Au-delà de la protection physique

Depuis près de 30 ans, le Service consultatif international sur la protection physique (IPPAS) de l’AIEA aide les pays en les conseillant sur la protection physique de tout type d’installation où sont utilisées des matières nucléaires et d’autres matières radioactives, y compris les centrales nucléaires et les unités de radiothérapie d’h?pitaux. Mais en raison des progrès technologiques, les systèmes numériques sont actuellement au c?ur du fonctionnement de ces installations, ce qui pose une myriade de nouveaux problèmes de sécurité nucléaire.

Face à la réelle menace de cyberattaques contre les installations, y compris les installations nucléaires, les attributions de l’IPPAS ont été étendues en 2012 pour couvrir la sécurité de l’information et la sécurité informatique aux fins de la protection physique. Depuis lors, un nombre croissant de pays demande ce module dans leur examen IPPAS pour appuyer leur lutte contre les menaces de cybersécurité.

Composante essentielle du programme de sécurité nucléaire de l’AIEA, l’IPPAS est un service consultatif qui examine les pratiques existantes des pays au regard des instruments internationaux pertinents et des orientations de l’AIEA sur la sécurité nucléaire. Il aide les pays qui en font la demande à renforcer leurs régimes, systèmes et mesures nationaux de sécurité nucléaire en les conseillant sur la mise en ?uvre des instruments juridiques internationaux.

? Vingt-sept années se sont écoulées depuis la première mission IPPAS. Le service a évolué pour répondre aux problématiques et besoins d’aujourd’hui ?, explique Heather Looney, cheffe de la Section de la sécurité nucléaire des matières et des installations au sein de la Division de la sécurité nucléaire de l’AIEA. ? La protection physique contre le vol, le sabotage ou l’utilisation non autorisée de matières nucléaires et d’autres matières radioactives passe par des mesures de sécurité informatique. Les pays qui invitent une mission IPPAS bénéficient de conseils sur les points à améliorer et la manière d’y parvenir ?, ajoute-t-elle.

L’IPPAS propose cinq modules : un examen national du régime de sécurité nucléaire pour les matières et installations nucléaires ; un examen des systèmes et mesures de sécurité dans les installations nucléaires ; un examen de la sécurité du transport de matières ; un examen de la sécurité des matières radioactives et des installations et activités associées ; et un examen de la sécurité de l’information et de la sécurité informatique. Depuis la première mision IPPAS en 1996, 97 missions ont eu lieu et 22 pays ont demandé l’inclusion du module sur la sécurité de l’information et la sécurité informatique dans l’examen IPPAS.

L’équipe IPPAS, composée d’experts internationaux en sécurité nucléaire, commence par examiner la manière dont les politiques nationales concernant les programmes de sécurité de l’information et de sécurité informatique ont été mises en place et gérées. Elle examine ensuite le cadre législatif et réglementaire en comparant les procédures et pratiques en place dans le pays avec les obligations spécifiées dans la Convention sur la protection physique des matières nucléaires et son amendement de 2005, et avec les orientations fournies dans les publications pertinentes de la collection Sécurité nucléaire de l’AIEA. Elle peut ainsi déterminer si le pays dispose des politiques et procédures nécessaires pour garantir un niveau de sécurité informatique suffisant dans les installations nucléaires et radiologiques critiques.

Au niveau de l’installation, l’examen de sécurité informatique porte sur la gestion de la sécurité informatique, le programme de sécurité informatique, le contr?le des accès, l’architecture de sécurité informatique défensive, ainsi que la détection des incidents de sécurité informatique et les mesures pour y faire face. L’équipe peut également évaluer des domaines transversaux tels que la gestion des risques, les approches graduées, la culture de sécurité nucléaire et la gestion des ressources humaines.

Le Japon a accueilli une mission IPPAS en 2015, puis sa mission de suivi en 2018. ? Il a été très utile pour le Japon d’examiner l’état actuel des mesures de sécurité informatique et de tenir compte des suggestions d’amélioration formulées par l’équipe ? estime Hiroyuki Sugawara, Directeur chargé de la sécurité nucléaire internationale à la Division de la sécurité nucléaire de l’Autorité de réglementation nucléaire japonaise (ARN). ? Pour donner suite aux conclusions de l’IPPAS, nous avons décidé de renforcer les mesures de sécurité informatique et d’augmenter le nombre d’inspecteurs spécialisés dans ce domaine. L’ARN a également commencé à tenir compte des menaces de sécurité informatique dans ses évaluations nationales des menaces et à exiger que les titulaires de licence prennent des mesures de sécurité informatique efficaces et améliorent le contenu de leurs plans de sécurité informatique en y ajoutant des contre-mesures contre les cyberattaques. ?

En France, à la suite d’une mission IPPAS en 2018, une plus grande place a été faite à la sécurité informatique dans le cadre national de sécurité nucléaire. ? La mission IPPAS a nécessité un engagement fort des diverses parties prenantes, et donné l’occasion à la France de consolider son régime de sécurité nucléaire et de stimuler sa mise en ?uvre ?, explique Frédéric Bo?n, chef de projet de sécurité informatique au Ministère de la transition énergétique, Direction de la défense et de la sécurité, Bureau de la sécurité nucléaire. ? Le personnel de sécurité informatique a été renforcé et des lignes directrices réglementaires ont été établies conformément aux normes internationales et aux orientations de l’AIEA sur la sécurité nucléaire. ?

L’AIEA gère depuis 2016 la base de données des bonnes pratiques de l’IPPAS pour partager les conclusions de ces missions avec la communauté internationale de la sécurité nucléaire et améliorer ainsi les résultats de l’aide offerte par l’AIEA aux pays du monde entier. ? L’alimentation de cette base de données et le partage de ces exemples font que les missions IPPAS ont des retombées hors du pays h?te dans toute la communauté internationale de sécurité nucléaire, et démultiplient l’incidence de l’aide que l’AIEA propose à ses états Membres ?, explique M^me Looney.

La majorité des bonnes pratiques nationales concerne la gestion de la sécurité nucléaire, pierre angulaire de la sécurité et de la coordination informatiques. En outre, les états Membres ont accès, par l’intermédiaire de leurs points de contact désignés, à 40 bonnes pratiques de sécurité informatique, applicables tant au niveau des états que des installations.

L’AIEA continue d’aider les pays à renforcer leur régime national de sécurité nucléaire et la demande de missions IPPAS pour 2023 et 2024 reste élevée.