Récemment, un voisin a demandé à l'un d'entre nous si la Russie, Chine, La Corée du Nord et l'Iran sont vraiment capables de pirater les ordinateurs qui contrôlent le réseau électrique américain. La réponse, sur la base des preuves disponibles, est "Oui". La question de suivi était, "Combien cela coûtera-t-il de prévenir, et qui finira par payer ?"

Les réponses sont :probablement des dizaines de milliards de dollars, et probablement nous, les clients de l'électricité. C'est un majeur - et, dans notre vision, vital – investissement dans la sécurité communautaire et nationale. Mais en tant que spécialistes de la cybersécurité des grilles, nous comprenons qu'il n'est pas très clair ce que les consommateurs obtiendront pour leur argent, ni si les entreprises de services publics elles-mêmes devraient supporter une partie des coûts.

Payer pour la fiabilité

Aux Etats-Unis., le réseau électrique est un système omniprésent et très fiable. La plupart des consommateurs s'attendent à ce que les lumières s'allument lorsqu'ils actionnent l'interrupteur, et n'y pensez plus beaucoup – sauf au moment de payer la facture mensuelle.

Les hauts niveaux de performance des compagnies d'électricité dépendent de systèmes informatiques interconnectés, qui sont vulnérables aux cyberattaques. Des pirates ont détruit des portions du réseau électrique ukrainien en 2015 et 2016, couper le courant à des centaines de milliers de personnes. Les responsables américains signalent régulièrement que des agents étrangers s'efforcent d'infiltrer les systèmes d'infrastructure critiques, comme les ordinateurs qui contrôlent le réseau électrique. Un « cyberévénement » encore non précisé a affecté le réseau électrique de Californie et du Wyoming en mars 2019, selon le département américain de l'Énergie.

Alors que la couverture médiatique et les conversations entre voisins ont accru la sensibilisation du public aux risques pour le réseau, la pensée de la plupart des gens n'a pas beaucoup changé. Les gens évaluent régulièrement combien ils paient pour l'assurance automobile, s'ils ont besoin de souscrire une assurance-vie, quels sont les risques d'une procédure médicale recommandée ou s'ils se sentent en sécurité en volant dans un avion de ligne Boeing 737 Max 8. Mais ils se demandent rarement s'ils paient le bon montant pour s'assurer que les lumières s'allument quand elles sont nécessaires.

Mais qu'en est-il des protections ?

Il peut être difficile, même pour les experts, de garder une trace de tous les risques potentiels pour le réseau, un ensemble interconnecté de systèmes de contrôle industriels. Il existe de grandes menaces provenant d'événements très rares, comme des éruptions solaires massives. Et il y a des menaces relativement mineures de presque certains incidents, comme des arbres qui tombent sur des fils. Entre les deux, il y a les problèmes de cybersécurité - qui eux-mêmes peuvent aller d'un pirate informatique individuel jouant à un gouvernement national orchestrant des tentatives d'intrusion dans le réseau national.

Considérons maintenant combien nous, en tant que consommateurs de services publics, pourraient être prêts à payer pour se protéger contre ces dangers. Rendre un système plus sûr et fiable coûte de l'argent, mais souvent les avantages économiques sont difficiles à quantifier. Combien avez-vous économisé en empêchant une panne d'électricité dans toute la ville ? Cela valait-il des millions – ou des milliards – de dollars investis dans la protection ? Même si cela pouvait être calculé, il n'est pas facile de communiquer efficacement avec le public, qui font régulièrement face à de nombreux choix difficiles quant à l'endroit où dépenser leur argent limité.

Récupérer les frais

Collectivement, Les entreprises de services publics aux États-Unis prévoient déjà de dépenser des milliards de dollars par an pour les cyberdéfenses du réseau. Ces investissements comprendront la sécurisation des emplacements et des équipements, améliorer la sécurité de la chaîne d'approvisionnement des services publics, et la formation continue et le développement de la main-d'œuvre. Ces dépenses entraînent à leur tour une autre complication :la plupart des services publics d'électricité sont fortement réglementés par le gouvernement, ils doivent donc fournir un certain niveau de service et dépenser de l'argent pour les activités de conformité requises. En retour, ces services publics sont autorisés à récupérer un certain retour sur investissement.

Lorsque les coûts des entreprises de services publics augmentent, ils demandent généralement l'autorisation des régulateurs pour augmenter les prix qu'ils facturent aux clients. Ce que ces clients peuvent demander, et à notre avis sur quoi les régulateurs devraient insister, est une information claire sur ce que ces frais paieront.

À l'heure actuelle, des recherches sont en cours pour explorer les meilleures pratiques en matière de cyberdéfense des services publics, mais il n'y a que peu d'informations utiles sur ce que ces mesures devraient coûter. Finalement, les consommateurs peuvent raisonnablement s'attendre à assumer une partie des coûts, mais ils devraient obtenir autant d'informations que possible sur les avantages qui découleront des tarifs qu'ils paient.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.