Infrastructures critiques : aucun temps d’arrêt n’est concevable

Les conséquences d'une cyberattaque sur une infrastructure critique peuvent être catastrophiques, avec de possibles répercussions sur la vie des citoyens. C'est pourquoi les entreprises reposant sur ce type d'infrastructure doivent absolument être préparées afin de ne subir aucun temps d'arrêt.

Une infrastructure critique concentre plusieurs types d’activité, de la production d’électricité aux télécommunications en passant par la santé publique ou encore les services financiers. Elle participe grandement au bon fonctionnement d’un Etat, d’une société ou de son économie. Avec l’accélération du rythme des activités et des flux, les infrastructures critiques doivent désormais faire preuve d’une performance accrue et sans faille. Cependant, elles sont aussi de plus en plus la cible des hackers, puisque par nature, elles constituent un moyen de pression extrêmement fort, touchant tous les niveaux de publics. Dans le contexte actuel de cyberinsécurité, les entreprises reposant sur des infrastructures critiques doivent impérativement se préparer aux éventuelles attaques, un défi qui s’annonce plus que délicat.

 Il ne s’agit plus de savoir « si » mais « quand »

Il ne s’agit plus de savoir si les attaques auront lieu, mais plutôt quand, selon les organismes référents en matière de cybersécurité tels que l’ANSSI en France et l’OISF au niveau mondial. Les conséquences vont bien au-delà de la continuité d’activité, de la réputation ou des pertes financières pour une attaque « de catégorie1 », qui correspond à un incident majeur capable de faire tomber n’importe quel élément d’infrastructure critique. Elles peuvent même être catastrophiques, jusqu’à impacter la vie quotidienne des utilisateurs, semer le chaos économique, perturber des services clés ou, dans le pire des scénarios envisageables, porter atteinte à l’intégrité physique des citoyens.

Selon un rapport de 2015 de Black Hat, société spécialisée dans la thématique de la sécurité de l’information, les hackers sont à l’œuvre depuis plus de dix ans. Déjà à l’époque, la manière dont ils pénétraient les systèmes restaient obscure. La situation n’a pas beaucoup changé, et les motifs des attaques portées aux infrastructures sont encore difficiles à comprendre. Puisque les mesures préventives et les réponses proactives ne fournissent pas de solutions acceptables, la sauvegarde devient de plus en plus nécessaire.

Les récentes attaques comme celle du ransomware WannaCry, en 2017 ont marqué l’actualité française et européenne. Même si elles sont principalement dues à la persistance de vulnérabilités élémentaires qui auraient pu être traitées en amont, au non-respect des normes de sécurité, et au manque de sensibilisation de la part des responsables de l'industrie, le cœur du problème est bien l’ancienneté des nombreux systèmes informatiques encore utilisés dans les organismes d’infrastructures critiques. Bien que puissants, ils ne sont pas adaptés à la protection contre les hackers, devenue aujourd’hui inévitable.

Or, la question de la cybersécurité devient d’autant plus urgente à mesure qu’un nombre croissant de services publics critiques ont recours à des réseaux de données et des actifs hébergés dans le cloud.

Les services cloud des infrastructures critiques devraient saisir cette occasion pour installer certains mécanismes et ainsi contribuer à l’amélioration de la cybersécurité à l’échelle nationale. C’est pourquoi les décideurs informatiques doivent bénéficier d’un soutien et d’un budget suffisants, afin de renforcer leurs réseaux de données et développer des systèmes de continuité solides. De nos jours, les fournisseurs d'infrastructures critiques doivent également intégrer l'orchestration et l'automatisation en tant que composantes centrales de leurs réseaux en complément d’un système de sauvegarde des données pour atteindre les derniers objectifs de restauration et perturber le moins possible la disponibilité des entreprises et du bien-être public.

Qu’elle soit malveillante ou qu’il s’agisse d'une guerre ouverte, une attaque pourrait affaiblir des services clés. Pour les fournisseurs, c’est un risque qu’il vaut mieux éviter de prendre, surtout quand il s’agit de services nécéssaires au bon fonctionnement de l'économie et de la société, comme les réseaux électriques et de transport, l'approvisionnement en eau, la santé publique, les services financiers, l'électricité, le gaz, l'agriculture, les télécommunications, et bien d’autres.

C’est pourquoi les infrastructures critiques ne peuvent pas subir de temps d'arrêt. Les nouvelles sanctions réglementaires, qui pèsent sur toute organisation qui ne traiterait pas la question de la sécurité, ne sont pas de simples amendes arbitraires. Au contraire, elles montrent l’extrême importance de la disponibilité de l'infrastructure critique, tant pour la continuité des opérations que pour le bien-être des utilisateurs.