La transition énergétique entraîne un virage vers une utilisation accrue des ressources énergétiques distribuées. Celles-ci sont des ressources de production énergétique de plus petite taille, habituellement situées chez les consommateurs, et qui procurent de l’énergie là où elle est requise. Voici quelques exemples de ressources énergétiques distribuées : panneaux photovoltaïques solaires placés sur les toits, systèmes de production combinée de chaleur et d’électricité, véhicules et chargeurs électriques, éoliennes, génératrices et stockage d’énergie.
Sur le plan de la cybersécurité, ces ressources posent des défis uniques et inédits pour les services publics. En effet, bien que ces ressources soient connectées aux exploitants de réseaux électriques, elles ne sont pas toujours la propriété de ces derniers ou ne sont pas dotées des dispositifs de sécurité requis. Par conséquent, les ressources énergétiques distribuées peuvent poser des risques considérables et avoir un impact direct sur les réseaux électriques.
Au sein de l’Union européenne, le règlement 2016-631 de la Commission européenne « établissant un code de réseau sur les exigences applicables au raccordement au réseau des installations de production d’électricité » couvre désormais les actifs de « Type A » et de « Type B » de plus petite taille devant être dotés de capacités de commutation et de contrôle, soit la possibilité d’allumer et d’éteindre les actifs de type A ainsi que de contrôler la production d’énergie des actifs de Type B. Ces deux catégories comptent des actifs allant de 800 watts ou d’une puissance équivalant à huit ampoules électriques à 50 mégawatts pour l’Europe continentale (un des cinq groupes régionaux*), puissance qui est en mesure d’alimenter une petite ville.
Poser les questions fondamentales
En vue de doter ces actifs de capacités de commutation et de contrôle, des millions d’appareils devront être connectés par l’entremise d’Internet aux systèmes qui gèrent les réseaux énergétiques. Alors que la norme 1547* de l’Institute of Electrical and Electronics (IEEE) établit un ensemble de critères et d’exigences pour l’interconnexion des ressources énergétiques distribuées aux systèmes d’alimentation électrique, il y a beaucoup plus d’éléments à prendre en considération que la simple mise en connexion. Voici quelques-unes des questions importantes à poser : qui sera propriétaire de ces appareils et en assurera le contrôle, quels protocoles seront utilisés et par l’entremise de quels réseaux, et, surtout, de quelle façon ces ressources énergétiques distribuées peuvent-elles être mises en place de façon sécuritaire?
Les systèmes de contrôle regroupent actuellement les centres de contrôle des exploitants de réseaux de distribution (ERD) et des exploitants de réseaux de transport (ERT) ainsi que le logiciel qu’ils utilisent. Pour l’instant, ces systèmes ne sont pas configurés ou en mesure de contrôler de façon sécuritaire le nombre grandissant d’appareils installés sur les divers réseaux de communication et les protocoles en temps réel.
Une responsabilité de taille
Les interruptions de service du réseau électrique ont une incidence directe sur les vies et les moyens de subsistance des citoyens – et des interruptions continues présentent un risque sérieux. Par exemple, une interruption de courant survenue en 2016 à Kiev, capitale de l’Ukraine* a été associée à un piratage ayant entraîné une panne d’électricité en 2015* qui a touché 225 000 ménages. Dans un blogue traitant également de ce sujet, je discute de l’importance de comprendre l’environnement unique de système de contrôle industriel (SCI) d’un service public afin d’assurer la sécurité du réseau électrique.
L’intégration sécuritaire des ressources énergétiques distribuées ne relève pas uniquement des services publics. La responsabilité incombe également aux partenaires d’installation qui conçoivent de nouveaux systèmes de ce type, tels que les parcs solaires, les installations de thermopompes et les microsystèmes de production combinée de chaleur et d’électricité. Ces partenaires doivent disposer du savoir-faire nécessaire non seulement pour installer ces systèmes de façon sécuritaire, mais également de manière sécurisée.
De nos jours, les ressources énergétiques distribuées représentent une portion croissante des capacités de production disponibles. L’incident causé par le logiciel malveillant Mirai, qui transforme un réseau d’ordinateurs en zombies à l’insu de leurs propriétaires, a paralysé de grands sites Web, démontrant les dommages pouvant être engendrés par des appareils non sécurisés utilisant l’Internet des objets (IoT). Compromettre la sécurité de milliers ou de millions d’actifs de Type A ou B de façon similaire n’aurait pas seulement une incidence sur les réseaux de technologies opérationnelles (TO), mais raviverait le spectre d’impacts de grande envergure sur la société.
La sécurité n’est plus qu’une responsabilité des TI
Il est essentiel d’avoir en place les mesures de sécurité appropriées pour protéger le réseau et l’approvisionnement en électricité. Voilà pourquoi il est nécessaire de se poser diverses questions clés à propos de la sécurité des ressources énergétiques distribuées et d’en trouver les réponses.
- Gouvernance – Qui est responsable de la sécurité des ressources énergétiques distribuées? Qui est responsable de s’assurer que les installations sont non seulement sécuritaires, mais sécurisées?
- Normes – Qui détermine les normes pour les interfaces, protocoles et procédures et qui en assume les mises à l’essai?
- Technologies – Quelles plateformes seront utilisées pour assurer les services des ERD et des ERT pour cette connectivité?
Comme c’est le cas des plateformes ou des plateformes de données pour la facilitation des marchés centraux, telles que les solutions de CGI pour les marchés centraux, nous anticipons le besoin de mettre en place une plateforme centrale d’équilibrage et de facilitation où l’information des TO en temps quasi réel et les énoncés de contrôle peuvent être échangés de façon sécuritaire entre les actifs connectés, les exploitants de réseaux de distribution et les exploitants de réseaux de transport.
Pour répondre à ce besoin, et mettant à profit sa vaste expérience des marchés de l’énergie et des services publics, CGI a développé une plateforme pour les TO partagées visant précisément à connecter les actifs en toute sécurité à des fins d’intégration verticale et horizontale. Cette plateforme, couplée aux solutions de CGI pour les marchés centraux, permet aux agrégateurs, aux ERD et aux ERT d’intégrer des actifs et des marchés centraux de façon sécuritaire.
N’hésitez pas à communiquer avec moi pour en apprendre davantage sur le travail que nous effectuons auprès des services publics et d’autres systèmes de contrôle industriel (SCI) en vue de les aider à comprendre et à évaluer la criticité des environnements de sécurité de leurs TO et TI et à assurer une transition énergétique sécuritaire.
* en anglais