L’installation de traitement des déchets nucléaires Sellafield a été condamnée à une amende de 332 500 £(440 000$) par l’Office for Nuclear Regulation (ONR) pour ne pas avoir respecté les normes de cybersécurité et mis en danger des informations nucléaires sensibles sur quatre ans, de 2019 à 2023.
Selon l’annonce de l’ONR, Sellafield n’a pas suivi ses propres protocoles de cybersécurité approuvés en laissant de multiples vulnérabilités dans ses systèmes informatiques non corrigées, violant les Réglementations de sécurité des industries nucléaires de 2003.
Bien qu’aucune exploitation n’ait eu lieu, les faiblesses ont exposé l’installation à des risques tels que ransomware, hameçonnage et perte potentielle de données, ce qui pourrait perturber les opérations à haut risque et retarder les travaux de démantèlement.
Une catastrophe qui attend de se produire
Sellafield est l’une des plus grandes installations nucléaires d’Europe, située en Cumbria, au Royaume-Uni. Il joue un rôle important dans la gestion et le traitement des matières radioactives, traitant plus de déchets nucléaires en un seul endroit que toute autre installation dans le monde.
Le site participe à la récupération des déchets nucléaires, du combustible et des boues des anciens étangs et silos, au stockage de matières radioactives telles que le plutonium et l’uranium, à la gestion des barres de combustible nucléaire usé et à la remise en état et au déclassement des installations nucléaires.
Sellafield est une unité critique pour le système de gestion des déchets nucléaires du Royaume-Uni, de sorte que la sécurité de ses systèmes informatiques est vitale pour garantir des opérations sûres.
L’année dernière, une série d’enquêtes menées par le Guardian sur la cybersécurité de Sellafield a attiré l’attention sur de multiples problèmes graves, révélant que les entrepreneurs avaient facilement accès à des systèmes critiques où ils pouvaient, entre autres, installer des clés USB.
De plus, les vulnérabilités bien connues au sein de l’installation abondent, donnant au site le surnom de « Voldemort » par les personnes qui y travaillent.
Un audit de la société de sécurité française Atos a révélé qu’environ 75% des serveurs de Sellafield étaient vulnérables aux attaques aux conséquences potentiellement catastrophiques.
Les exploitants du site nucléaire ont plaidé coupable en juin 2024 pour leur non-respect des réglementations standard en matière de sécurité informatique, admettant leur manquement.
L’ONR inflige une amende à Sellafield mais n’a confirmé aucune infraction
L’ONR a enquêté sur ces rapports et, bien qu’il ait confirmé que Sellafield ne respectait pas les normes de cybersécurité qui sous-tendent le fonctionnement de tels sites au Royaume-Uni, il affirme n’avoir trouvé aucune preuve que les vulnérabilités aient été exploitées lors d’attaques.
Cela contraste avec les rapports précédents de la presse selon lesquels des pirates informatiques russes et chinois auraient installé des logiciels malveillants sur le site et que des failles de sécurité se sont produites dès 2015.
« Une enquête de l’ONR […] a constaté que Sellafield Ltd n’avait pas respecté les normes, procédures et arrangements énoncés dans son propre plan approuvé pour la cybersécurité et la protection des informations nucléaires sensibles », lit-on dans l’annonce de l’ONR.
« Des déficits importants ont été présents pendant une période considérable. Il a été constaté que Sellafield Ltd a permis à cette performance insatisfaisante de persister, ce qui signifie que ses systèmes de technologie de l’information étaient vulnérables à l’accès non autorisé et à la perte de données. »
« Cependant, il n’y a aucune preuve que des vulnérabilités chez Sellafield Ltd aient été exploitées à la suite des défaillances identifiées. »
Les inspections menées par l’ONR sur Sellafield ont révélé que le scénario d’une attaque réussie par ransomware pourrait faire dérailler les opérations normales sur le site nucléaire pendant jusqu’à 18 mois.
Sellafield a remplacé des personnes clés de la haute direction et de la direction informatique au cours de la dernière année pour mettre en œuvre des plans visant à remédier aux risques de cybersécurité dès que possible. De bons progrès ont été constatés sur ce front, selon l’ONR.