La France n'échappera pas à une crise énergétique dans les mois à venir, coupures d'alimentation pour les gros consommateurs et délestage à la clé, ont prévenu les pouvoirs publics et les opérateurs électriques. Une crise qui n'épargnera pas les entreprises. Pour mesurer les risques encourus par les systèmes d'information, anticiper et tenter de parer les risques, le cabinet Maitrisedesrisques.com et l'association Infortive, regroupant des DSI de transition, ont publié une liste de 20 recommandations à destination des équipes IT. 

Après l'arrêt de plusieurs centrales nucléaires durant l'hiver 2022 d'une part puis le passage récent des tempêtes Ciaran et Domingos d'autre part, le PDG d'EDF, Luc Rémont auditionné au Sénat le 8 novembre, s'est voulu rassurant quant à la capacité de production française cet hiver. Il annonce 40 Gigawatt-heure de production pour novembre, puis 45 en décembre et 50 en janvier. Avec un remplissage des retenues hydrauliques, supérieur à la moyenne historique, qui « offre une capacité de turbinage beaucoup plus confortable que l'année dernière », comme le relate le site Public Sénat.

Un plan d'action de sobriété et protection

Néanmoins, comme le rappelle le document de Matirisedesrisques.com et Infortive, « les opérateurs électriques ont mis en place un dispositif pour piloter la baisse de la demande dans l'hypothèse où la production serait insuffisante, ». Celui-ci prévoit du délestage basé sur la solidarité entre des régions au climat clément et des régions plus froides, mais aussi des coupures. Ces opérations seront associées aux alertes Ecowatt et la plupart entraîneront une information préalable, mais « il faut aussi s'attendre à des manoeuvres d'urgence », précise le document. Les entreprises doivent se préparer, en particulier en protégeant leur SI.

Comme face à n'importe quel risque, la démarche à entamer repose sur une cartographie et une évaluation de l'impact, puis sur un plan d'action avec PCA et PRA. Les DSI et RSSI se sont déjà frottés à la question en particulier en matière cyber. Le plan d'action, première recommandation de la liste, affiche un double objectif de sobriété et de protection vis-à-vis des coupures et délestage. Afin de pouvoir « débrancher » une partie du SI sans mettre en danger l'entreprise, il faut isoler les systèmes et applications critiques (production, finance, trésorerie, paye...) des non critiques. Chacune des deux catégories sera regroupée sur des équipements physiques homogènes, afin de débrancher rapidement la partie la moins à risque, si besoin, sans mettre l'autre en danger.

Pour anticiper, une des solutions réside aussi dans la baisse de consommation générale du SI. La DSI peut conseiller aux employés de limiter le nombre d'écrans, débrancher les appareils non utilisés, mais en revanche, charger leurs portables en permanence dans l'éventualité d'une coupure d'alimentation. Elle pourra aussi travailler avec les différents services à la planification des opérations ou à l'établissement de procédures en cas d'interruption électrique.

Formaliser les procédures de redémarrage

Des procédures de redémarrage devront être formalisées pour les activités critiques, dans un ordre défini, avec des consignes spécifiques pour chaque « responsable de machine complexe (système d'information, machine industrielle, équipements de sécurité et gestion des bâtiments, etc.) ». Les activités non critiques devront elles aussi faire l'objet de procédures de redémarrage formalisées dans un ordre spécifique.

Un audit des onduleurs et des groupes électrogènes s'impose par ailleurs pour maîtriser l'autonomie du SI, des datacenters, des serveurs, etc., face à des coupures décidées par les opérateurs énergétiques qui pourraient durer jusqu'à 2 heures. Une fois ces éléments connus, il faut tenter de « maîtriser la manoeuvre d'un arrêt propre des SI critiques à l'intérieur d'une enveloppe d'alimentation qui comprend le réseau, les onduleurs et les groupes électrogènes, explique le document. [...] Un arrêt sécurisé dépend de l'état ponctuel des configurations système, de la charge sur les machines physiques imposées par les serveurs virtuels regroupés par tranche de criticité, des volumes de données en transit dans les processus, des goulets d'étranglement éventuels sur les configurations, etc. ».

Parmi les autres recommandations, on trouvera enfin des éléments sur la protection des infrastructures télécoms et des VPN, sur celle des postes de travail des télétravailleurs, sur le dispositif de protection cyber ou encore sur l'attention portée aux mesures mises en place chez les sous-traitants et l'information des fournisseurs. Sans oublier les aspects juridiques ou assurantiels, et les démarches de communication auprès des employés.