Sellafield Ltd, l’organisation soutenue par l’Autorité de déclassement nucléaire qui travaille actuellement à mettre fin aux opérations de l’installation nucléaire en difficulté de Sellafield en Cumbria, doit être poursuivie pour d’importantes défaillances en matière de cybersécurité sous les auspices des réglementations sur la sécurité des industries nucléaires de 2003.
Les accusations, portées par l’Office de régulation nucléaire (ONR), couvrent une série d’infractions présumées à la sécurité informatique survenus entre 2019 et 2023.
“La décision d’engager une procédure judiciaire fait suite à une enquête menée par l’ONR, l’organisme de réglementation nucléaire indépendant du Royaume-Uni”, a indiqué l’organisme dans un bref communiqué. « Rien ne laisse entendre que la sécurité publique a été compromise en raison de ces problèmes.
« Les détails de la première audience du tribunal seront annoncés lorsqu’ils seront disponibles. Étant donné que certaines affaires font désormais l’objet de procédures judiciaires, nous ne sommes pas en mesure de commenter davantage. »
L’annonce est intervenue quelques heures seulement après que le responsable de la sécurité de l’information de Sellafield, Richard Meal – un ancien officier de la RAF en poste depuis plus de 10 ans – a démissionné de ses fonctions. Il est le deuxième haut dirigeant à le faire en 2024, après la démission en janvier du directeur de la sûreté et de la sécurité, Mark Neate.
Computer Weekly comprend que les problèmes apparents de cybersécurité de Sellafield font surface depuis un certain temps et qu’en 2023, les opérateurs du site ont vigoureusement nié les allégations – découlant d’une longue enquête. Gardien enquête – que ses systèmes informatiques avaient été complètement compromis par des acteurs malveillants soutenus par des États originaires de Chine et de Russie.
Le journal a affirmé que les pirates avaient déployé des logiciels malveillants dormants difficiles à détecter sur les systèmes de Sellafield pour récolter des données et espionner le nettoyage nucléaire en cours dans l’installation, qui a été le théâtre de la pire catastrophe nucléaire jamais connue au Royaume-Uni dans les années 1950.
Le Gardien a accusé Sellafield d’avoir constamment dissimulé les intrusions, qui dateraient soi-disant de 2015, et a allégué que l’étendue de la violation n’a été révélée que lorsque les travailleurs d’autres sites ont découvert qu’ils pouvaient accéder à distance aux systèmes de Sellafield.
Un initié du site a décrit le réseau de Sellafield comme « fondamentalement non sécurisé » et a attiré l’attention sur diverses préoccupations, notamment l’utilisation de clés USB par des sous-traitants tiers et un incident au cours duquel une équipe de tournage de la BBC en visite a accidentellement filmé et diffusé les informations d’identification des utilisateurs. Certains de leurs échecs étaient si graves qu’ils auraient été surnommés « Voldemort ».
À l’époque, le directeur général de Sellafield, Euan Hutton, avait déclaré à la BBC que l’installation disposait de « systèmes de protection multicouches robustes » et d’un « centre d’opérations de cybersécurité doté d’un personnel 24h/24 et 7j/7 » qui aurait détecté toute intrusion.
L’ONR n’a pas fourni de détails sur les incidents spécifiques de cybersécurité qui fondent son action.
Un porte-parole du Département de la sécurité énergétique et du net zéro, qui assume la responsabilité ultime du financement de Sellafield, a déclaré : « La sûreté et la sécurité sur nos anciens sites nucléaires sont primordiales et nous soutenons pleinement l’Office de réglementation nucléaire dans son rôle indépendant de régulateur.
« Le régulateur a clairement indiqué que rien ne suggère que la sécurité publique ait été compromise à Sellafield.
“Depuis la période de ces poursuites, nous avons assisté à un changement de direction à Sellafield et l’ONR a noté un engagement clair à répondre à ses préoccupations.”
Un porte-parole de Sellafield Ltd a déclaré : « La Sécurité nucléaire civile et les garanties (CNSS) de l’ONR nous ont informés de son intention de poursuivre l’entreprise en raison de sa prétendue conformité aux réglementations de sécurité de l’industrie nucléaire.
“Comme la question fait désormais l’objet d’une procédure judiciaire active, nous ne sommes pas en mesure de commenter davantage.”