La cybersécurité d’EDF épinglée au Royaume-Uni

Clément Bohic,
Linkedin
EDF cybersécurité UK

Le régulateur britannique de l’industrie nucléaire a passé EDF au niveau maximal de surveillance sur le volet cybersécurité.

EDF, au niveau en matière de cybersécurité ? Au Royaume-Uni, le régulateur de l’industrie nucléaire estime que non.

Le groupe français fait l’objet d’une surveillance accrue depuis l’an dernier. La conséquence d’inspections ayant mis au jour des manquements en matière de gouvernance, de conformité et de gestion des risques. En toile de fond, une modernisation de SI et une restructuration des équipes cyber.

Il s’agissait initialement d’une surveillance de niveau 2 (« enhanced »). Depuis lors, on est monté d’un cran, pour atteindre le niveau maximal (3, « significantly enhanced »). Le régulateur en fait part dans son rapport annuel. Il regrette qu’EDF n’ait pas respecté son engagement à fournir, pour fin mars 2023, un plan d’action « exhaustif et documenté ». Des recrutements spécifiques ont toutefois été effectués.

EDF vigilance
Sur la sécurité physique, EDF est, au contraire, redescendu au niveau 1 (« routine »).

EDF, pas seul dans le radar

EDF en est au même niveau de vigilance que Sellafield, qui gère, sous le contrôle de l’Autorité britannique de démantèlement nucléaire, le site du même nom. À la différence que ce dernier a des « pistes d’action claires pour revenir au niveau routine »…

changements

EDF est un poids lourd du nucléaire civil outre-Manche. Il dispose d’installations à Hartlepool (comté de Durham), Heysham (Lancashire), Sizewell (Suffolk) et Torness (East Lothian). Il est également associé – majoritaire – avec China General Nuclear Power Group dans le Somerset.

L’an dernier, Londres a mis à jour sa stratégie nationale de cybersécurité pour le nucléaire civil. La phase précédente (2017-2021) a notamment permis de piloter le framework CyAS de l’ANSSI britannique, destiné à évaluer le niveau de protection des environnements OT. Elle a aussi permis la mise en place d’exercices sectoriels. Et mis en lumière le manque de compétences spécialisées dans la cybersécurité du nucléaire.

sous-secteurs nucléaire civil

En France, la cybersécurité n’est pas de la compétence de l’Autorité de sûreté nucléaire. Celle-ci note toutefois, dans son dernier rapport annuel, un « nombre croissant de cyberattaques ». Dont, en 2022, deux sur des centres de radiothérapie et un sur un centre de médecine nucléaire.

À consulter en complément :

Cybersécurité du nucléaire : où en est-on ?
Comment EDF mise sur les jumeaux numériques pour construire ses futurs EPR
Crise énergétique et souveraineté numérique : une antinomie ?
Comment le XDR se déploie sur les SI

Illustration principale © Strikernia – Adobe Stock