Intervention de Stanislas Martin

Les exercices sont essentiels pour assurer la continuité d'activité. Nous n'allons pas aussi loin que les Estoniens, car EDF produit de l'électricité mais n'est pas responsable de son transport, dévolu à RTE. De surcroît, nos systèmes industriels sont séparés des systèmes de gestion. Ils sont donc impénétrables de l'extérieur. Faire cesser la production d'une centrale d'EDF de l'extérieur est impossible.

Au début de la crise ukrainienne, 6 000 éoliennes d'Europe se sont soudainement arrêtées en raison de la propagation d'un virus cyber par satellite. Les réseaux ont une marge pour absorber un choc de cet ordre, d'autant qu'ils sont interconnectés d'un pays à l'autre, ce qui autorise l'entraide. Lorsque la production de la centrale de Zaporijjia est tombée, nous avons couplé, en application d'une décision européenne, le réseau ukrainien au réseau européen pour lui permettre de fonctionner.

Notre dernier exercice cyber a rassemblé 400 personnes de tous les métiers du groupe. Nous avons fait tomber les systèmes de gestion et les systèmes de communication les uns après les autres. Le Retex a démontré que, dans une crise cyber, le premier vecteur de la crise est le facteur humain, et que sa gestion dépend de la capacité à assurer la continuité d'activité.

Les entités doivent être résilientes à l'isolement de leurs capacités pendant un certain temps. Après l'invasion de l'Ukraine, nous avons fait en sorte que les PCA permettent à chaque entité de fonctionner environ une semaine de façon isolée. Sur la base de ce Retex, nous avons porté cette période à quinze jours.

Pendant les JOP, nous doublerons les astreintes cyber pour garantir la continuité d'activité des sites olympiques.