En mai, le site d’un réacteur nucléaire fictif des Sandia National Laboratories à Albuquerque, au Nouveau-Mexique, a servi de terrain d’entraînement pour un exercice d’intervention en cas d’incident, le premier en son genre, qui consistait à réagir à une cyberattaque et à une attaque matérielle combinées. Il s’agit d’un exemple parmi plusieurs d’exercices collaboratifs que les experts des Laboratoires nucléaires canadiens (LNC), avec le soutien de partenaires sectoriels, entreprennent pour faire évoluer la préparation et la réponse aux risques de sécurité pour les organisations d’infrastructures essentielles. Des équipes d’experts en cybersécurité des LNC et de Sandia ont dirigé cet exercice pratique afin de démontrer et d’évaluer la capacité de détection et d’intervention dans un scénario de double attaque. L’exercice a également mis en évidence les avantages d’une approche collaborative pour lutter contre la fréquence et la sophistication croissantes des cyberattaques sur la technologie opérationnelle.
« L’industrie nucléaire, y compris les laboratoires nationaux, apporte une expertise et des capacités importantes pour s’attaquer à un problème qui devient très coûteux pour de nombreuses organisations industrielles », affirme Bill Ulicny, chef de la Direction de la sûreté et de la sécurité des LNC. « Les LNC, par exemple, possèdent des décennies d’expérience dans la conception et l’exploitation de systèmes essentiels aux centrales nucléaires et les normes élevées et les bons résultats de l’industrie en matière de sécurité sont le fruit de décennies de connaissances et d’expérience en matière de préparation aux situations d’urgence et d’intervention en cas d’incident ».
L’exercice a été le point culminant d’une collaboration américano-canadienne qui a débuté en 2021 dirigée par Énergie atomique du Canada limitée et de la National Nuclear Security Administration des États-Unis, afin de permettre une collaboration et une coordination transparentes entre les LNC et les laboratoires nationaux des États-Unis. Dans le cadre de cette collaboration, deux exercices antérieurs d’intervention en cas d’incident ont testé les installations de pointe des LNC à Fredericton, au Nouveau-Brunswick.
Un exercice de cette ampleur était une première pour les organisations en présence. Environ 60 personnes y ont participé et 12 mois de planification ont été nécessaires. L’exercice en temps réel, d’une durée de cinq heures, a réuni plusieurs acteurs, contrôleurs d’exercice, évaluateurs et observateurs des services publics, agences gouvernementales et organismes de réglementation. Les équipes expérimentées en matière de sécurité matérielle et de cybersécurité de Bruce Power ont contribué non seulement à garantir que les scénarios étaient réalistes et pertinents, mais aussi à fournir les participants de l’exercice qui testeraient leur formation en matière d’intervention en cas d’incident et leurs procédures organisationnelles.
Le travail acharné a porté fruit. En effet, l’expérience pratique s’est avérée très efficace pour évaluer et améliorer les capacités d’intervention en cas d’incident.
« Renforcer notre cyberrésilience est une priorité nationale et stratégique. Ces travaux financés dans le cadre du plan de travail fédéral sur les activités de science et technologie nucléaires d’Énergie atomique du Canada limitée renforcent nos partenariats entre le gouvernement et l’industrie à l’échelle nationale et internationale », déclare Karen Huynh, directrice des programmes et des partenariats stratégiques d’EACL. « Ce type d’exercice pratique constitue une occasion unique de renforcer nos capacités en matière de cybersécurité afin de soutenir les réglementations et de permettre à l’industrie d’agir. »
Commentaires à propos de l’exercice :
« Ce fut un réel plaisir de travailler avec une équipe bilatérale aussi forte sur ce projet important et conséquent. Je pense que ce que nous avons commencé ici contribuera de manière significative à la sécurité nucléaire au niveau mondial. »
– Pratap Sadasivan, conseiller principal à l’Office of International Nuclear Security de la National Nuclear Security Administration (NNSA) du département de l’Énergie des États-Unis.
« Le programme d’exercice Cy-Phy qui s’est déroulé à Sandia en mai 2023 a été une occasion fantastique pour Bruce Power de mettre à l’épreuve ses équipes d’intervention combinées dans un scénario d’attaque hybride dans un environnement réaliste. Bruce Power a profité de l’occasion pour améliorer plusieurs processus et interfaces qui auraient été difficiles d’identifier sans être totalement immergé dans l’installation de sécurité matérielle/cybersécurité du réacteur nucléaire fictif. Bruce Power est très heureuse d’apporter des idées à nos organisations homologues en permettant l’observation de nos équipes Cy-Phy exécutant nos plans d’intervention en cas d’incident au cours de cet exercice, ainsi que de fournir de précieux commentaires aux LNC/SNL sur la façon d’organiser de futurs exercices. »
– Greg Kuhl, analyste principal des systèmes d’information, Bruce Power
« Bruce Power est fière d’avoir été une partie prenante clé à la fois dans le développement et l’exécution de cet exercice inédit dans l’industrie. En collaboration avec des partenaires nationaux et internationaux, cet exercice a démontré l’engagement de l’industrie en faveur d’une utilisation sécuritaire et fiable de la technologie nucléaire au profit de la société par le biais de la production d’énergie et de la recherche. »
– Chris Allen, chef de section, formation en incendie et en sécurité, Bruce Power
