» Est-ce donc un appel aux entreprises à créer plus de postes de formation? «Bien évidemment ! La sécurité des ICT ne se résume pas à la protection des systèmes IT et OT; elle englobe également des sujets comme la gestion et, surtout, la protection des données. C’est un point essentiel pour toutes les EAE.» Si former des apprentis est un investissement, celui-ci s’avère payant, et ce pendant l’apprentissage déjà: «Les collaboratrices et collaborateurs ayant été formés au sein de l’entreprise connaissent et incarnent la culture de cette dernière, et parlent le langage interne. Les processus n’ont aucun secret pour eux. Ce sont en quelque sorte les profils idéaux.» Dans la branche énergétique, il est coutume de dire qu’aucune centrale ne se ressemble. Les formations aux systèmes IT et OT peuvent poser des exigences totalement différentes aux apprentis selon les structures. ICT-Formation professionnelle Suisse organise donc des plans de formation de manière à ce que les entreprises disposent de la marge de manœuvre nécessaire pour former la relève à leurs propres systèmes. «Celle-ci doit connaître les technologies et les systèmes de l’entreprise le mieux possible.»
La demande est là
Pour Serge Frech, outre les entreprises, les associations sont elles aussi tenues de s’engager en faveur de la formation ICT. «Les grandes associations de branche comme l’AES ou Swissmem dépendent de façon critique d’une structure informatique efficace. En adhérant, elles permettent non seulement d’augmenter le nombre de places de formation, mais également de fournir aux spécialistes ICT les compétences utiles à la branche. Elles montrent l’exemple.» Membre de l’ICT-Formation professionnelle Suisse depuis 2017, l’AES est par exemple fortement impliquée dans le développement du diplôme fédéral d’expert en sécurité des ICT. «Mais pour que les lignes bougent, il faut que les entreprises agissent », déclare Serge Frech. «Le nombre de jeunes intéressés par une formation ICT dépasse celui de postes d’apprentissage disponibles. Ce sont les entreprises qui ont la solution entre les mains: elles doivent créer des places de formation.»