Intervention de Jean-Marc Nollet

Sur la culture de sûreté, je peux vous laisser une copie de la lettre que l'Agence belge a envoyée à Mme Isabelle Kocher en septembre 2016. Certes, elle ne porte pas sur le volet du démantèlement, mais elle donne des indications sur ce qui est considéré comme étant une perte de la culture de sûreté, liée davantage à une certaine nonchalance qu'à la perte de l'expertise.

Je suis assuré que les ingénieurs font leur travail avec sérieux et grande attention car, avant même les citoyens, ils sont les premiers concernés, ils sont au coeur de la centrale. Cela dit, quand des investissements de sécurité et de sûreté sont nécessaires, ont-ils l'oreille attentive des décideurs et des financiers de l'entreprise ? Les témoignages que je peux recueillir interpellent. Je suppose que vous auditionnez également des personnels internes aux centrales, des représentants de travailleurs. On constate parfois des chaînons manquants entre ceux qui dressent les rapports et ceux qui prennent les décisions en lien avec les rapports sur la sûreté. Ce sera plus vrai encore avec la décision de sortir du nucléaire en 2025. Le signal que nous devons envoyer s'adresse également au secteur. Avec le démantèlement, il y en a encore pour au moins trente ans et avec la gestion des déchets des centaines de milliers d'années, voire davantage. Il reste encore du travail, et du travail de qualité, de haute exigence scientifique autour de la gestion du démantèlement et des déchets. Sérieux industriel et contrôle seront absolument nécessaires. Si nous perdons un levier, nous ne les perdons pas tous. Voilà pour le volet culture de sécurité.

Sur la question de cybersécurité, une personne est venue me voir parce qu'elle savait que je travaillais sur les thèmes de la sécurité et de la sûreté. Elle m'a dit travailler dans le nucléaire et y être favorable, mais elle voulait que cela se passe le mieux possible. Elle m'a alerté sur le fait que des plans des centrales belges circulaient sur le darknet.

Ainsi que je l'ai rappelé précédemment, du point de vue de la cybersécurité, la Belgique est notée 0 sur 100 à l'indice NTI. Le document étant public, vous pourrez vous renseigner sur la France. Notre cadre juridique est insuffisant. L'Agence ne disposait pas de l'audit interne à Engie. L'Agence a un seul expert cybersécurité, ce qui est totalement insuffisant au regard des risques. L'audit relevait 13 écarts importants et 2 non-conformités dans les centrales nucléaires, à la fois à la centrale de Doel et à la centrale de Tihange.

À la page 19 du rapport, il est indiqué que les plans de site security de Doel ont été livrés à un sous-traitant informatique d'Electrabel, qui disposait de tous les plans à l'insu de l'opérateur. Sans doute ce dernier n'a-t-il pas mis en place suffisamment de codes de sécurité. Les sous-traitants dans le secteur sont nombreux, notamment dans le domaine informatique, ce qui est très inquiétant. Les plans sont partis en Inde. Toujours est-il que le sous-traitant a eu accès, à l'insu d'Electrabel, à l'ensemble des plans de site security et aux codes, en contradiction avec l'idée que ce type d'informations devait rester secret de l'AFCN. J'en suis bien d'accord, mais l'audit lui-même aurait dû être livré à l'AFCN qui n'a accès qu'aux informations que Electrabel-Engie veut bien lui donner.

La même chose s'est produite pour les tests des fissures à Doel 3 et à Tihange 2. Je souhaitais que l'Agence réalise ses propres tests et non pas uniquement les tests que l'opérateur veut bien lui donner et qu'elle se renseigne sur les tests qu'il a réalisés et qu'il n'a pas souhaité livrer. Ce n'est pas dans la culture à l'oeuvre. La philosophie actuelle veut que l'opérateur lui-même soit responsable. C'est bien mais cela reste insuffisant. Ce principe s'applique pour l'informatique comme pour toute autre matière.

Lorsque je demande si des stress tests ont été réalisés sur le système informatique, le ministre me répond que c'est le cas mais que les résultats sont confidentiels. Et que fait-on de ce qui est confidentiel ? On n'en fait rien tant qu'un parlementaire ne les a pas mis en lumière, ce qui permet alors d'agir. Il est illusoire de penser que dans la centrale nucléaire tout est hermétique entre l'interne et l'externe. Je dispose ici des extraits de discussions qui ont eu lieu au sein de l'Agence fédérale de contrôle nucléaire. Un expert a déclaré que la tâche est compliquée par les systèmes informatiques des centrales qui ne fonctionnent pas sans lien avec l'extérieur. Il est d'avis que cela les rend très vulnérables. Cela figure dans des documents internes à l'Agence de contrôle.

On nous dit toujours que tout va bien. Demandez s'il y a du wifi, si les gens n'utilisent pas de clés USB, demandez-leur ce qu'ils font de leur montre, elle-même liée à l'extérieur, demandez-leur s'il y a du GSM. Quand on voit que des personnes, en interne, sont capables de mener des actions de sabotage, nous avons de quoi à être interpellés, sans parler des cyberattaques russes. Ce n'est pas pour rien que le grand responsable européen et le commissaire européen ont envoyé un signal d'alarme et expliqué que d'ici à cinq ans, les Russes pourraient prendre le contrôle des centrales nucléaires par cyberattaques. À la question « Craignez-vous une cyberattaque terroriste d'une centrale nucléaire ? », Julian King, commissaire européen à la sécurité a répondu : « Le risque d'une cyberattaque terroriste est très élevé. La cybercriminalité augmente de façon exponentielle. » Les responsables des centrales le reconnaissent mais que font-ils ? Je crois que nous avons tous des responsabilités à assumer si nous voulons devancer les risques.

Certains nous reprochent qu'agissant ainsi nous alertons et informons les terroristes. Mais ces derniers sont informés. Les informations circulent sur le darknet sans que nous intervenions ; c'est après-coup que nous les mettons en avant.