Smart Grid et sécurité : La Californie s’inquiète et agit


Au début de ce mois d’Aout, au Cesar’s Palace à Las Vegas,  se tenait la Back Hat Conférence, le plus grand rassemblement d’experts et de hackers sur le thème de la sécurité des réseaux, des systèmes et des données informatiques. Mike Alperovitch vice Président de McAfee, maintenant filiale de Intel, présentait un rapport de 15 pages indiquant que 72 organisations internationales, des gouvernements, des entreprises et même les Nations Unies et le Comite Olympique International ont depuis plus de 5 ans, subit des intrusions de leurs systèmes informatiques, audacieuses et parfaitement organisées, apparemment d’une même et unique origine, qui ont permis de détourner d’énormes masses de données dont on ne sait pas quelle utilisation en sera faite. Certaines attaques ont été très brèves, quelques semaines, d’autres ont duré plusieurs mois, voire plusieurs années. « Que vont devenir toutes ces données s’interroge le rapporteur. Si même une petite partie d’entre elle est utilisée pour élaborer des produits concurrents ou bien comme informations stratégiques dans des discussions importantes, elles représentent une énorme menace économique… »  Si aucun nom n’a été officiellement cité jusque là, beaucoup d’indices portent les soupçons sur la Chine, pour qui ce genre de pratique d’intelligence économique semble aller de soi.

Une prise en compte au niveau fédéral américain

Peu de temps avant que cette découverte ne soit portée au grand jour, le Smart Grid Virtual Summit organisé à l’initiative de Cisco (qui utilisait Webex pour diffuser les conférences) pendant 2 jours sur le Web  à la fin du mois de juin, réunissait quelques dizaines de spécialistes du sujet pour aborder les nombreux aspects techniques, économiques et sociaux du développement du smart grid, principalement aux Etats Unis. Une demi-journée était entièrement consacrée aux problèmes de securité du smart grid et l’un des intervenants, Larry Karinsky, directeur du Cluster Project Safety mentionnait au cours d’un panel que depuis plusieurs mois, des personnalités dont Vinton Cerf, commissaire de la  Broadband Commission for Digital Development, Bob Lockhart analyste chez Pike Research ou encore Andy Bochman, chargé des problème de sécurité chez IBM et fondateur du blog Smart Grid Security ont dejà lancé des alertes sur la nécessaire prise en compte de la sécurité. Du côte de l‘administration américaine, le président Obama a très clairement indiqué en 2009 que le Smart Grid est vu comme une nouvelle plateforme d’innovation pour les entreprises américaines, mais son développement est très fragmenté car chaque société développe à son niveau des appareils et des technologies qui ne se parlent pas entre elles, comme ce fut le cas dans le monde de l’informatique personnelle. Mais plutôt que de reprendre l’approche de marché qui a prédominé lors de l’arrivée de l’informatique personnelle au grand profit de Microsoft, Obama développe une démarche plus proche de la démarche Européenne qui cherche à créer les normes d’interopérabilité avant même que les produits n’existent. Il a ainsi mis en place une plateforme ouverte de standards de façon à ce que les applications puissent fonctionner partout, plutôt que de développer un système d’exploitation de base.

Un retour sur investissement entre 2,8 et 6

Conscient des risques encourus, mais incapable pour l’instant de les identifier avec précision, Lee Kreva, directeur du projet Smart Grid de San Diego Gas & Electicity précisait: « Le smart grid s’appuie sur les technologies de l’information et nous courons le risque que ça aille très très vite… Nous ne pouvons pas prévoir où ça va aller… »  L’EPRI (Electric Power Research Institute) vient de publier une analyse coût/avantage du développement du smart grid aux Etats Unis. Le coût d’investissement et de développement des technologies nécessaires pour implémenter le smart grid aux Etats Unis serait de 338 à 476 milliards de dollars, pour un retour sur investissement compris entre 1,3 et 2 trillons de dollars. La même estimation réalisée en 2004 prévoyait un coût d’investissement et de développement à 168 milliards de dollars entre 2010 et 2030. Le retour sur investissement n’était pas mentionné à cette époque… mais le rapport citait simplement le coût des pannes et des disfonctionnements du système électrique américain (entre 104 et 164 milliards de dollars par an) ajouté aux 15-25 milliards de dollars supplémentaires dus à la mauvaise qualité de la puissance électrique.

La Californie veut protéger les consommateurs

Mais les consommateurs ne sont guère sensibilisés au smart grid. PG&E, la plus importante compagnie Californienne a déjà installé plus de 7,8 millions de compteurs intelligents et s’est fixé le chiffre de 10 millions d’ici 2012. Kevin Dasso, senior director du smart grid chez PG&E constate : « c’est un concept qu’ils ne comprennent simplement pas, nous sommes donc confrontés à un problème d’éducation à la base. La plupart des consommateurs ne pensent pas à l’électricité qu’ils consomment, sauf peut-être lorsqu’il y a des coupures de courant ou lorsqu’ils reçoivent leur facture d’électricité. » Après avoir requis l’année dernière leur vision du smart grid d’ici 2020 aux trois principales compagnies d’électricité Californiennes, la California Public Utilities Commission a reçu le 1er juillet dernier leurs propositions d’objectifs  et un planning de leurs stratégies pour atteindre les buts fixés. Le « compteur intelligent » peut connaitre la consommation en temps réel, certains compteurs peuvent même parler à des puces dans des « appareils électroménagers intelligents » via les réseaux de télécommunications fixes ou cellulaires. Ces appareils électroménagers peuvent même être contrôlés à distance par un simple téléphone cellulaire via le « smart meter » qu’ulitlise la compagnie d’electricité pour connaitre et contrôler la consommation dans la maison. Non seulement la sécurité sur les réseaux est loin d’être parfaite et certaines données peuvent intéresser les escrocs en tous genres, mais toutes ces données recueillies sur la manière dont consomment les ménages ont une valeur marketing importante. La grande question est de savoir qui possède ces données et qui aura  le droit de les utiliser ?  « Il y a pas mal de soucis au niveau fédéral explique Ernie Hayden, Responsable de la sécurité pour l’énergie chez Verizon, parce qu’on se rend compte que personne ne tient réellement la sécurité électrique sur le smart grid. » Il n’existe en effet aucune instance chargée de ces problèmes au niveau fédéral ou au niveau régional. Les seules qui ont une responsabilité au niveau local dit-il sont les Public Utility Commission

Une première législation sur la sécurité

Le 28 juillet dernier, la CPUC adoptait donc une décision dont le but est de standardiser les dispositions de privauté des données mesurées, et la sécurité des prix et des données d’usages pour les 3 grandes compagnies californiennes, PG&E, Southern California Edison et San Diego Gas & Electricity, ainsi que pour toutes les sociétés qui peuvent avoir accès aux données des consommations électriques des clients de ces sociétés. Cette décision de 171 pages qui avait été déposée en décembre 2009 impose désormais aux compagnes d’électricité de fournir aux consommateurs une mise à jour quotidienne des principales composantes du marché, minute par minute, comportant usage, prix et coûts. Les compagnies ont 90 jours pour faire des propositions afin de se conformer à ces nouvelles règles. Michael Peevey, président de la CPUC indiquait « les règles et les politiques que nous avons adoptées sont les premières dans ce pays et devraient servir de modèle au niveau national. Elles sont conformes aux principes adoptés par le Département Homeland Security et aux décisions 1478 du Sénat. » Les consommateurs auront donc un accès direct aux informations de prix et d’usages. « C’est une trame solide pour établir un équilibre entre la protection de la vie privée des consommateurs et la stimulation d’un nouveau marché pour des tierces parties. » indiquait Mark Ferron, commissaire à la CPUC.

Un modèle de développement

Le modèle californien est clair, d’un côté, on assure une certaine protection de la vie privée des consommateurs et la sécurité des données, mais de l’autre, on donne les moyens au marché de se développer plus rapidement en suscitant un foisonnement de sociétés tierces qui pourront apporter leur technologies et leur savoir faire sur le marché pour y développer nouveaux produits et nouveaux services. L’attitude du consommateur semble à priori beaucoup plus considérée en Californie qu’en France puisqu’il pourra plus librement choisir les technologies, les produits et des services qui se présenteront pour peu qu’ils respectent les termes de la décision sur la securité des données et la vie privé. Rappelons que ces technologies doivent aussi s’incorporer dans la plateforme d’interopérabilité définie par les instances nationales. Toute enfreinte, dont les conditions sont définies dans la décision de la CPUC, sera portée devant la commission qui devient maintenant l’agence responsable de la sécurité sur le smart grid, au niveau de l’Etat de Californie. Ce problème n’est pas encore vraiment adressé dans les 25 autres états qui ont commencé à mettre en oeuvre des politiques actives de déploiement de compteurs intelligents pour les foyers, les entreprises et des zones urbaines entières. Plusieurs problèmes ont déjà surgis dans cette nouvelle « bulle » silencieuse.

Les problèmes sont nombreux

En 2009 à Seattle, la société IOActive, société de consulting dans la securité, a montré qu’il était possible d’injecter des virus dans un smart meter générique de type AMI (Advanced Metering Infrastructure), virus donnant à un hacker le contrôle d’une partie ou de la totalité du smart grid, lui permettant de couper instantanément l’électricité dans des zones urbaines entières, ou bien plus spécifquement, de couper tous les téléviseurs connectés à un moment donné ou encore de s’attaquer à des secteurs critiques, industriels ou de l’administration en coupant l’électricité. Certains compteurs intelligents mis sur le marché disposent, selon les brochures marketing, d’un système d’encryption sophistiqué. Il s’agit en fait d’un simple mot de passe d’authentification. Les atteintes à la vie privée sont aussi une preoccupation montante au sein des Etats qui jusqu’à présent se sont plutôt occupé de définir des plans de développement. « Aujourd’hui explique Ernie Hayden de Verizon, tous les constructeurs, les fabricants de matériels et les grands distributeurs d’électricité disent qu’ils sont très concernés par la sécurité et la vie privée des consommateurs, mais personne n’est là pour le constater , le vérifier et le faire respecter! »

Explore posts in the same categories: applications municipales, energie, Etats Unis, Usages et services

Étiquettes : , , , ,

You can comment below, or link to this permanent URL from your own site.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s


%d blogueurs aiment cette page :