Télécommunication, santé, services financiers, énergie, agriculture… La France compte 300 entreprises et organismes publics et privés considérés comme des infrastructures critiques. Les autorités françaises parlent d’Opérateurs d’importance vitale (OIV), parce qu’ils sont jugés essentiels au bon fonctionnement de l’Etat et de son économie. Pourquoi leur protection cyber est-elle essentielle ? Comment est-elle assurée ?

Des infrastructures critiques dans 12 secteurs d’activité 

La liste de ces infrastructures critiques est classée « secret défense ». Rien de moins. Impossible de connaître l’identité des entreprises et organismes publics et privés classés Opérateurs d’importance vitale (OIV). Eux-mêmes sont contraints à la plus grande discrétion. Communiquer sur leur qualité d’infrastructure critique ? Impensable. Sécurité oblige.

L’État en dénombre environ 300. Ils entrent dans le dispositif appelé « Sécurité des activités d’importance vitale » (SAIV), qui vise à assurer la protection physique et informatique des opérateurs identifiés comme indispensables à la vie de la nation. Ces OIV déploient leur activité sur environ 1500 points d’importance vitale (PIV). Ces points peuvent être des usines, des locaux administratifs et gouvernementaux, des réseaux de câbles sous-marins assurant les télécommunications, des gazoducs, des centrales nucléaires, des data centers, des établissements de santé, des ouvrages énergétiques, des installations liées à l’eau, etc.

On recense 12 secteurs d’activité d’importance vitale, répartis selon 4 grandes fonctions :  

  • Fonction humaine : alimentation, gestion de l’eau, santé.
  • Fonction régalienne : activités civiles, judiciaires et militaires de l’État.
  • Fonction économique : énergie, finance, transports.
  • Fonction technologique : communications électroniques, audiovisuel et information, industrie, espace et recherche.

Les opérateurs d’importance vitale ciblés par les cyberattaques

Les chiffres des cyberattaques concernant les OIV ne sont pas légion. Et ils ne font pas souvent l’objet de communication, pour les raisons évoquées précédemment. Cependant, l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) a indiqué début 2021 que les attaques visant des opérateurs d’importance vitale avaient quadruplé en France entre 2019 et 2020, passant alors de 50 à 200. 

Par ailleurs, la vulnérabilité des établissements de santé en matière de cybersécurité est connue. L’Agence du numérique en santé a révélé qu’en 2022, les établissements médicaux et médico-sociaux avaient déclaré 30% d’incidents de cybersécurité de plus par rapport à 2021. Tous ne sont évidemment pas considérés comme des infrastructures critiques. Il n’empêche, la santé, comme d’autres secteurs sensibles, est ciblée.

Les attaques visant des opérateurs d’importance vitale ont quadruplé en France entre 2019 et 2020.

Chiffres 2021 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)

Pourquoi les OIV sont des cibles de choix pour les cybercriminels

Même si le voile du secret entoure la sécurité des opérateurs d’importance vitale, ils représentent « logiquement » des cibles de choix pour les cybercriminels. Du fait de l’importance stratégique qu’ils représentent, les prendre pour cible est un moyen de pression d’un impact inégalable. 

Parce qu’une défaillance importante d’un ou plusieurs OIV peut semer le chaos économique, perturber des services, déstabiliser un État, voire porter directement atteinte à la sécurité des citoyens, ils sont en effet considérés comme des talons d’Achille exploitables aux yeux des hackers et hackeuses. Parfois à la solde d’États hostiles, les pirates peuvent utiliser toute la palette des cyberattaques pour tenter de porter atteinte à l’intégrité de ces structures : phishing, rançongiciels, intrusions dans les systèmes pour les compromettre ou en prendre le contrôle, vol de données sensibles et stratégiques, etc.

Dès 2008, le Livre blanc sur la défense et la sécurité nationale identifiait les attaques contre les systèmes d’information des OIV comme l’une des principales menaces pesant sur la défense et la sécurité. Au fil des années, les lois de programmation militaire édictées par le ministère de l’Intérieur ont drastiquement renforcé les obligations des OIV en matière de cybersécurité. 

Le volet cyber n’est cependant que l’une des facettes de la sécurisation drastique à laquelle sont soumis les OIV. Les infrastructures critiques doivent également mettre en œuvre des mesures de sécurité pour se protéger des attaques terroristes comme des phénomènes climatiques à même de les fragiliser.

Quelles obligations pour les infrastructures critiques en matière de cybersécurité ?

Les OIV sont soumis à des obligations visant à garantir la protection de leurs systèmes d’information, et qui comprennent notamment : la déclaration d’incident obligatoire le cas échéant, la mise en œuvre d’un socle de règles de sécurité, et le recours à des produits et à des prestataires de détection qualifiés. 

L’ANSSI est chargée d’accompagner les OIV dans la mise en place de leurs mesures de cybersécurité. L’Agence est également habilitée à contrôler les opérateurs d’importance vitale afin de s’assurer qu’ils respectent le niveau minimum de sécurité requis par le cadre réglementaire. L’ANSSI, enfin, identifie et certifie des prestataires de cybersécurité reconnus comme fiables, et vers lesquels peuvent se tourner les OIV pour remplir leur obligation sécuritaire. 

Parmi les mesures imposées aux OIV en matière de cybersécurité, on compte des règles  concernant : 

  • Le chiffrement des données,
  • La gestion des identités et des droits d’accès,
  • La sécurité des identités numériques,
  • La sécurité des objets connectés,
  • L’authentification,
  • Le cloisonnement des réseaux pour limiter la propagation des attaques,
  • Les accès à distance.

Les opérateurs d’importance vitale doivent par ailleurs être obligatoirement dotés d’un SOC (Security Operation Center) qui améliore la détection des incidents de cybersécurité et facilite la réponse aux attaques. Un arsenal qui n’a sans doute pas fini de se renforcer.

Lire aussi

En quoi consiste un audit de cybersécurité ?

Technologie & Systèmes
11 juin 2024

À l’heure où les cyberattaques se perfectionnent et gagnent en fréquence, la sécurisation des systèmes informatiques s’impose comme une priorité absolue pour toutes les entreprises. Chaque vulnérabilité représente une menace, et une seule faille peut ouvrir la porte à des conséquences désastreuses. C’est dans ce contexte qu’interviennent les audits de…

Comment concilier cybersécurité et sobriété numérique ?

Technologie & Systèmes
13 février 2024

Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de…

Vidéosurveillance intelligente : quel avenir pour la surveillance vidéo assistée par intelligence artificielle ?

Technologie & Systèmes
30 janvier 2024

Alors que le recours à la vidéosurveillance intelligente dans l’espace public soulève des interrogations quant au respect des libertés fondamentales des individus, les autorités viennent d’indiquer qu’elle ne serait utilisée que de façon restreinte lors des JO de Paris 2024. Elles n’y ont finalement pas eu recours lors de la…