L’entreprise énergétique en ligne de mire : comment rendons-nous notre infrastructure plus sûre ?
Claudia Furger
Publié le : 12.08.2025
Durée de lecture
environ 7 minutes
C’est cette question et toute la thématique qui l’entoure qui occupent Philippe Bähler, responsable IT de la Regionalwerke AG Baden. Dans l’entretien accordé à la SQS il évoque les menaces réelles, l'importance d'une culture de la sécurité vécue et la manière dont des normes telles que ISO/IEC 27001:2022 aident à rendre les infrastructures critiques plus résistantes.
Interview: Claudia Furger
Monsieur Bähler, depuis la panne de courant géante qui a touché l’Espagne et le Portugal fin avril 2025 on reparle de plus en plus de la sécurité et de l’approvisionnement en énergie. Un tel blackout est-il à craindre en Suisse ?
Théoriquement une telle panne de courant est aussi possible en Suisse mais très improbable. Notre réseau électrique est relié étroitement au réseau européen, bien sécurisé sur le plan technique et est exploité selon le principe N-1. Cela signifie que même si un élément central tel une ligne ou une centrale électrique était victime d’une défaillance, l’approvisionnement resterait stable. Nous procédons de la même façon avec nos systèmes informatiques.
La Regionalwerke AG Baden (RWB) est un opérateur régional de distribution d’énergie et d’eau situé à Baden (AG). Elle alimente la ville de Baden et communes environnantes en courant, gaz, eau potable, chauffage et refroidissement urbains. L’entreprise est certifiée selon ISO 9001:2015 et ISO/IEC 27001:2022. Philippe Bähler dirige le département informatique.
Même si la panne survenue dans la péninsule ibérique n’était pas le résultat d’une cyberattaque nous avons pu constater à quelle vitesse les systèmes en réseau peuvent être mis sous pression. En ce moment quelles menaces concrètes en termes de sécurité de l’approvisionnement en énergie préoccupent le plus le responsable informatique que vous êtes ?
La guerre en Europe reste pour moi la menace première. Elle n’a pas seulement une incidence sur l’approvisionnement en énergie mais affecte aussi les chaînes d’approvisionnement, la stabilité sociale et la sécurité politique de toute l’Europe. Selon moi, un autre risque croissant réside dans notre dépendance aux services de cloud au niveau mondial. De nombreux services informatiques centraux passent par des fournisseurs qui opèrent en dehors de notre espace juridique et sur lesquels nous n’avons donc aucune prise.
Pouvez-vous nous donner un exemple illustrant plus clairement les risques qui en résultent ?
Oui, un exemple frappant s’est produit au printemps. Une décision de sanction prise sous la présidence Trump a eu pour effet de sanctionner le Procureur britannique de la Cour pénale internationale Karim Khan. Par la suite Microsoft a bloqué son compte de messagerie officiel et donc pratiquement l’ensemble de son environnement M365.
Que s’est-il passé ?
Selon les rapports, Khan et ses collaborateurs ont dû se rabattre du jour au lendemain sur des services alternatifs du style de la messagerie électronique suisse Proton Mail. Même si Microsoft souligne que le flux de travail de la Cour pénale internationale n’a dans son ensemble pas été affecté, cette histoire montre clairement que des prestataires étrangers peuvent, pour des raisons politiques ou personnelles, bloquer des services informatiques et par la même occasion paralyser soudainement des organisations.
Si nous passons d’une perspective internationale à l’usine régionale ici à Baden, où pourraient être actuellement les éventuelles portes d’entrée pour les cyberattaques ?
Je pense que ce qui est le plus à craindre sont les manipulations psychologiques, et plus particulièrement les méthodes telles le phishing et le piratage psychologique. Il s’agit-là de pratiques par lesquelles des escrocs tentent de manipuler les collaborateurs pour qu’ils leur communiquent des informations sensibles ou qu’ils exécutent inconsciemment certaines actions critiques pour la sécurité. C’est précisément dans la bureautique classique que l’homme représente le principal risque pour la sécurité. Par conséquent, il nous tient tout particulièrement à cœur de sensibiliser notre personnel de façon ciblée et de lui apporter une formation continue.
Comment procédez-vous ?
Nous profitons de chaque Occasion, que ce soit dans le travail quotidien, lors de réunions d’équipes ou de formations dédiées à la sécurité pour attirer l’attention sur les dangers que représentent les e-mails manipulés ou les tentatives de manœuvre. Nous demandons régulièrement à notre personnel de faire preuve d’un esprit critique face à tout message suspect et en cas d’hésitation, de s’adresser directement au support informatique. En plus, en interne une personne prend en charge les offres d’e-learning et organise des simulations de phishing très proches de la réalité. Ces entraînements favorisent la prise de conscience des risques et améliorent la réactivité dans des situations critiques.
Une culture favorisant la communication en cas d’erreur est capitale pour faire face aux incidents de sécurité. Comment réussissez-vous à instaurer une telle culture au sein de l’entreprise ?
En considérant expressément les erreurs comme des opportunités pour apprendre et évoluer. Nos collaborateurs sont encouragés à signaler rapidement n’importe quel incident, incertitude ou risque potentiel lié à la sécurité, sans craindre de se voir attribuer la faute ou de subir des conséquences négatives. Nous créons ainsi un environnement dans lequel l’ouverture, la confiance mutuelle et l’amélioration continue sont au premier plan et grâce auquel nous pouvons apprendre ensemble des erreurs et renforcer durablement nos processus.
Alors que le facteur humain joue un rôle central dans la bureautique, un tout autre défi se pose dans l’informatique d’exploitation en particulier pour les systèmes SCADA (voir encadré). Comment protégez-vous ces infrastructures critiques des attaques ou manipulations ?
Nos systèmes SCADA sont strictement isolés sur le plan physique et logique de la bureautique classique. Ils fonctionnent dans un environnement dédié avec un matériel propre et sans interface directe vers les systèmes IT productifs ou vers internet. Cette séparation constitue la base de notre architecture de défense.
Tous les systèmes de cet environnement sont structurés en zones de réseau clairement définies et segmentées. Ils ne peuvent communiquer qu’avec les systèmes avec lesquels un échange opérationnel est nécessaire. C’est ainsi que nous nous assurons qu’il n’existe aucune voie de communication inutile qui pourrait donner lieu à une propagation latérale d’attaques.
Système SCADA
Les Supervisory Control and Data Acquisition sont des systèmes utilisés dans l’industrie notamment dans les centrales énergétiques, les stations hydrauliques ou les usines pour gérer et surveiller à distance des processus techniques. Ils collectent des données de capteurs et d’appareils, les analysent et permettent le cas échéant d’intervenir pour rendre l’exploitation sûre et efficace.
Et comment identifiez-vous des incidents de sécurité potentiels au sein de cette architecture ?
Nous misons sur un monitoring spécialisé qui surveille en permanence les valeurs du système, les schémas de communication et les modifications de configuration pertinents. Celui-ci est renforcé par un centre d’opérations de sécurité qui analyse notre environnement 24h/24 par rapport aux anomalies et activités suspectes. Les anomalies sont classifiées et documentées selon des processus définis et traitées dans le cadre de notre gestion d’incidents. Cette architecture sur plusieurs niveaux composée d’une segmentation technique, d’une communication en réseaux restrictive, d’une surveillance continue et de processus de notification définis nous permet d’identifier les menaces au plus vite et d’intervenir de façon ciblée.
Votre infrastructure a-t-elle déjà été victime de telles attaques ou menaces ?
Non, jusqu’à présent nous avons été épargnés par de tels incidents.
Passons un instant à un autre sujet actuel, à savoir les attaques de ransomware qui consistent à crypter des données importantes et exiger des rançons. Quelles sont les mesures concrètes que vous appliquez pour protéger votre entreprise contre ce phénomène ?
Le ransomware est une menace réelle qui prend de plus en plus d’ampleur, pour les infrastructures stratégiques comme la nôtre également. C’est la raison pour laquelle nous misons sur une stratégie de protection multiple qui comprend notamment des sauvegardes régulières avec conservation des données hors ligne, segmentation du réseau, une protection moderne des points d’extrémité ainsi que des formations pour les collaborateurs pour repérer au plus vite les tentatives d’hameçonnage. Ce qui est très important c’est la stricte séparation des environnements OT et IT. En outre, nous investissons dans des processus conformes à la norme ISO 27001 et mettons progressivement en œuvre le standard ICT minimum.
Systèmes OT
Les systèmes de technologie opérationnelle surveillent et gèrent des processus physiques dans l’industrie, l’approvisionnement énergétique ou interviennent dans la gestion d’infrastructures ou de machines, dans les systèmes SCADA ou dans l’automatisation des installations industrielles.
Systèmes IT
Les systèmes de technologie de l’information sont des systèmes informatiques et réseaux classiques qui servent principalement au traitement de données, à la communication et au stockage des informations comme la bureautique, les serveurs, les systèmes de messagerie ou les logiciels d’entreprise.
Vous évoquez l’ISO 27001. Quel rôle joue cette norme pour votre stratégie de sécurité ?
La norme ISO 27001 est pour nous une ligne directrice majeure en vue de contrôler et développer systématiquement nos processus de sécurité. De nombreuses mesures éprouvées chez nous portant sur les contrôles d’accès, les stratégies de sauvegarde, les formations ou la gestion du risque sont liées de près aux exigences de la norme ou s’y intègrent parfaitement.
Comment plus précisément la norme vous aide-t-elle au quotidien ?
Pour nous, l’utilité de l’ISO 27001 réside principalement dans son approche structurée. La norme nous aide à analyser les risques de façon méthodique, à définir clairement les responsabilités et à vérifier régulièrement l’efficacité de nos processus et à les développer. Il en résulte un système de management de la sécurité de l’information vivant qui n’existe pas que sur papier mais qui est pratiqué au quotidien.
Quels sont les avantages que cela vous procure en cas de crise ou d’attaques ?
En tant qu’exploitant d’infrastructures critiques nous profitons du fait que l’ISO 27001 aide à identifier rapidement les points faibles, à établir de façon ciblée les priorités en termes de mesures de sécurité et en situation d’urgence à réagir de manière structurée. Par ailleurs, la norme constitue un langage commun tant au sein de l’entreprise que dans les échanges avec les partenaires, les autorités ou le public. Elle renforce également notre confiance dans notre propre capacité de résistance Elle veille à ce que nous soyons prêts en cas de cyberattaques et que nous conservions notre capacité d’action.
Comment parvenez-vous à faire en sorte que les contraintes de sécurité soient comprises et appliquées et ne soient pas considérées comme une obligation bureaucratique ?
Le lien avec la pratique est établi lorsque, dans les activités quotidiennes, nous abordons dès que l’occasion se présente la question des exigences en matière de sécurité. Dans les équipes, nous discutons ensemble des processus, expliquons leur importance et si nécessaire, ajustons certains détails pour qu’ils collent parfaitement à nos opérations sans pour autant négliger les exigences de l’ISO 27001.
La mise en œuvre de mesures de sécurité impacte souvent plusieurs secteurs dans une entreprise. Comment coordonnez-vous cela ?
La coordination interdépartementale des mesures de sécurité est exigeante et ne peut être gérée par une seule personne. C’est ainsi que depuis juin 2025 nous nous sommes adjoint les services d’un Chief Information Security Officer externe, il s’agit d’un expert qui assume la gestion générale de la sécurité et qui la coordonne de manière transversale. En plus, nous avons établi en interne des fonctions dédiées spécifiquement à des thèmes tels que le système de management de la sécurité de l’information, l’ISO 27001 et la mise en œuvre opérationnelle des mesures de sécurité. Ces personnes travaillent en étroite collaboration avec le Chief Information Security Officer pour que les compétences de différents départements puissent être mises en commun de façon ciblée et traduites en mesures concrètes.
Regionalwerke Baden AG Vue aérienne du bâtiment administratif, photo : mise à disposition
Selon quels critères hiérarchisez-vous en général les risques et comment cette évaluation est-elle prise en compte dans vos processus de décision ?
L’évaluation et la hiérarchisation des risques chez nous à l’Informatique ne concerne actuellement que le domaine des services informatiques et non tout le management des risques de l’entreprise de la Regionalwerke AG Baden. Nous nous basons sur la norme ISO 31000, reconnue au niveau international, que nous appliquons à notre environnement informatique de façon simple et pratique.
Comment ce processus d’évaluation se présente-t-il concrètement dans la pratique ?
Tout est basé sur une évaluation en deux étapes: d’une part la criticité d’un service informatique pour les activités et d’autre part l’impact potentiel sur les clients en cas de panne. Pour l’évaluation, nous nous servons d’une analyse d’impact sur les activités avec des questionnaires structurés. Dans ce cadre, on procède à l’enregistrement et à l’évaluation systématiques de facteurs tels que les délais de réactivation, la tolérance face à la perte de données, les dépendances externes, les exigences réglementaires ainsi que les conséquences potentielles sur les clients et le public.
Comment exploitez-vous ces résultats pour prendre des décisions ?
Les valeurs qui en résultent sont visualisées dans une carte thermique et permettent de prendre des décisions sur des mesures techniques et organisationnelles telles que la fréquence des sauvegardes, la haute disponibilité, les périodes de maintenance ou les heures d’assistance et les piquets informatiques. C’est ainsi que nous veillons à ce que les ressources soient déployées là où elles peuvent apporter une contribution décisive au renforcement de la résilience et non dans des structures héritées du passé ou selon une intuition. A long terme, les résultats de ces analyses doivent donc être transposés dans la gestion des risques au niveau de toute l’entreprise. Maintenant déjà, ils constituent une base solide pour une gestion du risque informatique traçable, hiérarchisée et économique optimale. Dans les années à venir, nous poursuivrons le développement de la gestion globale du risque de la Regionalwerke Baden avec le soutien de notre nouveau Chief Information Security Officer.
Comment vous assurez-vous que vos mesures de sécurité soient toujours au fait des dernières évolutions ?
Nous échangeons activement avec des organes spécialisés et sommes impliqués dans de nombreux réseaux sectoriels. Notre Security Officer participe chaque semaine au Cyberbriefing de l’OFCS où les menaces actuelles sont thématisées et les nouvelles tendances sont identifiées. Ces connaissances sont étoffées par des informations provenant de fabricants, de fournisseurs, portails d’info sur la sécurité ainsi que par des articles et analyses issus de plateformes telles Twitter, LinkedIn et d’autres sources spécialisées. Grâce à ce mix d’informations nous parvenons à détecter les risques bien à temps et à déployer des actions rapidement.
Si un incident de sécurité survenait, comment est organisée votre gestion des situations d’urgence ?
Si un incident de sécurité venait à se produire, des processus clairement définis issus de la gestion de crise seraient déployés. Il s’agit notamment d’une gestion des incidents structurée, des mesures techniques et organisationnelles d’urgence ainsi que des processus d’escalade et des voies de communication graduels. A cet égard, la norme ISO 27001 nous fournit le cadre nécessaire vu qu’elle impose des procédures pour maîtriser les incidents de sécurité. Nous réalisons aussi une fois par an un exercice de crise pour nous préparer au pire.
L’intelligence artificielle s’invite de plus en plus dans les processus techniques. La norme ISO 42001 pourrait-elle à l’avenir gagner en importance pour votre entreprise ?
Actuellement, à la Regionalwerke Baden nous n’utilisons pas de système de production qui relève de l’intelligence artificielle au sens strict du terme. Par conséquent, l’ISO 42001 n’entre pour l’instant pas en ligne de compte. Cependant, nous avons déjà recours à des outils de simulation et de calcul spécialisés et de haute technicité, entre autres également sous forme de jumeaux numériques, par exemple pour les simulations de réseau, les analyses de flux de charge ou les modèles d’approvisionnement. Ces systèmes fonctionnent avec des modèles mathématiques précis, prennent en compte les paramètres réels de l’installation, les données réseau à référence spatiale et les profils dynamiques de charge. Ils nous permettent d’évaluer des scénarios en temps réel et d’anticiper en conséquence. Malgré leur grande complexité et performance il ne s’agit pas de systèmes d’apprentissage ou de systèmes autonomes au sens d’une IA mais bien d’applications contrôlées par des spécialistes. Si à l’avenir nous devions davantage nous engager en faveur des systèmes basés sur l’IA, nous examinerions bien sûr les exigences de l’ISO 42001.
Pour finir, nous aimerions savoir quelles tendances technologiques vous suivez de près eu égard aux conséquences qu’elles pourraient avoir sur les conditions de sécurité.
Je surveille tout particulièrement deux évolutions, à savoir premièrement le transfert toujours plus important des services informatiques vers le cloud. Cela entraîne de nouvelles dépendances et comporte des risques géopolitiques qui doivent être évalués de près notamment du point de vue de la sécurité et de la disponibilité.
Et deuxièmement ?
La mise en réseau renforcée des systèmes IT et OT. Alors que les environnements informatiques sont désormais bien protégés par des mécanismes de sécurité courants, les systèmes OT posent souvent d’autres difficultés, par exemple dans la commande du système ou la gestion du réseau. Les interfaces entre les deux mondes deviennent ainsi des points sensibles en ce sens que les menaces informatiques classiques pourraient d’un coup avoir un impact direct sur les infrastructures physiques. Cela rend la collaboration entre les responsables IT et OT et les mesures de protection ciblées liées aux transitions d’autant plus importantes.
