« Si le cadre réglementaire s'est progressivement renforcé, certains risques demeurent insuffisamment pris en compte dans les études de dangers, notamment la cybersécurité et les interférences entre risques naturels et technologiques,en particulier dans un contexte de changement climatique », pointe la Cour des comptes dans un rapport (1) publié jeudi 1er février.
La question de la cybersécurité dans les installations classées (ICPE) semble en effet constituer un angle mort de la gestion des risques industriels. L'étude de dangers que les exploitants sont tenus de réaliser dans le cadre de leur dossier de demande d'autorisation doit préciser les risques auxquels leur installation peut exposer les personnes ou l'environnement en cas d'accident, que la cause en soit interne ou externe. Des exigences supplémentaires sont requises pour les établissements relevant de la directive Seveso, dans la mesure où cette étude doit permettre d'établir une politique de prévention des accidents majeurs et de fournir les éléments nécessaires à l'élaboration des plans d'urgence (POI (2) , PPI) et des mesures de maîtrise de l'urbanisation, notamment à travers les plans de prévention des risques technologiques (PPRT).
Mais, relève la juridiction financière, l'arrêté du 26 mai 2014 relatif à la prévention des accidents majeurs dans les établissements Seveso autorise les exploitants à ne pas prendre en compte certains événements externes « en l'absence de règles ou instructions spécifiques ». Parmi ces événements externes, laissés de côté, figurent les actes de malveillance.
Pas de modification de la réglementation
Le Gouvernement les a toutefois pris en compte depuis, à travers l'instruction dite Hulot-Colomb du 6 novembre 2017 qui avait limité la diffusion au public de données sensibles après l'attentat terroriste survenu sur le site de la société Air Products, à Saint-Quentin-Fallavier (Isère), et les incendies criminels dirigés contre le site pétrochimique de LyondellBasell, à Berre-l'Étang (Bouches-du-Rhône). Cette instruction a été abrogée et remplacée par une nouvelle, le 12 septembre 2023. Mais ces circulaires, qui posent par ailleurs la question de la conciliation des exigences d'information du public et de sûreté, ne traitent pas du risque cyber.
Finalement, la prise en compte de la malveillance dans les analyses de risques, qui ne visait d'ailleurs pas explicitement la cybersécurité, n'a pas figuré parmi les modifications apportées à la réglementation après l'accident de Lubrizol.
La DGPR non compétente
La direction générale de la Prévention des risques (DGPR), qui relève du ministère de la Transition écologique, a d'ailleurs indiqué aux magistrats financiers qu'elle n'avait pas de compétence juridique en matière de cybersécurité. « Cette thématique [n'est] ainsi prise en compte ni au niveau des études de dangers ni lors de ses inspections », constate la Cour des comptes.
La question de la sûreté des établissements est toutefois prise en considération à travers le dispositif de sécurisation des activités d'importance vitale (SAIV). Si celui-ci s'accompagne d'un suivi de l'Agence nationale de la sécurité des systèmes d'information (Anssi), relèvent les auteurs du rapport, il est toutefois limité à certains établissements Seveso et reste fondé sur « l'importance du site pour la continuité des activités de la nation (alimentation, énergie) et non de l'exposition aux cybermenaces ».
Le risque n'est pourtant pas qu'hypothétique. Le Bureau d'analyse des risques et pollutions industrielles (Barpi), qui relève de la DGPR, s'est penché sur la question en publiant, dès 2019, une étude (3) , ainsi qu'un flash (4) relatant certains événements survenus dans les installations. « Aujourd'hui, les usines sont de plus en plus automatisées. Les échanges d'informations sur les réseaux de télécommunications sont en outre croissants. Tout le monde s'accorde ainsi à dire qu'il existe un "risque (…)" », affirmait le Barpi. Parmi les événements recensés figurait l'attaque informatique d'une station d'épuration avec un logiciel de cryptomonnaie.
Dans son panorama (5) général sur la cybermenace pour l'année 2022, l'Agence nationale de la sécurité des systèmes d'information (Anssi) a souligné que la menace « se [maintenait] à un niveau élevé en se déportant sur des entités moins bien protégées ».
Pourtant, la Cour des comptes n'a pas jugé utile de formuler une recommandation sur le sujet, malgré les insuffisances relevées. Elle fait toutefois état de travaux menés par la DGPR et l'Institut national de l'environnement industriel et des risques (Ineris), ainsi qu'avec l'Anssi dans le cadre de la directive du 14 décembre 2022 destinée à assurer un niveau élevé de cybersécurité dans l'UE, dite Network and Information System Security (NIS 2). Un texte qui doit être transposé par les États membres avant le 17 octobre 2024 et qui devrait permettre de « renforcer le pouvoir de supervision de l'Anssi et d'élargir son champ d'action à un plus grand nombre d'ICPE », selon la DGPR.