L’AIEA aide des pays africains à élaborer une réglementation de sécurité informatique

La demande d’isotopes radioactifs en Afrique devrait augmenter dans les années à venir car de plus en plus de pays intensifient leur utilisation pacifique de la technologie nucléaire. L’augmentation du nombre de cas de cancer a entraîné une augmentation de la demande en radiothérapie, en radiologie et en médecine nucléaire. L’utilisation des applications nucléaires a augmenté dans les domaines de l’industrie, de l’agriculture et de la science. La demande de production de radio-isotopes dans les réacteurs de recherche a donc aussi augmenté. Ces réacteurs essentiels fonctionnent à l’aide de systèmes informatiques potentiellement vulnérables à des cyberattaques. Comme les centrales nucléaires, il leur faut des plans de protection pour prévenir les attaques malveillantes éventuelles, les atténuer et y faire face. La protection de tous les types d’installations nucléaires contre l’éventualité de telles attaques est un élément clé de l’utilisation sûre et sécurisée de la technologie nucléaire en Afrique.

Pour contrer ces menaces, de nombreux pays d’Afrique s’inspirent de l’Égypte, du Ghana et du Nigéria, qui possèdent et exploitent chacun un réacteur de recherche nucléaire. Avec l’aide de l’AIEA, ces trois pays élaborent et renforcent leur réglementation de sécurité informatique et mettent en œuvre des programmes afin de bien sécuriser leurs installations contre les actes informatiques malveillants qui pourraient nuire à leur sécurité et à leur sûreté nucléaires.

« La sécurité informatique continue de devenir de plus en plus importante à mesure que les technologies numériques et les systèmes informatiques sont intégrés dans la sûreté et la sécurité nucléaires des installations où se trouvent des matières nucléaires et autres matières radioactives et dans leurs aspects opérationnels », explique Trent Nelson, responsable de la sécurité de l’information et de la sécurité informatique à la Division de la sécurité nucléaire de l’AIEA.

« L’AIEA travaille avec les pays d’Afrique pour élaborer, examiner et améliorer les réglementations de sécurité informatique. »

En Égypte, l’AIEA collabore avec l’Autorité égyptienne de réglementation nucléaire et radiologique (ENRRA) pour examiner la réglementation de sécurité informatique existante et combler les lacunes éventuelles des aspects réglementaires. En 2022, un cours national a été organisé pour constituer les capacités nationales nécessaires pour mener des inspections de sécurité informatique dans les installations nucléaires. Utilisant les orientations sur la sécurité nucléaire de l’AIEA et les techniques dont disposent les inspecteurs, le cours a permis aux participants d’acquérir les connaissances et l’expertise pratique nécessaires pour mieux évaluer l’efficacité de la sécurité informatique dans les installations nucléaires et radiologiques.

Nadia M. Nawwar, ingénieure informatique à l’installation de production de radio-isotopes de l’Autorité égyptienne de l’énergie atomique (EAEA), était l’une des 22 participantes. « Je sais maintenant comment l’organisme de réglementation effectue les inspections de sécurité informatique et quelles dispositions de sécurité informatique l’exploitant doit mettre en place », dit-elle. « Depuis que nous avons participé au cours, nous sommes en mesure d’examiner et de valider plus efficacement les éléments de réglementation de sécurité informatique. Le cours nous a aidés à élaborer et à mettre en œuvre un programme de sécurité informatique afin de protéger les informations sensibles de l’installation et les actifs numériques sensibles vulnérables aux cyberattaques. »

Au Ghana, l’AIEA a mené une mission d’expertise en avril 2023 pour évaluer la réglementation nationale actuelle de sécurité informatique et le programme d’inspection de l’Autorité ghanéenne de réglementation nucléaire (GNRA).

« La mise au point de la sécurité informatique au Ghana a posé plusieurs difficultés, notamment l’absence de connaissances techniques locales en la matière, la conciliation des questions juridiques et du savoir-faire technique et les modalités de gestion des ressources nécessaires », indique Nelson Kodzotse Agbemava, chef d’équipe à la section cybersécurité nucléaire de la GNRA. « Au cours de l’élaboration de la réglementation, un examen par des experts de l’AIEA et d’autres pays a été sollicité pour garantir une approche globale et systématique de la sécurité informatique. »

De même, l’AIEA a mené une mission d’experts au Nigéria en octobre 2022. « La nécessité d’un cadre législatif et réglementaire efficace de sécurité informatique a été reconnue en 2019 lors de l’examen du Plan intégré d’appui en matière de sécurité nucléaire (INSSP) par l’AIEA dans le pays », explique Ethel Ofoegbu, responsable de la réglementation à l’Autorité nigériane de réglementation nucléaire (NNRA). « En conséquence, l’AIEA a évalué la réglementation nationale en matière de sécurité informatique, identifié les lacunes et fourni les conseils nécessaires. Cet examen a notamment donné lieu à l’élaboration d’un projet de réglementation nigériane sur la sécurité informatique pour les installations et activités nucléaires et radiologiques. » Actuellement, le Nigéria examine le projet de réglementation et prévoit un cours sur les inspections dans le domaine informatique.

Face à l’augmentation du nombre de demandes d’assistance des pays, l’AIEA élabore un document technique pour les aider à établir les éléments clés de la réglementation de sécurité informatique. L’AIEA se tient également prête à aider de nombreux autres pays à élaborer une réglementation de sécurité informatique dès que l’école d’élaboration des éléments de réglementation de sécurité informatique de l’AIEA sera lancée en août 2023. L’école permettra à l’AIEA d’aider simultanément plusieurs pays à élaborer leur réglementation nationale de sécurité informatique. Après le premier atelier en août, les sessions suivantes seront organisées deux fois par an dans toutes les régions. Ensemble, les participants auront l’occasion d’élaborer leurs stratégies nationales de sécurité informatique, fondement réglementaire d’un programme de sécurité informatique solide.