Ce scénario complique la détection proactive des vulnérabilités potentielles des dispositifs déployés. Il est important de noter que, pour les infrastructures critiques telles que les réseaux électriques, les délais de réponse pour l'application de correctifs (et non pour la résolution des problèmes) sont très longs, compte tenu du caractère critique du fonctionnement du réseau. Par conséquent, la cybersécurité des réseaux électriques est devenue un élément clé et l'un des principaux défis du secteur.

Dans ce contexte, le projet Sec2Grid, financé par le programme Hazitek 2022 du gouvernement basque à hauteur de 6,4 millions d'euros, s'achève ce mois-ci. Ce projet a mobilisé des entreprises de fabrication d'équipements pour le secteur électrique, des fournisseurs de solutions et de services de cybersécurité, ainsi que des consultants, afin de mettre en place des mécanismes de détection proactive des vulnérabilités potentielles des dispositifs composant le réseau intelligent. Cette collaboration a intégré l'ensemble de la chaîne de valeur et offert une vision globale du cycle de vie des équipements.

Piloté par Ingeteam, ce projet réunit Arteche, Barbara, Ormazabal, PwC, Zigor, ZIV, Ikerlan et le cluster GAIA. Ensemble, ils analysent en continu et automatiquement les vulnérabilités potentielles des équipements des fabricants participants. Ces informations sont ensuite mises à la disposition des autres entreprises impliquées. Comme le souligne Imanol García, directeur des projets R&D chez Ingeteam : « Cela nous permet de développer des fonctionnalités agrégées dédiées à l’infrastructure électrique. Ainsi, grâce au partage de ces informations, les risques peuvent être analysés globalement et de manière adaptée à l’ensemble du réseau. »

Dans cette optique, García explique que « si nous pouvons informer à l'avance les opérateurs d'électricité des problèmes potentiels qui pourraient survenir de notre côté à l'avenir, nous pouvons les corriger avant qu'ils n'apparaissent ».

De plus, dans le cadre du projet, des mécanismes ont été développés pour surveiller l'équipement une fois déployé sur le terrain, garantissant ainsi que les configurations et leur mode de fonctionnement sont adéquats et maintiennent le niveau de cybersécurité attendu, afin qu'ils ne puissent pas être facilement attaqués.

Des méthodologies ont également été développées pour le déploiement sécurisé de correctifs, en tenant compte du fait que certaines des attaques les plus courantes exploitent les failles de la chaîne d'approvisionnement, notamment au niveau des mécanismes de mise à jour des équipements déployés sur les réseaux électriques. Un travail a donc été mené sur les modèles de données, le chiffrement, les attributs et les formats afin de permettre des autorisations authentifiées et à double signature. « Cela garantit non seulement que la version diffusée provient du fabricant avec des garanties de cybersécurité, mais aussi qu'elle a été testée et validée par le gestionnaire du réseau électrique », explique Imanol García.

Infrastructure virtuelle pour les tests

De même, le projet Sec2Grid a permis des tests rapides sur une infrastructure virtuelle située à Ikerlan (Arrasate). « Tous les fabricants ont installé leurs équipements de cette manière et ont passé une série de tests de cybersécurité, ce qui nous a permis de tester les modifications apportées plus rapidement que d'habitude. Pour ce faire, nous avons créé un simulateur d'infrastructure pour opérateur électrique, qui intègre les fonctionnalités nécessaires pour tester les systèmes mis en œuvre et sur lequel tous les participants ont pu réaliser des tests conjoints. »

L'infrastructure a été conçue pour être utilisée par les entreprises membres du consortium. « Nous pourrons réaliser les tests en interne, comme si nous disposions d'une infrastructure électrique, générée à partir d'une série de machines virtuelles et de séquenceurs de tests automatisés qui testeront notre équipement de manière agile », expliquent-ils.

Les entités participant au projet soulignent que l'un de ses plus grands succès a été le travail collaboratif, qui a également représenté un défi de taille, exigeant une collaboration ouverte malgré leur statut de concurrents. « Ce projet nous a tous énormément enrichis », conclut Imanol García, directeur des projets de R&D chez Ingeteam.