Intervention de Bernard Lassus

Nous travaillons avec l'Agence nationale de sécurité des systèmes d'information (ANSSI), qui a élaboré un ensemble de recommandations et une méthodologie, pour évaluer les risques associés à la mise en place des compteurs communicants. Cette démarche commence par une analyse des risques, grâce à la méthode EBIOS, qui permet de définir de façon très fine l'ensemble des risques susceptibles de survenir. Nous en avons ainsi identifié six ou sept. À partir de là, il s'agit de préciser un ensemble d'actions de couverture. Ainsi, un matériel ne peut être installé chez des personnes que s'il a été certifié par l'ANSSI, qui vérifie la question du hackage (piratage) physique. Une cryptologie intervient ensuite, entre le compteur et le concentrateur, pour protéger les données, bien que ces dernières n'aient, ainsi que l'a précisé mon collègue de GrDF, aucune valeur personnelle, mais ne concernent que des localisations, et des niveaux de consommation. Enfin, dans les concentrateurs se trouve un secure element (dispositif de sécurité), pour protéger l'ensemble du dispositif et éviter toute attaque vers le système d'information, avec des mémoires qui s'effacent en cas de détection d'intrusion. Le système d'information, qui est l'élément le plus crucial, se situe lui-même dans une sphère et des locaux totalement sécurisés, sur le modèle du domaine du nucléaire, pour éviter tout hacking.

Il faut, vis-à-vis de la cybersécurité, être modeste. Je pense que l'un des avantages du dispositif que nous proposons est d'être évolutif. Tous les logiciels peuvent être mis à jour pour réagir face à la créativité des personnes susceptibles de s'attaquer à nos installations. Il s'agit d'une course sans fin, et nous travaillons avec des professionnels pour, sans cesse, faire progresser ces dispositifs de protection. C'est absolument nécessaire.

Je tiens à souligner que nous n'avons pas encore subi la moindre attaque sur ces matériels, ce qui ne signifie pas, pour autant, qu'aucune ne surviendra dans l'avenir.