En qualité d'ingénieur, je me dois de vous dire que les systèmes ne sont pas hermétiques à 100 %. Les moyens de communication sont extrêmement limités. La seule règle de séparation hermétique réside entre les moyens de sûreté et les moyens de contrôle des commandes du coeur.
Vous avez entièrement raison, les anciennes centrales sont protégées par leur obsolescence numérique. C'est ce que l'on rencontre dans de nombreux secteurs. Les très vieux systèmes ne sont pas attaquables, car ils sont encore électromécaniques, il n'y a pas d'informatique au sens moderne du terme. Pour les systèmes du futur, tel l'EPR, il faut impérativement prendre en compte la sécurité numérique en amont, dès la conception des systèmes, pour concevoir les architectures en pensant à la sécurité numérique dès l'origine et dans le temps.
Je parle d'une façon générique ; nous sommes plus inquiets pour les systèmes modernes qui n'ont pas été conçus en prenant en compte la sécurité numérique. De tels systèmes qui comportent beaucoup d'informatique et qui ne sont pas encore protégés sont une aubaine pour les attaquants. De ce point de vue, nous serons confrontés à des difficultés à l'avenir.
Dans le cas du nucléaire, la question de l'EPR a été identifiée dès l'origine. Nous n'avons pensé qu'à cela, l'ANSSI n'est pas seule dans ce cas, EDF en avait eu l'idée. Le travail que nous avons mené conjointement avec elle s'est avéré extrêmement positif. C'est un projet qui s'est inscrit au bon moment. Je place l'EPR dans la catégorie des systèmes futurs qui ont été « cybersécurisés » par conception. C'est plutôt très rassurant. Entre les deux zones de risque, on trouve des paliers de centrales existantes. Certains systèmes de commande contrôle de centrales ont été numérisés. C'est ce que nous avons vérifié dans le cadre des audits ; nous sommes plutôt sereins.
Les améliorations légères que nous avons souhaitées sur des zones qui ne font pas l'objet d'attaques directes et au titre desquelles nous voulions encore progresser en sérénité ont été prises en compte par EDF dans les centrales en exploitation.
Stuxnet date de 2010. Nous avons commencé à réaliser des audits à EDF en 2012, les deux questions ne sont pas totalement décorrélées. Nous nous sommes dit qu'il ne faudrait pas que de telles attaques aient lieu en France sur des centrales nucléaires. Stuxnet est passé à l'attaque en Iran. Il s'agissait probablement d'une très grosse opération de contre-prolifération pour empêcher le développement du nucléaire militaire iranien. Personne n'a avoué en être l'auteur, mais certains arborent un grand sourire quand on en parle, ce qui n'est pas loin d'être un aveu.
Des centrifugeuses qui enrichissent du combustible à des fins militaires et qui sont des machines mécaniques contrôlées par l'informatique ont été attaquées de manière informatique. Pendant trois ans – je ne cite en l'occurrence que des sources ouvertes –, les centrifugeuses ont connu des pannes et des casses. Si l'on prend le contrôle à distance d'une centrifugeuse, qu'on l'accélère et on la freine suffisamment de fois, elle finit par casser. Ce qui est assez incroyable dans le cas de Stuxnet, c'est que les centrifugeuses en question étaient totalement déconnectées d'internet. Mais des clés USB circulaient des centrifugeuses à des systèmes plus classiques connectés à des messageries et donc à internet. Autrement dit, il est raisonnable de penser que les attaquants, par une suite de virus, dont Stuxnet, ont réussi, grâce à des clés USB, à prendre la main sur les systèmes de commande de contrôle, ces automates industriels qui gèrent les centrifugeuses.
L'opération était très discrète et pendant trois ans s'est révélée très efficace ; toutefois, à un moment donné, le virus s'est « échappé ». C'est ainsi que nous l'avons retrouvé dans de nombreux pays où il n'a rien cassé, car il était conçu pour cibler des sites précis. Cela dit, il a joué le rôle de révélateur ; nous avons réalisé que les systèmes industriels que nous anticipions comme des cibles futures étaient déjà des cibles pour les attaquants, probablement les plus compétents au monde. Nous en avons déduit que si ces derniers savaient attaquer aujourd'hui, d'autres sauraient le faire demain. En 2010, Stuxnet a réorienté une part élevée de notre politique vis-à-vis des secteurs d'importance vitale. Une attaque de type Stuxnet est le scénario typique que nous voulons empêcher et que nous prenons en compte dans le cadre de nos audits.