Passer

Fukushima Daiichi : que peut-on apprendre en SSI d’une catastrophe nucléaire ?

C’était en mars 2011, dix ans se sont écoulés depuis le séisme de Tohoku suivi d’un tsunami au large des côtes pacifique du Japon. Le bilan, plus de 18 000 morts et une catastrophe nucléaire, celle de la centrale de Fukushima Daiishi. A cette occasion, nous proposons de revivre la progression de cet incident à travers le prisme de la défense en profondeur tout en faisant un parallèle avec la progression d’une attaque ou d’un malware dans le monde des SI.

En bref, le principe de défense en profondeur nous vient d’abord de l’armée et a par la suite été introduit dans l’industrie (notamment dans la sûreté nucléaire) dans les années 70 et plus récemment dans les systèmes d’information. Le principe directeur de la défense en profondeur est la mise en œuvre de plusieurs barrières de sécurité (ou de sûreté) indépendantes. La compromission de l’une ne doit pas affecter celle(s) qui lui est/sont adjacente(s).

La défense en profondeur selon l’industrie nucléaire.

Le site de l’Institut de radioprotection et de sûreté nucléaire identifie 5 niveaux de défense en profondeur dans l’industrie du nucléaire.

Le premier niveau porte sur la prévention des anomalies et des défaillances. Pour cela, l’installation doit être dotée d’une excellente résistance intrinsèque et ce dès sa conception. Cette couche nous rappelant au passage le fameux security by design (nous pourrions également parler de privacy by design) est appliquée au sein de nos systèmes d’information bien que dans ce cas précis, nous dirions plutôt le safety by design.

Le second niveau implique le maintien en état de fonctionnement de l’installation. Pour ce faire, il est nécessaire de mettre en place des moyens de détection des défaillances et maîtriser les anomalies de fonctionnement, nous pourrions faire un parallèle avec nos sondes réseaux, nos SoC et les autres joyeusetés de ce type. Ensuite, lorsque les deux premières lignes ont échoué, une troisième consiste à permettre la maîtrise des accidents. Ce niveau correspond à la mise en place de systèmes de sauvegarde (et/ou peut-être dans le cas d’un SI de réplications)  qui visent à éviter une fusion du combustible, tels que les différents circuits de refroidissement par exemple.  Lorsqu’une fusion du cœur intervient malgré tout, alors la quatrième ligne de défense entre en jeu et consiste en la limitation des conséquences des accidents graves. En un mot, il s’agit de limiter les rejets radioactifs à l’extérieur de l’enceinte par le maintien des fonctions de confinement des substances radioactives (Ce que nous pourrions mettre en œuvre dans notre SI serait la déconnexion d’actifs essentiels pour limiter l’attaque ou la propagation d’un malware).  Des actions spécifiques sont réalisées à ce stade tels que l’éventage des réacteurs permettant d’y faire baisser la pression. Cependant, il est supposé que des rejets radioactifs sont malgré tout susceptibles d’intervenir, auquel cas, la cinquième ligne qui consiste à limiter les conséquences radiologiques en cas de rejets de substances radioactives entre en jeu. Il s’agit ici de mettre en place les mesures de protection de la population incluant l’évacuation et la mise à l’abri des populations dans un rayon pouvant aller jusqu’à plusieurs dizaines de kilomètres. (Cette 5 ème phase serait pour nous la gestion et la communication de la crise pour limiter les impacts internes et externes de l’attaque et / ou du malware. 

La centrale de Fukushima Daiishi.

Avant de voir comment l’accident a progressé à travers chacune de ces lignes, rappelons au préalable le principe de fonctionnement d’une centrale nucléaire et plus précisément, des centrales de Fukushima Daiishi.

La centrale de Fukushima Daiishi est constituée de 6 réacteurs de technologie REB (réacteur à eau bouillante). Dans ce type de réacteur, on y trouve un assemblage de combustible noyé dans de l’eau. Les réactions de fission des atomes d’uranium génèrent de la chaleur qui chauffe l’eau et qui produit de la vapeur. Cette dernière est envoyée dans une turbine qui entraîne un alternateur pour produire de l’électricité. Dans des situations accidentelles, la surveillance de trois paramètres est primordiale, le niveau de l’eau, la pression et la température. La vapeur produite est à environ 300 degrés tandis que le niveau de pression ne doit excéder 70 bars.  Des barres de contrôle permettent de stopper la réaction en chaîne dans le cœur, mais malgré cela, le combustible continue de chauffer, il s’agit de la chaleur résiduelle. Des systèmes de refroidissement situés dans l’enceinte de confinement et en dehors sont mis en œuvre pour éviter un emballement du cœur dû à la chaleur résiduelle et des lignes d’avantages sont présentes afin d’évacuer le surplus de pression dans l’enceinte de confinement. En résumé, maintenir le combustible froid et confiné est un enjeu majeur de sûreté.

Quand les lignes tombent l’une après l’autre.

En ce jour du 11 mars 2011, trois des six réacteurs sont en marche (1 à 3), deux sont à l’arrêt (5 et 6) et un à son cœur déchargé dans sa piscine de stockage (le réacteur 4). Dès les premières secousses du séisme, les capteurs sismiques des réacteurs déclenchent l’insertion des barres de contrôle permettant l’arrêt des réacteurs. Le séisme d’une magnitude de 9,1 entraîne la perte du réseau électrique. Les groupes électrogènes diesels prennent le relais et se mettent en marche. Tout va pour le mieux. Moins d’une heure plus tard, plusieurs vagues s’abattent sur les murs de la centrale qui est protégée par un mur de 5,9 mètres de hauteur. L’une d’entre elles, qui fait 14 mètres, dépasse les digues, noie les parties basses des bâtiments et met hors service les groupes électrogènes. La première barrière de défense qui consiste à permettre une résistance intrinsèque de l’installation tombe comme si nous avions mal évalué les risques potentiels lors de la conception de notre projet, comme si le processus de Security ou privacy by design n’avez pas était respecté en étant intégré dès l’étude d’opportunité du projet …

La centrale perd donc l’ensemble de ses moyens de surveillance, dans les centres de contrôles commandes, plus aucune indication ne remonte, ni sur la température, ni le niveau de pression ou encore les niveaux d’eau dans les cœurs. La deuxième ligne de défense vient elle aussi de tomber.  Cette dernière consiste à la mise en place de moyens de détection et de surveillance et en la maîtrise des anomalies de fonctionnement dans des conditions extrêmes. Etant dans le noir, plus personne n’avait d’indication sur les paramètres essentiels. C’est comme si nous perdions la main sur notre SI, sur les actifs qu’il le compose, certains bastion d’administration ne sont plus accessibles, des éléments réseau ne répondent plus . 

Consécutivement à ces événements, la plupart des différents systèmes de refroidissement qui pour la plupart nécessitent d’être alimenté en électricité sont hors services. Les cœurs ne sont plus refroidis. Dans les cuves, l’eau se vaporise, les cœurs s’emballent, le combustible se découvre et atteint sa température de fusion (environ 2800 degrés). Ce dernier fond, en se mélangeant avec les matériaux de structure forme un magma appelé corium. La troisième ligne de défense en profondeur qui consiste à éviter une fusion du combustible vient de voler en éclat, dans notre parallèle,  nous ne pouvons plus restaurer, nos réplicats sont corrompus, et nos sauvegardes inutilisables, le malware ou l’attaque se propage au sein de notre SI. 

Alors qu’en est-il de la quatrième ligne qui doit alors permettre de limiter les rejets radioactifs à l’extérieur ? Dans les enceintes de confinement, la vapeur s’est chargée en hydrogène, mélangé avec l’air, celui-ci peut s’enflammer violemment, mais l’enceinte de confinement est inertée à l’azote donc peu de risque d’explosion, la quatrième ligne tient bon jusqu’ici. Un dispositif permet de chasser le surplus de vapeur dans un dispositif appelé Tor, un réservoir d’eau circulaire. Ce dernier a cessé de refroidir dû à la panne des diesels et passe lui aussi en surpression. L’exploitant décide de relâcher la vapeur dans l’atmosphère via des lignes d’éventage. Normalement, tous les gaz auraient dû être conduits à l’extérieur mais l’hydrogène s’échappe par des chemins de fuite non maîtrisés, celui-ci réagit violemment au contact de l’oxygène et souffle la charpente supérieure des bâtiments réacteurs. Les éléments radioactifs sont relâchés dans l’environnement. La centrale vient de perdre sa quatrième barrière. Quant à nous, nous avons perdu précédemment la main sur notre SI et nous n’arrivons plus à contenir la propagation d’une attaque ou d’un malware et notre SI tombe étape par étape.

Tout au long de cet incident, les opérateurs sur sites ont dû composer avec une absence totale de visibilité sur les paramètres essentiels de la centrale, la méconnaissance de certaines procédures, et l’exposition à un fort rayonnement ce qui a généré beaucoup de confusion. Les informations transmises aux centres de gestion de crises étant partielles, les décisions prises en ont également souffert entraînant des conséquences graves permettant la contamination de l’environnement dont la contamination sous-marine. La cinquième et dernière barrière finit elle aussi par tomber, il s’agit maintenant de gérer la crise, de communiquer pour limiter les impacts internes et externes pour revenir dans une situation nominale, lors de l’atteinte des limites de nos mesures 

Si les différentes lignes de défenses ont bien été mises en place dans la centrale de Fukushima Daiichi, celles-ci ont été sous-dimensionnées face au niveau de la menace combinée qui s’est abattu sur le Japon ce jour-là, c’est-à-dire un séisme de 9,1 de magnitude, suivi d’un tsunami de 14 mètres. Et pourtant, à quelques centaines de kilomètres de là, la centrale d’Onagawa a parfaitement résisté à cette crise en étant pourtant localisée deux fois plus proche de l’épicentre du séisme de Tohoku que Fukushima Daiishi. Deux autres centrales impliquées n’ont pas connu d’incident majeur, ou en tout cas pas comparable à celle de Fukushima Daiishi.

La  défense en profondeur doit être pensée et conçue avec une hauteur de vue permettant d’identifier les menaces potentielles de manière plus exhaustive et d’envisager leurs combinaisons avec d’autres facteurs …  et cela dès la conception du  SI, les métiers doivent apprendre à dialoguer avec les équipes de risques management, de sécurité.

En effet, Devoteam, lors de l’étude IDC auprès de dirigeants des plus grandes entreprises de la zone EMEA, a pu mettre en avant que seulement 26 % des métiers intègrent la sécurité au sein des projets métiers lors de l’initialisation de celui-ci, 58 % identifient un manque d’interactions entre le métier et les équipes SSI.

L’objectif du “Security by design” est de répondre aux différents enjeux légaux et réglementaires, sécuritaire en garantissant le meilleur niveau de couverture des risques. Cette stratégie couplée à des mesures “agiles” comme le Zero trust peut l’être permet de répondre aux besoins de vos métiers de réduction du “time to market”, de flexibilité et d’interopérabilité dans une maîtrise des risques cyber des plus efficientes.