Une infrastructure dite « critique » est, par définition, essentielle au bon fonctionnement d’un Etat, d’une société ou de son économie. Elle regroupe plusieurs types d’activités, allant de la production d’électricité aux télécommunications, en passant par la santé publique et les services financiers. Avec la récente accélération du rythme des activités et des flux, les infrastructures critiques se doivent d’être de plus en plus performantes et ne présenter aucune faille. Un défi qui s’annonce délicat, en particulier dans le contexte d’une cyberinsécurité grandissante.
En effet, les infrastructures critiques sont devenues l’une des cibles favorites des hackers, car elles constituent un moyen de pression extrêmement fort, qui touche tous les niveaux de publics. Cela explique pourquoi ce type d’infrastructure catalyse toutes les attentions aujourd’hui, pour réfléchir à une meilleure protection et éviter au maximum des temps d’arrêt non-prévus.
Le monde est entré dans un « nouvel état de guerre », dans lequel la cybercriminalité est inéluctable et les entreprises d’infrastructures critiques doivent être mieux préparées.
La question n’est plus « si » mais « quand »
Aujourd’hui, selon les organismes référents en matière de cybersécurité, comme l’ANSSI en France et l’OISF au niveau mondial, la question n’est plus de savoir si les attaques vont avoir lieu, mais plutôt quand. Dans le cas d’une attaque dite « de catégorie 1 », qui correspond à un incident majeur capable de faire tomber n’importe quel élément d’infrastructure critique, les conséquences sont potentiellement catastrophiques, et pas uniquement en termes de continuité d’activité, de réputation, de pertes financières ou de confidentialité.
Les enjeux sont bien plus importants en cas de compromission d’infrastructures critiques. Les incidences sur le quotidien des utilisateurs peuvent aller du chaos économique à la perturbation de services clés ou, dans le pire des scénarios envisageables, jusqu’à l’atteinte à l’intégrité physique ou la mort de citoyens.
Il est inquiétant de constater que les causes des attaques portées aux infrastructures sont encore difficiles à comprendre. Un rapport de Black Hat, société organisatrice de conférences et d’événements autour de la sécurité de l’information, datant de 2015, a révélé que les hackers sont à l’œuvre depuis au moins une décennie, sans que l’on ne sache toujours rien de la manière dont ils pénètrent les systèmes. Dix ans plus tard, la situation n’a pas beaucoup changé. Les mesures préventives et les réponses proactives ne fournissant pas de solution satisfaisante, la sauvegarde devient de plus en plus indispensable.
Le problème de vulnérabilité
Les récentes attaques qui ont marqué l’actualité française et européenne, comme celle du ransomware WannaCry, en 2017, sont dues à la persistance de vulnérabilités élémentaires qui auraient pu être traitées en amont, mais pour lesquelles les recommandations de cybersécurité n’ont pas été correctement suivies ni appliquées. Elles s’expliquent notamment par le non-respect des normes de sécurité, et le manque de sensibilisation de la part des responsables de l’industrie. Mais en réalité, le problème est également lié à l’ancienneté de la plupart des systèmes informatiques utilisés dans les organismes d’infrastructures critiques, qui sont certes puissants, mais pas adaptés à la protection aujourd’hui nécessaire contre les hackers.
Ces systèmes de sécurité de niveau industriel sont conçus pour protéger les biens matériels et les points d’entrée ; néanmoins, la question de la cybersécurité devient urgente dès lors qu’un nombre croissant de services publics critiques ont recours à des réseaux de données et des actifs hébergés dans le cloud.
La disponibilité est essentielle
Les services cloud dans les infrastructures critiques devraient saisir cette occasion pour mettre en place des mécanismes qui contribueront à améliorer la cybersécurité à l’échelle nationale. Il est également important que les leaders informatiques reçoivent le soutien et le budget nécessaires au renforcement de leurs réseaux de données et au développement de systèmes de continuité solides. Avoir un système de sauvegarde des données n’est plus suffisant ; il est vital que les fournisseurs d’infrastructures critiques intègrent l’orchestration et l’automatisation en tant que composantes centrales de leurs réseaux s’ils veulent atteindre les derniers objectifs de restauration et perturber le moins possible la disponibilité des entreprises et du bien-être public.
Que l’attaque soit purement malveillante ou qu’il s’agisse d’une guerre ouverte, elle pourrait affaiblir des services clés – un risque que les fournisseurs ne devraient pas être prêts à prendre, surtout lorsqu’il est question de services essentiels au bon fonctionnement de l’économie et de la société, comme les réseaux électriques et de transport, l’approvisionnement en eau, la santé publique, les services financiers, l’électricité, le gaz, l’agriculture, les télécommunications – la liste est longue.
En matière d’infrastructures critiques, les temps d’arrêt ne sont tout simplement pas envisageables. Les pénalités réglementaires à venir pour toute organisation qui ne s’occuperait pas de la question de la sécurité ne sont pas de simples amendes arbitraires. Elles sont une véritable leçon de l’importance de la disponibilité de l’infrastructure critique, tant pour la continuité des opérations que pour le bien-être des utilisateurs.
