Intervention de Louis-Michel Guillaume

Pour répondre sur la cybersécurité et la plateforme HYDRA, il faut rappeler que l'arrivée de l'IRSN dans le domaine de la cybersécurité est assez récente puisque le bureau qui s'en occupe a été créé en 2017 et a atteint son plein effectif fin 2018 - début 2019.

Très vite, l'idée est venue que, dans le domaine du nucléaire et pour d'évidentes raisons de sûreté, il n'était pas possible de tester des installations réelles mais tout au plus des simulateurs. Il fallait donc développer un concept qui permette de simuler des installations et de procéder à des recherches de vulnérabilité et de cyberprotection.

Une solution a été développée entre 2019 et maintenant, avec l'aide d'Airbus Cybersécurité, à partir d'un matériel surtout utilisé dans le domaine de la formation. Il est photographié dans le rapport à la page 33 : il s'agit un petit caisson, sur roulettes et transportable, qui permet, à l'aide de serveurs, de simuler différents composants, par exemple ceux d'un contrôle commande.

La première étude que l'IRSN a mise en place a justement repris l'architecture logicielle d'un contrôle commande pour faire des recherches de vulnérabilité et voir s'il était possible de simuler des scénarios de cyberattaque. Cette étude est toujours en cours. Lorsqu'elle sera terminée, nous la partagerons avec le Haut fonctionnaire de défense et de sécurité du ministère de la transition écologique, qui est l'autorité de sécurité nucléaire, et vraisemblablement avec les exploitants.

L'intérêt de cette plateforme est qu'elle est hybride, c'est-à-dire que l'on peut faire de la simulation logicielle mais aussi la raccorder à des équipements réels. L'Institut s'intéressera à ce deuxième axe de travail, par exemple avec l'étude des vulnérabilités des systèmes de protection à base de caméras ou de capteurs variés. Il sera possible de raccorder des capteurs réels sur un système qui simulera l'architecture logicielle d'un système de protection. Nous y travaillons et les premiers résultats sont très prometteurs.

Je souligne donc qu'en quasiment deux ans, nous avons réussi à passer de la feuille blanche à une première phase de réalisation concrète. Ces travaux revêtent évidemment une certaine confidentialité mais commencent à être reconnus. Certaines personnes se rapprochent de nous parce qu'elles souhaitent travailler avec nous. Le monde de la cybersécurité est tout de même un très petit monde. En croisant le domaine de la cybersécurité avec celui du nucléaire, les effectifs compétents sont encore plus réduits.

Les débuts sont donc très prometteurs : de premiers résultats sont disponibles sur le contrôle commande et demain, probablement, sur les systèmes de sécurité et protection. Nous développons par ailleurs une réflexion sur la manière de travailler, des partenariats et coopérations avec des personnes qui auraient les mêmes objectifs que nous.