Le 1er mai, l'administration Trump a publié un décret sur la sécurisation du système américain de production d'électricité qui vise à retirer du réseau les équipements essentiels fournis par des fournisseurs de nations étrangères. En milieu de semaine, le Département de l'Energie (DOE) a émis une demande d'information (RFI) « cherchant des informations pour comprendre les pratiques actuelles de l'industrie de l'énergie afin d'identifier et d'atténuer les vulnérabilités dans la chaîne d'approvisionnement des composants du système de production d'énergie en vrac (BPS). »
La RFI fait suite au décret, qui charge le DOE, en consultation avec d'autres agences, d'élaborer des règlements mettant en œuvre ses objectifs par le biais d'un processus de réglementation. Le décret définit l'équipement électrique comme les articles utilisés dans les sous-stations, les salles de contrôle et les centrales électriques, y compris les réacteurs, les condensateurs, les transformateurs de sous-station, les gros générateurs, les régulateurs de tension, ainsi que plusieurs autres pièces d'équipement électrique définies.
La Russie et la Chine qualifiées de « menaces »
Contrairement au décret, le DOE désigne explicitement la Chine et la Russie comme les deux nations les plus menaçantes pour le système de production d'électricité, car elles « possèdent toutes deux des programmes informatiques très avancés et... ces deux nations représentent une menace majeure pour le gouvernement américain, notamment, mais pas seulement, les infrastructures militaires, diplomatiques, commerciales et critiques ». S'appuyant sur une évaluation du bureau du directeur du renseignement national (ODNI), le centre national de contre-espionnage et de sécurité (NCSC), le DOE affirme que le système américain de production d'électricité est donc une cible pour ces deux « adversaires proches » qui cartographient « les infrastructures critiques américaines dans le but à long terme de pouvoir causer des dommages importants ».
Ces adversaires tenteraient, selon le ministère américain, d'accéder aux chaînes d'approvisionnement des infrastructures critiques en de multiples points, en insérant des logiciels malveillants dans les réseaux technologiques et les systèmes de communication. Afin d'aborder les implications de la chaîne d'approvisionnement en énergie sur la sécurité nationale, la RFI du DOE se concentre sur la maturité de la cybersécurité et sur une évaluation PCIE : Participation, contrôle et influence de l’étranger.
Des réponses attendues avant le 7 août
Dans sa RFI, le DOE restreint l'objectif général du décret en matière d'équipement pour « permettre un processus progressif par lequel le ministère peut donner la priorité à l'examen de l'équipement électrique du BPS ». Les catégories particulières d'équipement sur lesquelles le DOE a réduit son champ d'action sont les suivantes :
- Les transformateurs haute tension (y compris les transformateurs élévateurs de génération) ;
- Les équipement de puissance réactive (réacteurs et condensateurs) ;
- Les disjoncteurs ;
- La production (y compris la production d'électricité fournie au BPS au niveau du transport et la production de secours qui soutient les sous-stations).
Le ministère américain cherche à obtenir des réponses à de nombreuses questions spécifiques des propriétaires et opérateurs de services publics et de leurs fournisseurs. Ces dernières vont de savoir si les services publics et les fournisseurs doivent procéder à des évaluations des risques, à connaître quels niveaux de gouvernance donner aux sous-traitants, en passant par les politiques de contrôle d'accès qui s'appliquent aux fournisseurs qui ont une propriété, un contrôle ou une influence à l’étranger. Le DOE souhaite que toutes les parties intéressées répondent à ces questions et à d'autres dans un délai d'un mois, avant le 7 août.
La RFI bien perçue
La North American Electric Reliability Corporation (NERC), une organisation quasi-gouvernementale, qui a déjà établi des normes de sécurité obligatoires pour l'industrie électrique, a émis une alerte, « Sécuriser le système de production d'électricité des États-Unis, chaîne d'approvisionnement III », simultanément à la publication de la demande d'information du DOE. Bien que son contenu soit confidentiel et limité aux compagnies d'électricité, la NERC indique au CSO qu'il a publié ce document pour « continuer à recueillir des informations sur l'utilisation d'équipements étrangers de BPS ». Les compagnies d'électricité sont tenues d'accuser réception de l'alerte avant le 16 juillet et de répondre aux recommandations de l'alerte avant le 21 août.
« Je pense que la demande de renseignements du ministère de l'énergie est un bon premier pas », déclare Patrick Miller, fondateur du consortium de sécurité énergétique EnergySec et maintenant associé directeur de la société de conseil en énergie Archer Security, à l'OSC. « Je pense que c'est une bonne chose qu'ils demandent à l'industrie d'apporter sa contribution ». Dale Peterson, fondateur et CEO de la société de conseil en sécurité ICS, Digital Bond, partage cet avis : « il est attendu et bon que le DOE lance cette demande de renseignements en réponse au décret ». M. Peterson est particulièrement heureux que le DOE demande quels sont les protocoles de communication du réseau électrique qui ne sont pas sûrs dans leur conception, comme, par exemple, le Distributed Network Protocol 3 [DNP3], le File Transfer Protocol [FTP], Telnet ou Modbus. « Cela fait depuis 2012 que je m’escrime à poser cette question ».
Tempêtes et écureuils, menaces plus quotidiennes pour les gestionnaires du réseau électrique
La Western Area Power Administration (WAPA), une compagnie d'électricité fédérale gérée par le DOE, soutient naturellement ce que l'administration tente de réaliser par le biais du décret. « Tout ce que nous pouvons faire pour protéger le système électrique contre des adversaires potentiels est très nécessaire et requis de nos jours, alors que les infrastructures les plus critiques des États-Unis sont continuellement menacées », déclare son CEO, Mark Gabriel. « Il y a de plus en plus de preuves et d'expériences sur les menaces qui pèsent sur le système électrique américain », poursuit-il, « mais les menaces quotidiennes auxquelles font face ceux d'entre nous qui gèrent le système électrique de masse sont généralement des tempêtes ou des écureuils rongeant les câbles. En termes de sécurité nationale, c'est un domaine où nous avons tous besoin de soutien ».
Des cadres d'infrastructures critiques concurrentiels
Dans sa demande d'information, le DOE s'appuie fortement sur un cadre, les meilleures pratiques de gestion des risques de la chaîne d'approvisionnement de l'ODNI, plutôt que sur le cadre élaboré par le NERC, le Critical Infrastructure Protection (CIP) 13, qui a été approuvé le 18 octobre 2018 et est entré en vigueur le 1er juillet 2020. « Pour moi, cela introduit de nombreuses questions sur les interactions avec le CIP-13 », dit M. Miller, qui continue : « Si vous faites une chose qui correspond à la norme du NERC mais qui ne correspond pas à celle du DOE ? Ce dernier va-t-il s'appuyer sur le NERC d'une manière ou d'une autre afin de pouvoir s'aligner sur cette norme ? Toutes ces questions se posent ».
Le DOE répond qu’il « travaille en étroite collaboration avec la NERC et la FERC [Federal Energy Regulatory Commission], car la protection de la sécurité du réseau est une mission vitale pour tous. Après la signature du décret, Bruce Walker, secrétaire adjoint du Bureau de l'électricité, a informé la NERC et la FERC. Le ministère de l'énergie apprécie les efforts du NERC pour aider l'industrie à comprendre le risque que représentent les équipements des systèmes de production d'électricité qui sont fabriqués ou fournis par des adversaires étrangers ».