Un audit interne d’Electrabel est arrivé entre les mains du député fédéral Ecolo Jean-Marc Nollet. Il y pointe 26 manquements en matière de cybersécurité. Alors que le député réclame l’audition de l’auditeur ainsi que celle de l'Agence Fédérale de Contrôle Nucléaire (AFCN), Electrabel a démenti toute fuite au micro de Justine Sow et Michaël Harvie dans le RTLinfo 13H.
"Non, aucun document confidentiel ne s’est retrouvé dans la nature. Les gens qui doivent avoir accès et peuvent avoir accès à certains documents sont habilités par les autorités et aucune autre personne n’a accès à ce genre d’information", a réagi Anne-Sophie Hugé, la porte-parole d’Electrabel.
Une situation de 2014 à laquelle Electrabel termine de remédier
Selon la société, toutes les mesures nécessaires ont déjà été prises pour justement corriger les manquements que l’audit en question, datant de 2014, avait pointés. "Tous les points que nous avons identifiés dans l’étude interne ont été adressés dans l’année qui a suivi. Je rappelle que l’audit a été réalisé il y a un an et demi." Officiellement, pour Electrabel, "le dossier est en voie de clôture". L'AFCN précise que si l'audit date de juin 2015, il décrit en effet la situation constatée par l'entreprise il y a un an et demi.
L'AFCN contrôlera Electrabel en 2017
L'organe de contrôle, qui veille au respect des obligations réglementaires, a planifié des inspections sur le thème de la gestion des documents sensibles à partir de 2017 et aura alors "une vue très concrète des améliorations menées par Electrabel depuis lors", ajoute-t-il. En cas de manquements, l'AFCN veillera à ce qu'Electrabel y remédie "aussi rapidement que possible".
Ecolo veut que la Chambre s'intéresse au problème
Cet audit "révèle qu’il y a de multiples failles dans le système informatique d’Electrabel", rappelle Jean-Marc Nollet. "En matière de cybersécurité, les centrales nucléaires ne sont manifestement pas suffisamment protégées", conclut-il. Voilà pourquoi il réclame l'audition de l'auditeur qui a réalisé ce rapport pour Electrabel ainsi que celui de l'Agence Fédérale de Contrôle Nucléaire le plus rapidement possible. Ecolo a d’ailleurs transmis l'audit dès mardi soir au président de la sous-commission "sécurité nucléaire" de la Chambre.
Une ONG avait déjà pointé du doigt les problèmes de cybersécurité de nos centrales
Electrabel avait aussi reçu un avertissement en janvier 201 de l'organisation non gouvernementale NTI (Nuclear Threat Initiative) qui avait donné une cote de 0 à la Belgique en termes de cybersécurité nucléaire. Le ministre de l'Intérieur, Jan Jambon, avait alors relativisé les constats posés. "On le constate aujourd'hui crûment: la loi du silence qui entoure tous les dossiers nucléaires ne sert pas la sécurité des citoyens", dénonce M. Nollet. "Non seulement la loi n'est pas respectée, mais des documents ultra-confidentiels circulent à l'insu d'Electrabel. C'est d'autant plus inquiétant que des gens mal intentionnés pourraient se servir de ces informations. Nous exigeons un changement fondamental de philosophie en matière de cybersécurité. La sécurité des citoyens doit primer sur la rentabilité d'Electrabel. La menace de cyberattaques doit être prise au sérieux", a expliqué le député.
Quels manquements précis sont révélés dans l'audit?
L’audit porte sur les 5 unités en charge du secteur nucléaire: Corporate Production Nucléaire, Corporate Security, Electrabel Corporate Nuclear Safety Department (ECNSD) et les sites de Doel et de Tihange. Les 26 non-conformités relevées, c'est-à-dire des manquements à des obligations légales, concernent des normes de gestion ou de référence.
Les manquements varient d'un site à l'autre. Parmi les points saillants, figure un problème avec les sous-traitants à Doel. Une firme disposait de tous les nouveaux plans de "Site Security" à l'insu d'Electrabel. Le rapport épingle par ailleurs un équipement incomplet des locaux à accès restreint et protégé où sont conservés les documents confidentiels ou secrets, notamment l'absence de déchiqueteuse ou de PC et imprimantes autonomes. Il relève la modification non systématique des codes d'accès aux coffres et aux locaux en cas de changement de personnel. Il note l'absence d'information dans plusieurs cas de l'officier de sécurité de la destruction de certains documents. Dans deux unités, il relève l'absence de fiches de suivi individuelles ou de journal disponible garantissant la traçabilité d'un document confidentiel. Certains documents ont en outre été mal enregistrés ou la mention "confidentiel" n'était pas libellée sur chaque page. L'audit relève aussi un problème d'identification des personnes responsables des différentes tâches de sécurité au sein de la Corporate Production nucléaire. "Les rôles et responsabilités ne sont pas bien connus et ne sont pas attribués depuis la récente modification de l'organisation", dit encore le rapport, dévoilé ce matin en détail dans Sud Presse.
Vos commentaires