Cybersécurité énergétique : la numérisation massive des réseaux électriques intelligents — compteurs communicants, capteurs IoT, automates industriels, postes électriques connectés — décuple la performance du système électrique, mais elle élargit aussi considérablement sa surface d’exposition aux cyberattaques. Elle est devenue, en 2026, un enjeu de souveraineté nationale autant qu’une exigence réglementaire incontournable pour tous les acteurs de la chaîne de valeur électrique.
Un réseau électrique n’est pas une infrastructure informatique comme une autre. Une indisponibilité prolongée n’entraîne pas seulement une perte financière : elle peut paralyser des hôpitaux, des systèmes de transport, des réseaux d’eau et de télécommunications. C’est précisément ce caractère vital qui fait des réseaux électriques et des smart grids des cibles privilégiées pour des attaquants aux motivations variées — cybercriminels en quête de rançon, groupes étatiques cherchant à projeter une capacité de sabotage, ou activistes idéologiques.
Cet article-pilier propose une lecture rigoureuse et opérationnelle de la cybersécurité des réseaux électriques : pourquoi ces infrastructures sont des cibles critiques, à quoi ressemble réellement la surface d’attaque d’un smart grid, quelles menaces pèsent sur les systèmes industriels, ce que disent les attaques marquantes du passé, et surtout comment la directive européenne NIS2, l’ANSSI et l’ENISA structurent désormais les obligations des opérateurs. Il s’adresse aux décideurs, RSSI, exploitants et responsables conformité du secteur de l’énergie.
Pourquoi les réseaux électriques sont des cibles critiques
Le secteur de l’énergie figure, année après année, parmi les plus visés par les cyberattaques au niveau mondial. Cette exposition tient à une combinaison de facteurs structurels qui font du réseau électrique une cible à très forte valeur stratégique.
Une infrastructure vitale par nature
L’électricité est le socle sur lequel reposent presque toutes les autres infrastructures critiques : santé, eau, transports, finance, télécommunications, défense. Une interruption de l’alimentation électrique produit un effet de cascade immédiat sur l’ensemble de la société. Cette dépendance fait du réseau un point de levier exceptionnel : compromettre l’électricité, c’est potentiellement déstabiliser un pays entier. C’est la raison pour laquelle les opérateurs d’électricité sont classés parmi les opérateurs d’importance vitale (OIV) en France et parmi les entités essentielles au sens du droit européen.
La numérisation et la convergence IT/OT
Historiquement, les systèmes de contrôle industriel (OT — Operational Technology) qui pilotent le réseau étaient isolés, propriétaires et déconnectés d’Internet. Cette séparation physique, l’air gap, constituait une protection de fait. L’avènement des smart grids, ces réseaux électriques de l’avenir, a fait voler en éclats cet isolement : pour optimiser la production décentralisée, intégrer les énergies renouvelables et piloter la demande en temps réel, les systèmes OT sont désormais interconnectés avec les systèmes d’information (IT) et exposés à des réseaux de communication ouverts. Cette convergence IT/OT, indispensable à la performance, est aussi la principale source de vulnérabilité nouvelle.
Décentralisation et multiplication des points d’entrée
Le réseau électrique d’hier était centralisé autour de grandes centrales. Le réseau d’aujourd’hui intègre des millions de points de production et de mesure répartis : panneaux photovoltaïques, bornes de recharge, batteries de stockage, effacement de consommation. Chaque équipement connecté est un point d’entrée potentiel. La gestion intelligente du réseau électrique repose sur cette densité de capteurs et d’actionneurs, ce qui augmente mécaniquement le nombre de surfaces à défendre.
La surface d’attaque des smart grids
Comprendre la cybersécurité énergétique exige d’abord de cartographier précisément ce qui peut être attaqué. La surface d’attaque d’un réseau électrique intelligent est hétérogène : elle mêle des technologies récentes très ouvertes et des équipements industriels conçus il y a plusieurs décennies, sans considération pour la sécurité numérique.
Les compteurs communicants et l’IoT énergétique
Les compteurs communicants (en France, le déploiement Linky en est l’exemple le plus visible) constituent un parc de dizaines de millions d’équipements connectés. À cela s’ajoutent les capteurs IoT déployés sur les lignes, les transformateurs et les postes. Ces équipements, individuellement peu critiques, posent un problème d’échelle : une vulnérabilité commune exploitée massivement pourrait permettre des actions coordonnées. Leur cycle de vie long et la difficulté à les mettre à jour à distance accentuent le risque.
Les systèmes SCADA et l’OT industriel
Le cœur opérationnel du réseau repose sur les systèmes SCADA (Supervisory Control and Data Acquisition), les automates programmables (PLC) et les unités terminales distantes (RTU). Ces systèmes pilotent physiquement les disjoncteurs, les transformateurs et les flux d’énergie. Une compromission de l’OT ne se traduit pas par un simple vol de données : elle peut provoquer des coupures, endommager des équipements physiques et mettre en danger la sécurité des personnes. Beaucoup de ces systèmes reposent sur des protocoles industriels anciens, conçus sans authentification ni chiffrement.
Les postes connectés et l’accès distant
La maintenance moderne s’appuie largement sur l’accès distant aux postes électriques et aux équipements. Téléconduite, télémaintenance par des sous-traitants, VPN d’exploitation : ces accès, lorsqu’ils sont mal sécurisés, constituent des portes d’entrée privilégiées. La protection de ces infrastructures fait l’objet d’une approche dédiée que nous développons dans notre guide sur la sécurité des smart grids et la protection des infrastructures.
La chaîne d’approvisionnement logicielle et matérielle
Enfin, la surface d’attaque s’étend bien au-delà du périmètre de l’opérateur. Les équipements, firmwares, logiciels de supervision et services managés proviennent de fournisseurs tiers. Une compromission en amont, chez un fournisseur, peut se propager à l’ensemble des clients : c’est le risque de la supply chain, devenu l’une des préoccupations majeures des autorités de cybersécurité.
Les principaux types de menaces sur le secteur énergétique
Les menaces qui pèsent sur la cybersécurité des réseaux électriques sont diverses dans leurs modes opératoires comme dans leurs motivations. Le tableau ci-dessous synthétise les grandes catégories de risques auxquelles les opérateurs doivent se préparer.
| Type de menace | Cible privilégiée | Impact potentiel | Motivation principale |
|---|---|---|---|
| Ransomware | Systèmes IT, parfois OT par propagation | Paralysie des opérations, extorsion financière | Gain financier |
| Attaques ciblées sur l’OT/SCADA | Automates, supervision industrielle | Coupures, sabotage d’équipements physiques | Sabotage, déstabilisation étatique |
| Compromission de la supply chain | Fournisseurs, firmwares, logiciels tiers | Propagation à grande échelle, accès furtif | Espionnage, préparation d’attaque |
| Phishing et ingénierie sociale | Personnel, prestataires | Vol d’identifiants, accès initial | Point d’entrée vers le SI |
| Attaques par déni de service (DDoS) | Services en ligne, communications | Indisponibilité, perte de visibilité réseau | Nuisance, diversion |
| Menace interne | Accès légitimes mal contrôlés | Fuite de données, sabotage interne | Malveillance ou négligence |
Le ransomware, menace dominante
Le rançongiciel reste la menace la plus fréquente pour le secteur. S’il vise d’abord les systèmes informatiques de gestion, son impact peut s’étendre à l’exploitation lorsque les réseaux IT et OT ne sont pas correctement cloisonnés. L’arrêt préventif de la production ou de la supervision pour contenir une infection peut, à lui seul, provoquer une perturbation majeure.
Les attaques visant spécifiquement les systèmes industriels
Plus rares mais nettement plus graves, les attaques conçues spécifiquement contre les environnements OT témoignent d’un haut niveau de sophistication et, souvent, d’un soutien étatique. Elles supposent une connaissance fine des protocoles industriels et visent à manipuler directement le fonctionnement physique du réseau. Ce sont ces menaces qui justifient l’essentiel de l’effort réglementaire actuel.
Le risque supply chain
La compromission d’un fournisseur de confiance permet de contourner les défenses périmétriques en s’introduisant par un canal légitime. Ce vecteur, particulièrement difficile à détecter, explique pourquoi la directive NIS2 impose désormais une vigilance accrue sur la sécurité de la chaîne d’approvisionnement.
Attaques marquantes sur le secteur de l’énergie : les leçons à retenir
L’histoire récente fournit des cas documentés qui ont durablement transformé la perception du risque cyber sur les réseaux électriques. Ces événements, désormais étudiés comme des références, illustrent que la menace contre l’OT n’est pas théorique.
Ukraine 2015 : la première coupure électrique d’origine cyber confirmée
En décembre 2015, plusieurs sociétés de distribution d’électricité ukrainiennes ont été la cible d’une cyberattaque coordonnée qui a entraîné une coupure de courant touchant des centaines de milliers de foyers pendant plusieurs heures. Les attaquants avaient préalablement obtenu un accès aux systèmes via des courriels piégés, puis pris le contrôle à distance des interfaces de supervision pour ouvrir manuellement des disjoncteurs. Il s’agit du premier cas publiquement reconnu de coupure d’électricité provoquée par une cyberattaque. L’incident a démontré qu’un attaquant déterminé pouvait franchir la frontière entre le monde IT et le monde physique du réseau.
Ukraine 2016 : l’automatisation de l’attaque sur le réseau
Un an plus tard, en décembre 2016, une nouvelle attaque visant un poste de transport d’électricité à Kiev a provoqué une coupure plus brève mais techniquement plus aboutie. Cette seconde attaque a mis en évidence l’emploi d’outils malveillants spécialement conçus pour interagir avec les protocoles de contrôle industriel, marquant une étape vers l’automatisation des attaques contre les infrastructures électriques. Le message pour le secteur fut clair : les capacités offensives ciblant l’OT progressent, et la défense doit progresser au moins aussi vite.
La principale leçon de ces incidents n’est pas qu’une coupure est inévitable, mais que la résilience — la capacité à détecter, contenir et rétablir rapidement — est aussi déterminante que la prévention. Les opérateurs ukrainiens ont d’ailleurs pu rétablir le courant en partie grâce à des procédures manuelles de secours.
Le cadre réglementaire européen : la directive NIS2
Face à la montée des menaces, l’Union européenne a profondément renforcé son cadre de cybersécurité. La directive NIS2 (Network and Information Security 2), adoptée en 2022 et succédant à la première directive NIS de 2016, constitue désormais le socle réglementaire de référence pour la cybersécurité énergétique en Europe.
Ce que change NIS2 par rapport à NIS1
La directive NIS2 élargit considérablement le champ des entités concernées et durcit les obligations. Là où la première directive ciblait un nombre restreint d’opérateurs de services essentiels, NIS2 couvre un spectre beaucoup plus large d’organisations, réparties en deux catégories : les entités essentielles et les entités importantes. Le secteur de l’énergie — électricité, mais aussi gaz, pétrole, hydrogène, chaleur — figure au premier rang des secteurs hautement critiques visés.
Les principales obligations introduites
NIS2 impose un ensemble structuré d’exigences que les entités concernées doivent intégrer dans leur gouvernance. Les principales obligations sont les suivantes :
- Gouvernance et responsabilité des dirigeants : les organes de direction doivent approuver les mesures de gestion des risques et peuvent être tenus responsables en cas de manquement.
- Gestion des risques : mise en place de mesures techniques et organisationnelles proportionnées (analyse de risque, politique de sécurité, contrôle d’accès, chiffrement).
- Sécurité de la chaîne d’approvisionnement : prise en compte des risques liés aux fournisseurs et prestataires directs.
- Notification des incidents : obligation de signaler les incidents significatifs aux autorités compétentes dans des délais courts, avec une alerte précoce suivie de rapports détaillés.
- Continuité d’activité : gestion des sauvegardes, reprise après sinistre et gestion de crise.
- Formation et sensibilisation : montée en compétence du personnel et des dirigeants sur les enjeux cyber.
Le tableau suivant résume la distinction entre les deux grandes catégories d’entités introduites par la directive.
| Critère | Entités essentielles | Entités importantes |
|---|---|---|
| Secteurs concernés | Secteurs hautement critiques (dont énergie, transports, santé, eau) | Autres secteurs critiques (production, services numériques, etc.) |
| Niveau de surveillance | Supervision proactive (contrôles possibles a priori) | Supervision réactive (contrôles a posteriori, après incident) |
| Obligations de sécurité | Identiques sur le fond pour les deux catégories | Identiques sur le fond pour les deux catégories |
| Régime de sanction | Plafonds de sanction plus élevés | Plafonds de sanction plus modérés |
La transposition en droit national
Une directive européenne n’est pas directement applicable : chaque État membre doit la transposer dans son droit national. En France, cette transposition précise le périmètre exact des entités concernées, l’autorité de contrôle, les modalités de notification et le régime de sanctions. Les entreprises du secteur énergétique doivent donc se référer à la fois au texte européen pour l’esprit et aux dispositions nationales pour les modalités concrètes d’application. Compte tenu de l’élargissement du périmètre, de nombreuses organisations qui n’étaient pas concernées par NIS1 entrent désormais dans le champ de la réglementation et doivent engager une mise en conformité.
Le rôle de l’ANSSI et de l’ENISA
La mise en œuvre de la cybersécurité énergétique en Europe s’appuie sur des institutions dédiées, à l’échelle nationale comme communautaire.
L’ANSSI, autorité nationale française
En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) est l’autorité de référence en matière de cybersécurité. Elle joue un rôle central dans le dispositif de protection des infrastructures critiques : élaboration des règles de sécurité applicables aux opérateurs d’importance vitale, accompagnement des organisations, publication de guides de bonnes pratiques, qualification de produits et de prestataires de confiance, et réponse aux incidents majeurs. Dans le cadre de NIS2, l’ANSSI est appelée à jouer un rôle pivot dans la supervision des entités essentielles et importantes du secteur énergétique. Ses référentiels, comme ceux relatifs à la sécurité des systèmes industriels, constituent des ressources opérationnelles précieuses pour les exploitants.
L’ENISA, agence européenne de cybersécurité
À l’échelle de l’Union, l’ENISA (Agence de l’Union européenne pour la cybersécurité) contribue à l’élaboration d’un niveau commun de cybersécurité. Elle publie des analyses de la menace, des lignes directrices techniques, soutient la coopération entre États membres et accompagne la mise en œuvre harmonisée des directives comme NIS2. Pour le secteur de l’énergie, l’ENISA produit régulièrement des recommandations sectorielles qui aident à traduire les obligations réglementaires en mesures concrètes.
Bonnes pratiques de cybersécurité pour les réseaux électriques
La conformité réglementaire n’a de sens que si elle se traduit par une posture de sécurité réellement efficace. Plusieurs grands principes structurent une démarche de cybersécurité robuste pour les opérateurs de réseaux et les exploitants de smart grids.
La segmentation IT/OT, fondement de la défense
Le principe le plus déterminant est le cloisonnement strict entre les réseaux informatiques de gestion (IT) et les réseaux industriels d’exploitation (OT). Une segmentation rigoureuse, appuyée sur des zones de sécurité et des passerelles contrôlées (modèle de zones et conduits), limite la propagation d’une attaque d’un environnement à l’autre. C’est précisément l’absence de cloisonnement qui transforme un incident IT en crise d’exploitation.
La défense en profondeur
Aucune mesure unique ne suffit. La défense en profondeur empile plusieurs couches de protection complémentaires, de sorte que la défaillance d’une couche ne compromette pas l’ensemble. Les principales briques à mettre en œuvre incluent :
- Contrôle d’accès strict : authentification forte, principe du moindre privilège, gestion rigoureuse des comptes à privilèges et des accès distants.
- Durcissement des équipements : désactivation des services inutiles, gestion des correctifs, sécurisation des configurations par défaut.
- Chiffrement des communications sensibles, notamment sur les liaisons d’exploitation et de téléconduite.
- Sécurité de la chaîne d’approvisionnement : évaluation des fournisseurs, exigences contractuelles de sécurité, vérification de l’intégrité des firmwares.
- Sensibilisation continue du personnel, première ligne de défense face au phishing et à l’ingénierie sociale.
La détection et la supervision
On ne peut défendre que ce que l’on voit. La mise en place d’une supervision de sécurité adaptée aux environnements industriels — sondes de détection passives respectant les contraintes de l’OT, journalisation centralisée, corrélation d’événements au sein d’un SOC — permet de repérer précocement les signaux faibles d’une intrusion. La détection précoce est ce qui distingue un incident maîtrisé d’une crise majeure.
La résilience et la gestion de crise
Enfin, il faut accepter qu’aucune protection n’est infaillible et préparer l’organisation à fonctionner sous attaque. Cela suppose des plans de continuité et de reprise d’activité testés, des sauvegardes isolées et restaurables, des procédures manuelles de secours (comme l’ont illustré les opérateurs ukrainiens), et des exercices de gestion de crise réguliers impliquant la direction. La résilience est désormais un objectif au même titre que la prévention, et c’est un axe central de toute stratégie de protection des infrastructures de smart grids.
FAQ — Cybersécurité énergétique
Qu’est-ce que la cybersécurité énergétique exactement ?
La cybersécurité énergétique désigne l’ensemble des mesures techniques, organisationnelles et réglementaires destinées à protéger les infrastructures de production, de transport et de distribution d’énergie contre les cyberattaques. Elle couvre aussi bien les systèmes d’information de gestion (IT) que les systèmes de contrôle industriel (OT) qui pilotent physiquement le réseau électrique. Son objectif est de préserver la disponibilité, l’intégrité et la confidentialité du système électrique, dont dépendent la plupart des autres activités vitales d’un pays.
Quelles entreprises sont concernées par la directive NIS2 dans le secteur de l’énergie ?
NIS2 couvre un large éventail d’acteurs du secteur énergétique : producteurs d’électricité, gestionnaires de réseaux de transport et de distribution, exploitants de stockage, opérateurs de bornes de recharge, ainsi que les acteurs des secteurs gazier, pétrolier et de l’hydrogène. Le périmètre est nettement plus large que celui de la première directive NIS. Les entités sont classées en entités essentielles ou importantes, mais les deux catégories doivent respecter des obligations de sécurité comparables. Il est recommandé de vérifier son éligibilité au regard de la transposition nationale.
Quelle différence entre la sécurité IT et la sécurité OT ?
La sécurité IT protège les systèmes d’information classiques (messagerie, bases de données, applications de gestion), où la priorité est généralement la confidentialité des données. La sécurité OT protège les systèmes industriels qui commandent des équipements physiques (disjoncteurs, transformateurs, automates), où la priorité absolue est la disponibilité et la sûreté de fonctionnement. Les environnements OT ont des contraintes spécifiques — équipements anciens, protocoles propriétaires, impossibilité d’interrompre la production — qui imposent des approches de sécurité dédiées et non transposables directement depuis l’IT.
Une cyberattaque peut-elle vraiment provoquer une coupure de courant ?
Oui, et cela s’est déjà produit. Les attaques contre des distributeurs d’électricité ukrainiens en 2015 et 2016 ont provoqué des coupures réelles affectant des centaines de milliers de personnes. Ces incidents, documentés et reconnus, ont démontré qu’un attaquant disposant d’un accès aux systèmes de supervision peut agir sur le réseau physique. C’est précisément pour prévenir ce type de scénario que les cadres réglementaires comme NIS2 et l’action de l’ANSSI se sont renforcés.
Par où commencer une démarche de mise en conformité NIS2 ?
La première étape consiste à déterminer si l’organisation entre dans le champ de la directive, puis à réaliser une analyse de risque et un état des lieux de la maturité cyber existante. Il s’agit ensuite d’identifier les écarts par rapport aux obligations (gouvernance, gestion des risques, sécurité de la supply chain, notification d’incidents, continuité), de prioriser les actions correctives, et d’impliquer la direction qui porte désormais une responsabilité directe. S’appuyer sur les guides de l’ANSSI et, le cas échéant, sur des prestataires qualifiés permet de structurer efficacement cette trajectoire.
Conclusion
La cybersécurité énergétique n’est plus une option technique réservée aux experts : elle est devenue un pilier de la résilience nationale et une obligation réglementaire structurante pour tous les acteurs du système électrique. La numérisation des réseaux, indispensable pour intégrer les énergies renouvelables et piloter intelligemment la demande, élargit la surface d’attaque et impose une vigilance permanente sur l’ensemble de la chaîne — des compteurs communicants aux systèmes SCADA, en passant par la supply chain et les accès distants.
Les attaques réelles du passé l’ont prouvé : la menace contre les réseaux électriques est concrète, et la frontière entre le monde numérique et le monde physique du réseau peut être franchie. Face à ce constat, la directive NIS2, l’expertise de l’ANSSI et le soutien de l’ENISA dessinent un cadre exigeant mais cohérent, qui pousse les opérateurs à conjuguer prévention, détection et résilience.
Pour les décideurs du secteur, l’enjeu est double : se mettre en conformité dans les délais, mais surtout transformer cette contrainte réglementaire en une véritable culture de la sécurité, intégrée à la conception même des réseaux électriques intelligents de demain. La sécurité des smart grids n’est pas un frein à l’innovation : elle en est la condition de durabilité.
