Electrabel ne protège pas suffisamment ses documents sensibles

Un audit pointe du doigt de nombreux manquements dans la façon dont Electrabel assure la sécurité de ses documents classés confidentiels, voire secrets. A l'exception d'une unité, la gestion des documents ne correspond pas à ce qu'exige la loi, relève le rapport dont font également état les journaux Sudpresse. Electrabel avait déjà reçu un avertissement en janvier 2015 de l'organisation non gouvernementale NTI (Nuclear Threat Initiative) qui avait donné une cote de 0 à la Belgique en termes de cybersécurité nucléaire.

L'audit a été remis à l'opérateur le 4 juin 2016 en vue d'un contrôle de l'Agence Fédérale de Contrôle Nucléaire (AFCN). Il porte sur les 5 unités en charge du secteur nucléaire: Corporate Production Nucléaire, Corporate Security, Electrabel Corporate Nuclear Safety Department (ECNSD) et les sites de Doel et de Tihange.

Pas moins de 26 non-conformités (major non conformity) sont relevées, c'est-à-dire des manquements à des obligations légales, des normes de gestion ou de référence. "Nous pouvons en conclure que la gestion des documents avec traitement légalement réglementé, à l'exception d'ECNSD, ne satisfait encore à aucun niveau à cette législation et que des actions appropriées sont nécessaires", conclut l'audit.

Les manquements varient d'un site à l'autre. Parmi les points saillants, figure un problème avec les sous-traitants à Doel. Une firme disposait de tous les nouveaux plans de "Site Security" à l'insu d'Electrabel.

Points faibles

Le rapport épingle par ailleurs un équipement incomplet des locaux à accès restreint et protégé où sont conservés les documents confidentiels ou secrets, notamment l'absence de déchiqueteuse ou de PC et imprimantes autonomes.

Il relève la modification non systématique des codes d'accès aux coffres et aux locaux en cas de changement de personnel. Il note l'absence d'information dans plusieurs cas de l'officier de sécurité de la destruction de certains documents.

Dans deux unités, il relève l'absence de fiches de suivi individuelles ou de journal disponible garantissant la traçabilité d'un document confidentiel. Certains documents ont en outre été mal enregistrés ou la mention "confidentiel" n'était pas libellée sur chaque page.

L'audit relève aussi un problème d'identification des personnes responsables des différentes tâches de sécurité au sein de la Corporate Production nucléaire. "Les rôles et responsabilités ne sont pas bien connus et ne sont pas attribués depuis la récente modification de l'organisation", dit-il.

Problème de cybersécurité

Ecolo a réclamé mercredi l'audition de l'auteur de l'audit sur la protection des documents confidentiels chez Electrabel et de l'Agence Fédérale de Contrôle Nucléaire (AFCN) au plus vite. Selon les Verts, ce document montre clairement qu'il y a un problème de cybersécurité dans les centrales nucléaires belges.

Electrabel avait déjà reçu un avertissement en janvier 2015 de l'organisation non gouvernementale NTI (Nuclear Threat Initiative) qui avait donné une cote de 0 à la Belgique en termes de cybersécurité nucléaire. Le ministre de l'Intérieur, Jan Jambon, avait alors relativisé les constats posés.

"Nous exigeons un changement fondamental de philosophie en matière de cybersécurité. La sécurité des citoyens doit primer sur la rentabilité d'Electrabel. La menace de cyberattaques doit être prise au sérieux", indique le parti écologiste.

Electrabel se défend

"Electrabel regrette que des informations partielles sorties de leur contexte puissent entacher le sérieux et le professionnalisme de ses équipes", a réagi la société.

"Electrabel dans un souci d'amélioration continue de l'ensemble de ses processus internes effectue d'initiative, en permanence et tout au long de l'année des audits", explique l'entreprise, qui confirme avoir mené en 2014-2015 un audit concernant l'amélioration de la gestion de documents. Cet audit, clos en juin 2015, aurait permis d'identifier "une série d'actions" qui auraient été "adressées" progressivement au cours de l'année suivante. "Une réponse adéquate a été apportée, le dossier est en voie de clôture", a ajouté une porte-parole.