30 jours d'essai gratuit, risques IA générative :Commencer
Demander une démo
Energy & UtilitiesEnergy & Utilities

Guide de sécurité de l'IA pour l'énergie et les services publics

Sécurisez les déploiements d'IA dans la gestion du réseau, la maintenance prédictive et les opérations clients tout en respectant les obligations de protection des infrastructures critiques

Security of Critical Infrastructure Act 2018 (SOCI)Australian Energy Sector Cyber Security Framework (AESCSF)NERC CIP (exposition aux États-Unis)Australian Energy Market Operator (AEMO) RequirementsPrivacy Act 1988EU AI Act (pour les entreprises ayant des opérations dans l'UE)Work Health and Safety Act

Audio version

Listen: Guide de sécurité de l'IA pour l'énergie et les services publics

Prefer audio? Play the narrated version of this guide.

Les organisations de l'énergie et des services publics exploitent des infrastructures critiques où les défaillances de l'IA peuvent avoir des conséquences en cascade pour la sécurité publique et la sécurité nationale. Ce guide couvre la gouvernance de l'IA pour les services de production, de transport, de distribution, de gaz et d'eau opérant au titre du SOCI Act et des exigences AESCSF de l'Australie.

L'adoption de l'IA dans le secteur de l'énergie et des services publics

Le secteur de l'énergie et des services publics traverse une double transformation : la transition énergétique des combustibles fossiles vers les renouvelables, et la transformation numérique portée par l'IA et l'analytique avancée. Ces forces convergentes créent une demande sans précédent de capacités d'IA dans tous les aspects des opérations énergétiques.

Les entreprises énergétiques australiennes déploient l'IA pour la gestion du réseau et l'équilibrage de charge sur des réseaux de plus en plus complexes avec une production distribuée issue du solaire en toiture, du stockage par batteries et des parcs éoliens ; la maintenance prédictive des actifs de production, des infrastructures de transport, des postes électriques et des réseaux de distribution ; la prévision de la demande pour optimiser le dispatching de la production, le négoce d'énergie et la planification des investissements réseau ; la gestion de la végétation utilisant l'imagerie satellitaire et l'IA pour identifier les risques d'empiètement sur les couloirs de transport ; les applications en contact client, notamment la gestion intelligente de l'énergie, les chatbots, la prévision de facture et l'identification des situations de précarité ; la prévision des énergies renouvelables pour prédire la production solaire et éolienne au service de la stabilité du réseau ; et la gestion des actifs et l'optimisation des dépenses d'investissement sur des portefeuilles d'infrastructures vieillissantes.

L'impératif commercial est convaincant. Les réseaux énergétiques australiens gèrent plus de $90 billion d'actifs régulés, et même des améliorations marginales de l'utilisation des actifs, de la prévision des pannes ou de la prévision de la demande se traduisent par des centaines de millions de valeur. AGL, Origin Energy, EnergyAustralia et les entreprises de réseau (Ausgrid, Endeavour Energy, Transgrid, AusNet) investissent toutes massivement dans les capacités d'IA.

Cependant, le statut d'infrastructure critique du secteur énergétique change fondamentalement le calcul de la gouvernance de l'IA. Contrairement au commerce de détail ou aux services professionnels, un incident de cybersécurité dans le secteur énergétique peut dégénérer en urgences de sécurité publique, des coupures affectant les hôpitaux, les stations de traitement de l'eau et les services d'urgence. Le Security of Critical Infrastructure Act 2018 (SOCI Act), tel que modifié en 2022, impose des obligations de cybersécurité obligatoires aux entités du secteur énergétique, et les systèmes d'IA qui touchent la technologie opérationnelle introduisent de nouveaux vecteurs de risque qui relèvent pleinement du champ réglementaire du SOCI.

Le défi pour les CISO et CIO de l'énergie est de permettre l'innovation par l'IA tout en maintenant la résilience opérationnelle et la posture de sécurité qu'exigent les infrastructures critiques.

Principaux risques de sécurité de l'IA dans l'énergie et les services publics

Les organisations de l'énergie et des services publics font face à des risques de sécurité de l'IA qui couvrent à la fois les domaines numérique et physique, avec des conséquences potentielles qui s'étendent bien au-delà de l'organisation jusqu'à la sécurité publique et la sécurité nationale.

Risques d'intégration de l'IA aux systèmes SCADA/ICS : le risque le plus critique dans le secteur énergétique est l'intégration de l'IA aux systèmes de supervision et d'acquisition de données (SCADA) et aux systèmes de contrôle industriel (ICS). Les systèmes de maintenance prédictive, de détection d'anomalies et d'optimisation du réseau alimentés par l'IA consomment de plus en plus de données issues d'environnements de technologie opérationnelle, et dans certains cas leur envoient des commandes. Un système d'IA compromis interfacé avec le SCADA pourrait manipuler l'équilibrage de charge, déclencher des disjoncteurs, modifier les instructions de dispatching des générateurs ou désactiver des verrouillages de sécurité. Les attaques de 2015 et 2016 contre le réseau électrique ukrainien ont démontré que des adversaires ciblent activement les systèmes OT énergétiques, et l'intégration de l'IA élargit la surface d'attaque.

Attaques adverses sur l'IA de gestion du réseau : les modèles d'IA gérant les opérations du réseau électrique sont vulnérables à la manipulation adverse. Des attaques par empoisonnement des données pourraient corrompre les modèles de prévision de la demande, provoquant un dispatching incorrect de la production et potentiellement une instabilité du réseau. Des attaques d'évasion pourraient amener l'IA de détection d'anomalies à manquer de véritables défaillances d'équipement ou incidents de sécurité. Des attaques d'extraction de modèle pourraient permettre à des adversaires de comprendre et de contourner les algorithmes de gestion du réseau.

Sensibilité des données de technologie opérationnelle : les données OT des infrastructures énergétiques, profils de charge, capacité de production, topologie du réseau, réglages des relais de protection et configurations SCADA, sont hautement sensibles du point de vue de la sécurité nationale. Lorsque les équipes d'ingénierie utilisent des outils d'IA pour analyser ces données, elles risquent d'exposer des informations sur les infrastructures critiques. Les règles du programme australien de gestion des risques des infrastructures critiques (CIRMP) imposent aux entités énergétiques d'identifier et d'atténuer de tels risques.

Shadow AI dans les équipes d'ingénierie : les ingénieurs, planificateurs réseau et personnels opérationnels des entreprises énergétiques travaillent souvent avec des ensembles de données spécialisés qu'ils peuvent introduire dans des outils d'IA pour analyse. Les données de planification du transport, les propositions d'augmentation du réseau, les données de performance des générateurs et les rapports d'analyse de défauts traités par des outils d'IA non approuvés créent à la fois des risques de sécurité et de conformité réglementaire.

Sensibilité des données clients et des métadonnées : les détaillants d'énergie collectent des données de consommation granulaires qui révèlent des schémas détaillés de la vie quotidienne, quand les occupants sont chez eux, les rythmes de sommeil, l'utilisation des appareils, et même l'usage d'équipements liés à la santé. Les données de compteurs intelligents traitées par l'IA créent des risques de confidentialité importants au titre du Privacy Act et potentiellement du Consumer Data Right à mesure qu'il s'étend au secteur énergétique.

Risques liés à l'IA des tiers et de la chaîne d'approvisionnement : les entreprises énergétiques s'appuient sur de vastes écosystèmes de fournisseurs, fabricants d'équipements, fournisseurs de logiciels, prestataires de services gérés et consultants, dont beaucoup introduisent de l'IA dans leurs produits et services. L'IA embarquée dans les solutions de fournisseurs qui se connectent aux réseaux OT énergétiques crée un risque de chaîne d'approvisionnement qui doit être évalué au titre des obligations du SOCI Act.

Conformité au SOCI Act et à l'AESCSF pour les systèmes d'IA

Le cadre réglementaire de la cybersécurité du secteur énergétique en Australie impose des obligations spécifiques qui affectent directement la gouvernance de l'IA.

Security of Critical Infrastructure Act 2018 (SOCI Act) : le SOCI Act, considérablement renforcé par les modifications de 2022, s'applique aux actifs d'infrastructure critique du secteur énergétique, notamment les réseaux de production, de transport et de distribution d'électricité, le traitement et la distribution du gaz, et les opérateurs des marchés de l'énergie. Les obligations SOCI pertinentes pour l'IA incluent le Critical Infrastructure Risk Management Program (CIRMP), qui impose aux entités responsables d'identifier, de gérer et d'atténuer les risques matériels pour les infrastructures critiques. Les systèmes d'IA qui s'interfacent avec les opérations OT ou les influencent représentent un risque cyber matériel qui doit être traité dans le CIRMP. La loi prévoit également des pouvoirs d'assistance gouvernementale : dans des circonstances extrêmes, le gouvernement peut ordonner aux entités de prendre des mesures pour répondre à des incidents cyber, y compris l'arrêt de systèmes d'IA qui présentent un risque pour les infrastructures critiques.

AESCSF (Australian Energy Sector Cyber Security Framework) : l'AESCSF, développé par l'AEMO en collaboration avec le secteur énergétique, fournit un modèle de maturité pour la cybersécurité du secteur énergétique. La gouvernance de l'IA devrait s'aligner sur les domaines de capacité de l'AESCSF, notamment la gestion des actifs (inventaire des systèmes d'IA en tant qu'actifs cyber), le contrôle d'accès (gestion de qui et de quoi peut interagir avec les systèmes d'IA), la connaissance situationnelle (surveillance du comportement des systèmes d'IA pour détecter les anomalies) et la réponse aux incidents (réponse aux événements de sécurité liés à l'IA). Le processus d'évaluation AESCSF, mené chaque année par la plupart des entreprises énergétiques, devrait désormais évaluer explicitement la maturité de la cybersécurité liée à l'IA.

NERC CIP pour les entreprises ayant une exposition aux États-Unis : les entreprises énergétiques australiennes ayant des opérations ou des filiales aux États-Unis doivent se conformer aux normes NERC Critical Infrastructure Protection (CIP). Le NERC CIP-013 (gestion des risques de la chaîne d'approvisionnement) est particulièrement pertinent pour les relations avec les fournisseurs d'IA. Le CIP-005 (périmètres de sécurité électronique) affecte les systèmes d'IA qui franchissent des frontières de sécurité. Le CIP-007 (gestion de la sécurité des systèmes) régit l'application des correctifs, l'accès et la surveillance des systèmes d'IA.

Obligations réglementaires spécifiques à l'IA : bien qu'il n'existe pas encore de réglementation propre à l'IA pour le secteur énergétique, plusieurs évolutions réglementaires façonnent les attentes. Les AI Ethics Principles volontaires du gouvernement australien fournissent un cadre auquel les régulateurs de l'énergie se réfèrent. L'Australian Energy Regulator (AER) élabore des attentes concernant l'usage de l'IA dans les entreprises de réseau régulées, en particulier pour les propositions de dépenses d'investissement et les déterminations de revenus qui reposent sur la modélisation par IA. Les procédures opérationnelles de l'AEMO font de plus en plus référence à l'IA et à la prise de décision automatisée dans les opérations de marché et de réseau.

Normes de sécurité OT pour l'IA : les systèmes d'IA qui interagissent avec les environnements OT devraient se conformer à l'IEC 62443 (cybersécurité industrielle), qui fournit un cadre pour sécuriser les systèmes d'automatisation et de contrôle industriels. Cela inclut des niveaux de sécurité pour les composants d'IA dans les architectures OT, des modèles de zones et de conduits pour les flux de données d'IA, et la gestion du cycle de vie de la sécurité pour les systèmes d'IA dans les environnements industriels.

Construire un cadre de gouvernance de l'IA pour les organisations énergétiques

Les organisations énergétiques ont besoin de cadres de gouvernance de l'IA qui traitent l'intersection unique de la protection des infrastructures critiques, de la sécurité OT et de l'innovation commerciale par l'IA.

Comité de gouvernance de l'IA des infrastructures critiques : établissez un organe de gouvernance qui reflète le contexte d'infrastructure critique. Incluez le CISO et la direction de la sécurité informatique, le responsable de la sécurité OT et l'ingénierie des systèmes de contrôle, le directeur des opérations ou le responsable des opérations, la direction de la planification réseau et de la gestion des actifs, les opérations de marché et de négoce d'énergie, les affaires réglementaires et la conformité, ainsi que la santé et la sécurité au travail. Ce comité doit avoir le pouvoir d'approuver, de restreindre ou d'interdire les déploiements d'IA sur la base d'une évaluation des risques pour les infrastructures critiques.

Classification des systèmes d'IA pour l'énergie : mettez en place un système de classification qui reflète les implications de sûreté et de sécurité OT. La Zone 1 (OT critique) inclut les systèmes d'IA s'interfaçant directement avec le SCADA, les systèmes de protection ou le contrôle de production : ceux-ci exigent la gouvernance la plus élevée, y compris une évaluation de sécurité indépendante, une analyse de dossier de sûreté et une acceptation du risque au niveau du conseil. La Zone 2 (adjacente à l'OT) inclut les systèmes d'IA consommant des données OT à des fins d'analytique mais sans accès en écriture aux systèmes de contrôle : ceux-ci exigent des contrôles rigoureux des flux de données, une validation de la segmentation réseau et une revue de sécurité OT. La Zone 3 (critique pour l'activité) inclut les systèmes d'IA traitant des données commerciales sensibles (positions de négoce, plans réseau, données clients) : ceux-ci exigent une revue de sécurité d'entreprise standard plus une évaluation de la gestion des données propre au secteur énergétique. La Zone 4 (activité générale) inclut les systèmes d'IA pour les fonctions générales de l'entreprise sans exposition à l'OT ou à des données sensibles : ceux-ci exigent une revue de sécurité de base et une conformité d'usage acceptable.

Contrôles de la frontière OT/IT pour l'IA : mettez en place des contrôles de défense en profondeur à la frontière entre IT et OT pour les systèmes d'IA. Déployez l'edge computing d'IA au sein du périmètre OT pour l'analytique opérationnelle critique en temps réel, réduisant le besoin de transmettre des données OT vers des services d'IA cloud. Utilisez des diodes de données ou des passerelles unidirectionnelles pour les systèmes d'IA nécessitant des flux de données OT. Ne permettez jamais aux services d'IA cloud d'avoir une connectivité réseau directe vers les environnements OT. Mettez en place une surveillance sensible aux protocoles aux frontières IT/OT capable de détecter un trafic anormal lié à l'IA. Maintenez des environnements isolés (air-gapped) pour les systèmes de contrôle les plus critiques, avec des procédures manuelles de transfert de données pour toute analyse par IA.

Évaluation des fournisseurs pour l'IA énergétique : les fournisseurs d'IA énergétique, prestataires de solutions d'analytique réseau, de maintenance prédictive, de prévision de la demande et d'optimisation de marché, exigent une évaluation au regard des normes des infrastructures critiques. Évaluez l'alignement de la maturité AESCSF du fournisseur, les certifications et l'expérience en sécurité OT, la souveraineté des données (hébergement des données en Australie pour les données d'infrastructure critique), la capacité d'habilitation de sécurité pour les travaux sur infrastructures sensibles, les dispositions de réponse aux incidents et de continuité d'activité, ainsi que les obligations contractuelles relatives à la conformité au SOCI Act et à la coopération en matière d'assistance gouvernementale.

Gestion du changement pour l'IA opérationnelle : les systèmes d'IA affectant les opérations énergétiques exigent une gestion du changement rigoureuse alignée sur les procédures de l'AEMO et les protocoles des opérateurs de réseau. Testez les changements d'IA dans des environnements isolés qui reproduisent les conditions opérationnelles. Menez des déploiements échelonnés avec surveillance et capacité de retour arrière immédiat. Maintenez des procédures de neutralisation manuelle et de contournement pour toutes les décisions opérationnelles assistées par l'IA. Documentez les versions des modèles d'IA, la traçabilité des données d'entraînement et les références de performance. Planifiez les changements de systèmes d'IA pendant les périodes opérationnelles à faible risque, avec une coordination opérationnelle appropriée.

Prévention du Shadow AI et gouvernance de l'IA des effectifs dans l'énergie

Le Shadow AI dans le secteur énergétique pose des risques qui dépassent la confidentialité des données pour toucher la sécurité des infrastructures critiques et la sûreté opérationnelle.

Scénarios de Shadow AI à haut risque dans l'énergie : des ingénieurs réseau collant des capacités de lignes de transport, des réglages de protection ou des données de topologie réseau dans des outils d'IA pour analyse. Des personnels d'exploitation de la production utilisant l'IA pour interpréter des données de performance de turbine ou des schémas d'alarme SCADA. Des négociants en énergie saisissant des données de positions de marché, des stratégies d'enchères ou des conditions contractuelles dans l'IA pour analyse. Des techniciens de terrain utilisant l'IA pour dépanner des défauts d'équipement en téléversant des manuels d'équipement, des données de diagnostic ou des photographies de site. Des équipes de service client alimentant l'IA avec des données de réclamations clients, des schémas de consommation ou des informations de précarité pour la rédaction de réponses. Des planificateurs réseau utilisant l'IA pour analyser des prévisions de demande et des propositions d'augmentation contenant des données sensibles de planification réseau.

Le défi de la main-d'œuvre distribuée : les services publics énergétiques exploitent de grandes mains-d'œuvre géographiquement distribuées, techniciens de terrain, monteurs de lignes, opérateurs de postes, personnels de centrales de production, dont beaucoup travaillent à distance ou sur des sites distribués. Les contrôles de sécurité d'entreprise traditionnels peuvent ne pas s'étendre efficacement à ces travailleurs, qui utilisent de plus en plus d'appareils mobiles et peuvent avoir une connectivité réseau d'entreprise limitée. L'adoption du Shadow AI parmi les travailleurs de terrain, utilisant des applications d'IA sur smartphone pour identifier des équipements, interpréter des codes de défaut ou rédiger des rapports, est particulièrement difficile à détecter et à contrôler.

Contrôles techniques pour l'énergie : mettez en place une segmentation réseau garantissant que les réseaux OT n'ont aucun chemin vers des services d'IA externes, même via les appareils des employés. Déployez une gestion des appareils mobiles (MDM) avec des contrôles d'applications d'IA pour tous les appareils de la main-d'œuvre de terrain. Utilisez des règles DLP configurées pour les modèles de données propres à l'énergie, identifiants d'équipement, références de nœuds réseau, chiffres de capacité de production et paramètres de systèmes SCADA. Mettez en place un filtrage DNS et des contrôles de proxy web bloquant les points de terminaison de services d'IA connus, tant sur les réseaux d'entreprise que sur les réseaux adjacents à l'OT. Surveillez le trafic d'API d'IA provenant des postes de travail d'ingénierie et des systèmes opérationnels.

Fournir des alternatives d'IA sûres : déployez des outils d'IA approuvés adaptés aux besoins du secteur énergétique. Fournissez une plateforme d'IA sur site ou en cloud privé pour l'analyse d'ingénierie qui garde les données OT dans des environnements contrôlés. Proposez une IA de maintenance prédictive approuvée avec des contrôles de sécurité OT et de gestion des données appropriés. Mettez à disposition une plateforme d'IA analytique client validée avec une gestion des données conforme au Privacy Act pour les opérations de détail. Créez des modèles de requêtes et des processus d'IA approuvés pour les tâches d'ingénierie et opérationnelles courantes.

Formation et culture : la formation à l'IA du secteur énergétique doit insister sur le contexte d'infrastructure critique. Menez une formation spécifique aux rôles qui relie la sécurité de l'IA à la sûreté opérationnelle et aux résultats de sécurité publique. Utilisez des exercices fondés sur des scénarios, « que se passe-t-il si un adversaire empoisonne le modèle de prévision de la demande ? », pour rendre les risques tangibles. Intégrez la sécurité de l'IA dans les évaluations de préparation opérationnelle et les briefings de sûreté. Engagez-vous dans la formation AESCSF et les forums sectoriels (tels que les programmes pour le secteur énergétique de l'Australian Cyber Security Centre) pour rester au fait des menaces émergentes de l'IA pesant sur les infrastructures énergétiques.

Principaux risques de sécurité de l'IA dans le secteur Energy & Utilities

Compromission SCADA/ICS via l'IA

Systèmes d'IA s'interfaçant avec la technologie opérationnelle créant des vecteurs d'attaque vers les systèmes de contrôle industriel, avec un potentiel de perturbation physique du réseau

Manipulation par l'IA de la stabilité du réseau

Attaques adverses sur l'IA de prévision de la demande ou d'équilibrage de charge provoquant un dispatching incorrect de la production et une instabilité du réseau

Exposition des données d'infrastructure critique

Topologie du réseau, réglages de protection et données de capacité de production exposés via des outils d'IA, créant un risque de sécurité nationale

Shadow AI dans les équipes d'ingénierie

Ingénieurs et opérateurs utilisant des outils d'IA non approuvés avec des données OT, des configurations SCADA et des informations de planification des infrastructures

Confidentialité des données de compteurs intelligents clients

Données de consommation énergétique granulaires révélant des schémas de comportement des occupants, traitées par l'IA sans conformité adéquate au Privacy Act

Non-conformité au SOCI Act

Défaut d'inclusion des systèmes d'IA dans les Critical Infrastructure Risk Management Programs, exposant l'organisation à une action coercitive réglementaire

Liste de conformité IA pour le secteur Energy & Utilities

  • 1
    Inclure les systèmes d'IA dans le Critical Infrastructure Risk Management Program (CIRMP) au titre du SOCI Act
  • 2
    Évaluer annuellement la maturité de la gouvernance de l'IA au regard des domaines de capacité de l'AESCSF
  • 3
    Mettre en place une segmentation réseau garantissant qu'aucun service d'IA cloud n'a d'accès direct à l'OT
  • 4
    Mener des évaluations de sécurité pour tous les systèmes d'IA classés en Zone 1 ou Zone 2 (interfacés avec l'OT)
  • 5
    Déployer l'IA edge au sein du périmètre OT pour l'analytique opérationnelle critique en temps réel
  • 6
    Vérifier la conformité des fournisseurs d'IA aux obligations du SOCI Act et aux exigences de souveraineté des données
  • 7
    Mettre en place des règles DLP détectant les modèles de données OT dans le trafic sortant vers les services d'IA
  • 8
    Établir des procédures de gestion du changement pour les systèmes d'IA affectant les opérations énergétiques
  • 9
    Former l'ensemble du personnel d'ingénierie, d'exploitation et de terrain aux outils d'IA approuvés et à la gestion des données OT
  • 10
    Maintenir une capacité de neutralisation manuelle pour toutes les décisions opérationnelles assistées par l'IA

Guides sectoriels associés

À découvrir

Sécurisez l'IA dans votre organisation du secteur Energy & Utilities

Aona AI aide les organisations du secteur energy & utilities à découvrir, surveiller et gouverner l'usage de l'IA grâce à des contrôles de conformité propres au secteur.