L'industrie nucléaire est en retard dans la prévention du risque technologique, affirme un rapport publié lundi. Elle constitue même une cible particulièrement vulnérable aux cyberattaques, elles-mêmes de plus en plus répandues et sophistiquées.
Les acteurs de l'industrie nucléaire "commencent, mais ont du mal, à lutter contre cette nouvelle menace insidieuse", analyse le groupe de réflexion britannique Chatham House dans une étude reposant sur 18 mois d'enquête.
L'institut estime que les centrales nucléaires "manquent de préparation pour affronter une urgence en matière de cybersécurité, dans un incident de grande ampleur, et auraient du mal à coordonner une réponse adéquate".
En cause: un financement insuffisant de cette prévention, un manque de formation, de normes réglementaires et de culture de la cybersécurité, l'utilisation croissante du numérique dans les systèmes d'exploitation des centrales et le recours à des logiciels de série peu onéreux mais plus vulnérables au piratage, observe le rapport.
Stuxnet
Chatham House dénonce le "mythe répandu" selon lequel les centrales nucléaires seraient protégées parce qu'elles ne seraient pas connectées à Internet. Dans les faits, de nombreuses installations ont progressivement mis en place une forme de connectivité et leurs systèmes informatiques peuvent être piratés par des moyens parfois très simples.
Ainsi, le virus Stuxnet, qui avait perturbé le fonctionnement de sites nucléaires iraniens en 2010, avait été implanté au moyen d'un périphérique USB. Selon Chatham House, cette attaque est devenue une référence dans le monde des cybercriminels et leur a permis d'améliorer leur technique.
"Une fois que l'existence de Stuxnet a été connue, explique le rapport, les pirates à travers le monde se sont inspirés de son fonctionnement et ont incorporé certaines de ses fonctionnalités à leurs propres logiciels à visée malveillante".