Face à la multiplication des menaces hybrides et des cyberattaques, la protection des infrastructures énergétiques critiques est devenue une priorité absolue pour les États. La récente sabotage des gazoducs Nord Stream en mer Baltique a mis en lumière la vulnérabilité de ces installations stratégiques. Cette fragilité soulève des questions juridiques complexes touchant à la fois au droit international, à la responsabilité des opérateurs privés et à la souveraineté nationale. Le cadre normatif actuel, entre directives européennes et dispositifs nationaux, peine parfois à s’adapter à l’évolution rapide des risques. Examinons les mécanismes juridiques existants et les perspectives d’évolution pour garantir la résilience de notre patrimoine énergétique face aux défis contemporains.
Cadre juridique international et européen de la protection des infrastructures énergétiques
Le droit international public constitue le socle de la protection des infrastructures énergétiques transfrontalières. La Convention des Nations Unies sur le droit de la mer (CNUDM) de 1982 établit des règles concernant la protection des installations sous-marines, notamment des pipelines et des câbles. Son article 113 impose aux États l’obligation d’adopter les lois nécessaires pour sanctionner les dommages causés aux câbles sous-marins. Toutefois, ces dispositions restent souvent insuffisantes face aux menaces contemporaines, particulièrement dans les zones de haute mer où la juridiction est limitée.
Au niveau européen, la Directive NIS (Network and Information Security) de 2016, révisée en 2022 avec la Directive NIS 2, représente une avancée majeure. Elle impose aux opérateurs de services essentiels, dont les fournisseurs d’énergie, des obligations de sécurité et de notification des incidents. Cette directive a été complétée par le Règlement sur la cybersécurité de 2019 qui renforce le mandat de l’ENISA (Agence européenne pour la cybersécurité) et établit un cadre de certification.
La Directive 2008/114/CE relative à la désignation et à la protection des infrastructures critiques européennes mérite une attention particulière. Elle a instauré une procédure d’identification des infrastructures critiques européennes (ICE) et une approche commune pour évaluer la nécessité d’améliorer leur protection. Dans le secteur énergétique, cette directive a conduit à l’identification de nombreuses installations transfrontalières dont la défaillance aurait des répercussions significatives sur plusieurs États membres.
Limites du cadre juridique actuel
Malgré ces avancées, le cadre juridique international présente des lacunes notables :
- L’absence de mécanismes contraignants pour l’attribution des cyberattaques
- La fragmentation des régimes juridiques applicables selon la localisation des infrastructures
- L’inadéquation des règles traditionnelles face aux menaces hybrides
- La difficulté à qualifier juridiquement certaines atteintes en dessous du seuil d’un conflit armé
Le Traité sur le fonctionnement de l’Union européenne (TFUE) reconnaît dans son article 194 que la politique énergétique relève d’une compétence partagée entre l’Union et les États membres. Cette répartition des compétences complexifie parfois l’adoption de mesures harmonisées. Les États conservent une marge de manœuvre considérable dans la définition des modalités concrètes de protection de leurs infrastructures énergétiques, ce qui peut créer des disparités dans les niveaux de sécurité à l’échelle du continent.
Responsabilité juridique des opérateurs et obligations de sécurité
Les opérateurs d’infrastructures énergétiques critiques sont soumis à un régime de responsabilité particulier qui s’articule autour d’obligations préventives et réactives. Le Code de l’énergie français, par exemple, impose aux exploitants l’élaboration de plans de sécurité d’opérateur (PSO) détaillant les vulnérabilités et les mesures de protection mises en œuvre. La non-conformité à ces obligations peut entraîner des sanctions administratives et pénales, allant de l’amende à la fermeture temporaire de l’installation.
La Loi de programmation militaire de 2013 a introduit la notion d' »opérateurs d’importance vitale » (OIV), catégorie qui inclut la plupart des grands acteurs du secteur énergétique. Ces opérateurs sont tenus de mettre en place des systèmes qualifiés par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et de notifier sans délai les incidents de sécurité. Le non-respect de ces obligations peut entraîner des sanctions pouvant atteindre 150 000 euros d’amende.
La question de la responsabilité civile des opérateurs en cas de défaillance mérite un examen approfondi. Si un opérateur n’a pas respecté ses obligations de sécurité et qu’une attaque provoque une interruption majeure de service, sa responsabilité peut être engagée sur le fondement de l’article 1240 du Code civil. Toutefois, l’établissement du lien de causalité entre le manquement et le préjudice peut s’avérer complexe, notamment dans le cas des cyberattaques sophistiquées.
Partage d’informations et obligations de notification
Un aspect fondamental de la protection des infrastructures énergétiques réside dans les mécanismes de partage d’informations entre opérateurs et autorités publiques. La Directive NIS 2 renforce considérablement les obligations en la matière :
- Notification des incidents significatifs aux autorités compétentes dans un délai de 24 heures
- Rapport préliminaire détaillé dans les 72 heures
- Rapport final dans un délai d’un mois après l’incident
Ces obligations s’accompagnent de garanties concernant la confidentialité des informations sensibles partagées. Le Règlement général sur la protection des données (RGPD) s’applique également lorsque des données personnelles sont impliquées dans un incident, ce qui peut créer une superposition d’obligations de notification parfois contradictoires.
La jurisprudence récente tend à renforcer la responsabilité des opérateurs. Dans un arrêt du Conseil d’État français de 2020, les juges ont confirmé que le respect formel des exigences réglementaires ne suffisait pas à exonérer un opérateur d’infrastructure critique de sa responsabilité si des mesures supplémentaires, raisonnablement prévisibles, auraient pu prévenir un incident.
Cybersécurité et protection des systèmes de contrôle industriels énergétiques
Les infrastructures énergétiques modernes dépendent largement des systèmes de contrôle industriels (SCI) tels que les SCADA (Supervisory Control And Data Acquisition) et les ICS (Industrial Control Systems). Ces systèmes, initialement conçus pour fonctionner en environnement isolé, sont désormais connectés aux réseaux d’entreprise et parfois à Internet, ce qui accroît considérablement leur surface d’attaque. L’affaire Stuxnet, malware qui a ciblé les centrifugeuses nucléaires iraniennes en 2010, a démontré la réalité de cette menace.
Le cadre juridique de la cybersécurité des infrastructures énergétiques s’est considérablement renforcé ces dernières années. Le Cybersecurity Act européen de 2019 a établi un cadre de certification pour les produits, services et processus numériques. Cette certification, bien que volontaire dans un premier temps, devient progressivement obligatoire pour les composants critiques des infrastructures énergétiques.
En France, l’arrêté du 17 juin 2016 fixe les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale. Il impose notamment la mise en œuvre de mesures de protection physique et logique, la réalisation d’audits réguliers et l’élaboration de plans de continuité d’activité. Ces obligations s’articulent avec les exigences sectorielles issues du paquet énergie-climat européen.
Défense en profondeur et segmentation des réseaux
La jurisprudence et la doctrine juridique reconnaissent désormais que les opérateurs d’infrastructures énergétiques doivent adopter une approche de défense en profondeur. Cette approche, inspirée des principes militaires, consiste à multiplier les lignes de défense pour ralentir une intrusion et limiter ses conséquences. Concrètement, cela implique :
- La segmentation physique et logique des réseaux industriels et administratifs
- L’implémentation de systèmes de détection d’intrusion spécifiques aux environnements industriels
- La mise en place de procédures de sauvegarde et de restauration adaptées aux contraintes opérationnelles
- L’établissement de capacités de fonctionnement en mode dégradé
Le Tribunal de grande instance de Paris, dans une décision de 2018 concernant un opérateur énergétique victime d’une cyberattaque, a considéré que l’absence de segmentation adéquate entre les réseaux administratifs et industriels constituait une négligence engageant la responsabilité de l’entreprise, malgré le caractère sophistiqué de l’attaque.
La Commission de régulation de l’énergie (CRE) a publié en 2021 des lignes directrices précisant les attentes réglementaires en matière de cybersécurité pour les gestionnaires de réseaux électriques et gaziers. Ces recommandations, bien que non contraignantes, servent de référence pour apprécier le caractère raisonnable des mesures prises par les opérateurs.
Protection physique et défense contre les menaces hybrides
Si la cybersécurité occupe une place prépondérante dans les préoccupations actuelles, la protection physique des infrastructures énergétiques demeure fondamentale. Les centrales nucléaires, barrages hydroélectriques, terminaux méthaniers et postes de transformation électrique restent vulnérables aux attaques conventionnelles. Le sabotage des gazoducs Nord Stream en septembre 2022 a rappelé que les menaces physiques contre les infrastructures sous-marines représentent un risque majeur.
Le cadre juridique de la protection physique s’articule autour de plusieurs textes. Pour les installations nucléaires, la Convention sur la protection physique des matières nucléaires de 1980, amendée en 2005, établit des normes internationales contraignantes. L’arrêté du 29 novembre 2019 relatif à la protection des installations nucléaires de base contre les actes de malveillance en précise l’application en droit français.
Pour les autres infrastructures énergétiques, le Livre blanc sur la défense et la sécurité nationale de 2013 a identifié la protection des infrastructures critiques comme une priorité stratégique. Cette orientation s’est traduite par l’adoption de l’Instruction générale interministérielle n° 6600 relative à la sécurité des activités d’importance vitale, qui détaille les mesures de protection physique requises.
Zones de protection spéciales et contrôle des accès
La protection physique des infrastructures énergétiques repose sur un système de zonage à plusieurs niveaux :
- Les zones d’accès restreint (ZAR), dont l’accès est limité aux personnes autorisées
- Les points sensibles (PS), qui bénéficient de mesures de protection renforcées
- Les zones à régime restrictif (ZRR), qui concernent principalement les installations militaires mais peuvent s’appliquer à certaines infrastructures énergétiques duales
L’arrêté du 3 juillet 2019 fixe les modalités de mise en œuvre de ces dispositions, notamment en ce qui concerne les habilitations du personnel. Le non-respect de ces obligations peut entraîner des sanctions pénales en vertu des articles 413-7 et suivants du Code pénal relatifs aux atteintes aux intérêts fondamentaux de la nation.
La protection contre les menaces hybrides, qui combinent attaques physiques et cyberattaques, constitue un défi juridique particulier. La qualification de ces actes au regard du droit international reste problématique. La Cour internationale de Justice a considéré dans l’affaire des activités militaires et paramilitaires au Nicaragua (1986) que des actes de sabotage pouvaient constituer un usage de la force prohibé par l’article 2(4) de la Charte des Nations Unies, sans nécessairement atteindre le seuil d’une agression armée.
La Directive (UE) 2022/2557 relative à la résilience des entités critiques, adoptée en décembre 2022, marque une évolution significative en intégrant explicitement les menaces hybrides dans son champ d’application. Elle impose aux États membres d’élaborer des stratégies nationales tenant compte de ces risques complexes et aux opérateurs d’adapter leurs plans de sécurité en conséquence.
Coopération public-privé et mécanismes de gestion de crise énergétique
La protection efficace des infrastructures énergétiques critiques repose sur une coopération étroite entre acteurs publics et privés. Cette collaboration s’organise à travers des structures institutionnelles dédiées. En France, le Secrétariat général de la défense et de la sécurité nationale (SGDSN) coordonne l’action interministérielle en matière de sécurité des infrastructures critiques. Le Comité stratégique de filière nucléaire (CSFN) joue un rôle analogue pour le secteur nucléaire.
Ces instances élaborent des doctrines communes et facilitent le partage d’informations. Le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) et l’Alliance pour la confiance numérique (ACN) constituent des plateformes d’échange entre secteur public et opérateurs privés. Cette coopération est encadrée par des protocoles stricts garantissant la confidentialité des informations sensibles tout en permettant la diffusion des alertes pertinentes.
La gestion de crise énergétique fait l’objet d’un cadre juridique spécifique. L’article L. 143-1 du Code de l’énergie confère au ministre chargé de l’énergie le pouvoir d’ordonner les mesures nécessaires en cas de menace grave sur la sécurité d’approvisionnement. Ces pouvoirs exceptionnels peuvent aller jusqu’à la réquisition d’installations ou la restriction de certaines consommations non prioritaires.
Exercices de simulation et retours d’expérience
Les exercices de simulation constituent un élément fondamental des mécanismes de préparation aux crises. L’exercice SECNUC, organisé tous les trois ans, simule un accident majeur dans une centrale nucléaire. L’exercice EU CYBRID, conduit à l’échelle européenne, teste la résilience des réseaux énergétiques face à des cyberattaques coordonnées.
- Validation des procédures d’alerte et de remontée d’information
- Test des mécanismes de coordination interservices
- Évaluation des capacités de réponse technique
- Vérification des plans de communication de crise
Ces exercices font l’objet d’une obligation légale pour les opérateurs d’importance vitale en vertu de l’article R. 1332-12 du Code de la défense. Les retours d’expérience sont formalisés et partagés au sein de communautés sectorielles, dans le respect des règles de confidentialité applicables.
La Loi n° 2004-811 du 13 août 2004 relative à la modernisation de la sécurité civile a introduit le concept de plan communal de sauvegarde (PCS), qui doit intégrer les risques liés aux infrastructures énergétiques présentes sur le territoire. Ces plans constituent l’échelon local de la réponse aux crises et s’articulent avec les dispositifs nationaux.
Le Règlement (UE) 2017/1938 concernant des mesures visant à garantir la sécurité de l’approvisionnement en gaz a instauré un mécanisme de solidarité entre États membres en cas de crise majeure. Ce dispositif prévoit la fourniture prioritaire de gaz aux clients protégés des États voisins avant les clients non protégés nationaux, marquant une évolution notable vers une approche communautaire de la sécurité énergétique.
Perspectives d’évolution du droit face aux défis émergents
L’évolution rapide des menaces contre les infrastructures énergétiques appelle une adaptation continue du cadre juridique. Plusieurs tendances se dessinent pour renforcer la protection de ces installations stratégiques. La première concerne le développement d’un droit international de la cybersécurité plus robuste. Les Tallinn Manual 1.0 et 2.0, bien que non contraignants, offrent une interprétation du droit international applicable aux cyberconflits et pourraient servir de base à de futures conventions.
L’intégration croissante des énergies renouvelables dans le mix énergétique soulève de nouvelles questions juridiques. Les parcs éoliens offshore, les fermes solaires distribuées et les systèmes de stockage d’énergie présentent des vulnérabilités spécifiques qui ne sont pas toujours couvertes par les cadres existants. La Directive sur les énergies renouvelables (RED II) devrait être complétée par des dispositions plus précises concernant la sécurité de ces installations.
La question de l’attribution des cyberattaques reste particulièrement épineuse. Des propositions émergent pour créer un mécanisme international d’attribution, sur le modèle de l’Organisation pour l’interdiction des armes chimiques (OIAC). Un tel organisme pourrait établir des standards de preuve et faciliter la responsabilisation des acteurs malveillants. Le Groupe d’experts gouvernementaux des Nations Unies (GGE) sur la cybersécurité travaille actuellement sur ces questions, mais le consensus reste difficile à atteindre.
Vers un régime de certification harmonisé
L’harmonisation des régimes de certification constitue une piste prometteuse pour renforcer la sécurité des infrastructures énergétiques. Les disparités actuelles entre les systèmes nationaux créent des failles potentielles, particulièrement dans les réseaux transfrontaliers. Le Cybersecurity Act européen ouvre la voie à une certification unifiée, mais son déploiement complet prendra plusieurs années.
- Certification des composants matériels critiques utilisés dans les infrastructures
- Qualification des prestataires de services de cybersécurité
- Homologation des systèmes d’information industriels
- Accréditation des laboratoires d’évaluation
La responsabilisation accrue des fournisseurs de technologies constitue une autre tendance notable. Le concept de « security by design » (sécurité dès la conception) gagne en importance juridique. La proposition de règlement sur la cyber-résilience (Cyber Resilience Act) présentée par la Commission européenne en 2022 vise à imposer des obligations de sécurité aux fabricants de produits connectés, y compris ceux destinés aux infrastructures énergétiques.
Enfin, l’approche territoriale de la protection des infrastructures énergétiques évolue vers une logique de système. La Stratégie nationale de cybersécurité française de 2021 reconnaît l’interdépendance des différentes infrastructures et promeut une approche systémique de leur protection. Cette évolution devrait se traduire par de nouvelles obligations juridiques concernant la gestion des effets en cascade et la coordination entre opérateurs de secteurs différents mais interconnectés.