Réseau énergie et SCADA

Le réseau SCADA/énergie (centrales, barrages, réseau de distribution électrique, gazier, eau) combine OT critique, fortes exigences cybersécurité (attaques Industroyer/BlackEnergy), conformité IEC 62443 et NIS2 secteur énergie. Guide architecture SCADA énergie 2026.

Exigences sectorielles

• NIS2 : opérateurs énergie en entité essentielle
• IEC 61850 : communication substations électriques
• IEC 62443 : sécurité industrielle
• ARENH, RTE : protocoles spécifiques grid opérateurs
• Disponibilité : 99.999% (coupure = impact populationnel majeur)
• Temps réel : contrôle commande protection relais <10 ms

Architecture substation électrique

• Level 3 : operations (SCADA servers, historian OSIsoft PI)
• Level 2 : supervisory (HMI operateurs)
• Level 1 : bay controllers (IED intelligent electronic devices)
• Level 0 : primary equipment (transformers, disjoncteurs)
• Process bus (IEC 61850-9-2) : SMV (sampled values) + GOOSE (générique)

Équipements network énergie

• Switchs IEC 61850 certifiés : Siemens Ruggedcom RS900, Hirschmann MACH1040, Moxa PT-7528
• Température opération : -40 à +85°C
• Redondance PRP (Parallel Redundancy Protocol) ou HSR (High-availability Seamless Redundancy)
• Power supply : 24-48V DC redondant
• Mounting : DIN-rail ou rack 19" hardened

PRP et HSR

• PRP : 2 réseaux parallèles identiques, chaque frame envoyé 2× via 2 interfaces
• Failover 0ms : l'un des 2 réseaux continue
• HSR : ring topology, frames injectés dans 2 directions, convergence 0ms
• Obligatoire pour télé-protection (tripage disjoncteur temps réel)

Cybersécurité énergie

• Segmentation : IT corporate / IT OT / OT physique
• Firewalls dédiés OT : Palo Alto PA-220R (rugged), Cisco ISA-3000, FortiGate Rugged
• IDS industriel : Claroty, Nozomi, Dragos (reconnaît IEC 61850, DNP3)
• Visibilité : inventory automatique tous les devices OT
• SOC OT dédié : détection anomalies spécifiques (Industroyer, CrashOverride)
• Pas de patch temps réel : fenêtres maintenance semestrielles

Attaques notables

• Stuxnet (2010) : centrifugeuses nucléaires Iran
• Industroyer (2016) : blackout Ukraine
• BlackEnergy (2015) : black-out Ukraine
• Pipedream (2022) : découvert par Dragos, framework attaque industrielle
• Protection : détection comportementale, zero-trust OT

Conformité NIS2 énergie

• ARCEP/ANSSI supervise
• Notification incident <24h
• Tests résilience annuels
• Cartographie SI complète
• Management risques formalisé
• Amendes : jusqu'à 10M€ ou 2% CA

Budget substation HV

• Switchs IEC 61850 certifiés (20 unités) : ~120 000€ HT
• Firewall OT rugged : ~25 000€ HT
• SCADA server + historian : ~80 000€ HT
• IDS OT (Claroty/Nozomi) licences : ~100 000€ HT/3 ans
• Design + intégration : ~200 000€ HT
• Total : ~525 000€ HT par substation

Commander chez OPTINOC

Réseau SCADA/énergie clé-en-main : Siemens Ruggedcom + Cisco IE + Claroty + FortiGate Rugged. Conformité IEC 61850/62443 + NIS2. Devis substations sous 1 semaine.