C’est dans un contexte de fortes tensions géopolitiques où cybermenaces et cyberattaques constituent de vrais risques pour les nations, que le jeudi 10 novembre le Parlement européen a voté en faveur de l’adoption de la nouvelle directive, Network and Information Security, ou NIS2.
En mai 2021, Colonial Pipeline, le plus grand système d’oléoducs de produits pétroliers raffinés des Etats-Unis, a subi une cyberattaque dévastatrice. Cette attaque est encore dans toutes les mémoires, tant elle a paralysé l’entreprise concernée. La violation, due à un mot de passe VPN vulnérable, a en effet entraîné la fermeture de l’entreprise pendant plusieurs jours, provoquant ainsi des pénuries de pétrole sur la côte Est. Ce n’est qu’un exemple de l’effet dévastateur que peut avoir une attaque sur une industrie essentielle.
13 secteurs sont regroupés sous le terme générique « d’infrastructures essentielles », à savoir : les produits chimiques, le nucléaire civil, les communications, la défense, les services d’urgence, l’énergie, la finance, l’alimentation, les services publics, la santé, l’espace, les transports et l’eau. Toutes ces entreprises qui fournissent des services essentiels au fonctionnement quotidien de la société sont des fourmilières de données extrêmement sensibles et confidentielles que les cyberacteurs mal intentionnés peuvent facilement monnayer sur le dark web, favorisant ainsi la cybercriminalité et les perturbations.
Ce risque élevé s’est déjà fait sentir dans le monde entier, puisque divers organismes nationaux et publics ont été pris pour cible, des gouvernements de Cuba et du Pérou aux compagnies des eaux telles que South Staffordshire Water, en passant par le plus grand opérateur ferroviaire du Danemark et le NHS, qui a été touché par une attaque de la chaîne d’approvisionnement. Compte tenu des tensions politiques actuelles dans le monde, le risque d’une nouvelle attaque contre nos infrastructures essentielles est non seulement préoccupant, mais aussi très probable. Voyons donc à quoi ressemble le paysage actuel des menaces et comment les entreprises, ainsi que les agences gouvernementales, peuvent mieux se protéger.
Pourquoi les infrastructures essentielles sont-elles plus à risque ?
L’accent mis sur les infrastructures essentielles est intentionnel. Les cybercriminels sont parfaitement conscients de l’impact que la moindre perturbation a sur les services vitaux, non seulement sur le plan financier, mais aussi sur la confiance du public. Par exemple, on ne peut pas imaginer que les gens soient privés d’électricité ou d’eau. Cela signifie que les entreprises sont plus susceptibles de payer en cas de ransomware. Les pirates sont également très perspicaces et frappent pendant les périodes de troubles et profitent par exemple de la crise énergétique actuelle pour lancer des attaques de phishing ou de type « man-in-the-middle ».
Un autre facteur de risque commun aux entreprises d’infrastructures essentielles est qu’elles ont toutes un niveau élevé de technologies interconnectées. Il peut s’agir de vieux périphériques qui ne sont peut-être pas utilisés tous les jours mais qui sont toujours actifs, ou d’un équipement indispensable aux activités de l’entreprise mais qui ne fonctionne qu’avec un ancien logiciel qui ne peut pas être patché. Une grande partie de cet actif, bien que présent sur nos réseaux gérés, ne dépend pas de nos équipes spécialisées dans le numérique et la sécurité. Il est vrai que certaines industries sont plus dépendantes que d’autres, comme les services publics, mais tous les secteurs ont leur propre bataille à livrer.
Faute de comprendre de manière cohérente leur parc technologique, ces industries ont beaucoup plus de mal à mettre en œuvre une stratégie de sécurité globale et laissent le champ libre aux pirates qui veulent accéder à l’ensemble du réseau.
Le problème est-il dû à une connectivité accrue ?
La situation s’est aggravée avec l’introduction des appareils IoT, incroyablement complexes à gérer et rarement conçus dans un souci de sécurité. Plus les entreprises collectent de données et étendent leurs infrastructures réseau, plus elles deviennent attrayantes pour les pirates, et plus il leur est difficile de se défendre contre les menaces.
Il est essentiel de ne pas oublier les expériences antérieures telles que Colonial Pipeline, mais de s’en servir pour préparer les mesures à venir. La connectivité accrue élargit certes la surface d’attaque et la rend plus difficile à gérer, mais des technologies permettent de sécuriser ces appareils connectés contre les nouvelles menaces et de faciliter cette transition.
Il est ainsi essentiel de ne pas bloquer le progrès technologique. Dans le secteur des transports, en montant dans un avion, comment savoir si c’est un pilote qui contrôle l’appareil ou s’il est en pilotage automatique ? Mais cela ne change pas pour autant notre intention de voyager et de partir en vacances en toute confiance. Il est possible d’établir le même niveau de confiance en ce qui concerne les évolutions des voitures sans pilote, malgré leur haut niveau de connectivité et leur dépendance à l’informatique. Pour ce faire, il est essentiel que les fabricants intègrent la sécurité dans ces produits. Et, si la sécurité est prise en compte lors de la conception, les risques de violation sont alors moindres. Il s’agit d’un message qui s’adresse à tous les secteurs, mais surtout à celui des infrastructures essentielles.
Les OIV sont ainsi de vrais gyrophares qui attirent les cybercriminels dans le monde entier. Le niveau de menace continue de croître, et les conséquences ne font que s’aggraver. Il est temps d’agir et la prévention devrait être au cœur de toutes les mesures qu’elles prennent pour mieux se protéger. Puisse ce début d’année voir la mise en place de véritables stratégies cyber au sein des entreprises.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));