La cybersécurité des infrastructures critiques, un enjeu d’importance nationale

On recense 12 secteurs d’activité d’importance vitale, répartis selon 4 grandes fonctions :  

• Fonction humaine : alimentation, gestion de l’eau, santé.
• Fonction régalienne : activités civiles, judiciaires et militaires de l’État.
• Fonction économique : énergie, finance, transports.
• Fonction technologique : communications électroniques, audiovisuel et information, industrie, espace et recherche.

Les opérateurs d’importance vitale ciblés par les cyberattaques

Les chiffres des cyberattaques concernant les OIV ne sont pas légion. Et ils ne font pas souvent l’objet de communication, pour les raisons évoquées précédemment. Cependant, l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) a indiqué début 2021 que les attaques visant des opérateurs d’importance vitale avaient quadruplé en France entre 2019 et 2020, passant alors de 50 à 200. 

Par ailleurs, la vulnérabilité des établissements de santé en matière de cybersécurité est connue. L’Agence du numérique en santé a révélé qu’en 2022, les établissements médicaux et médico-sociaux avaient déclaré 30% d’incidents de cybersécurité de plus par rapport à 2021. Tous ne sont évidemment pas considérés comme des infrastructures critiques. Il n’empêche, la santé, comme d’autres secteurs sensibles, est ciblée.

Les attaques visant des opérateurs d’importance vitale ont quadruplé en France entre 2019 et 2020.

Chiffres 2021 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)

Pourquoi les OIV sont des cibles de choix pour les cybercriminels

Même si le voile du secret entoure la sécurité des opérateurs d’importance vitale, ils représentent « logiquement » des cibles de choix pour les cybercriminels. Du fait de l’importance stratégique qu’ils représentent, les prendre pour cible est un moyen de pression d’un impact inégalable. 

Parce qu’une défaillance importante d’un ou plusieurs OIV peut semer le chaos économique, perturber des services, déstabiliser un État, voire porter directement atteinte à la sécurité des citoyens, ils sont en effet considérés comme des talons d’Achille exploitables aux yeux des hackers et hackeuses. Parfois à la solde d’États hostiles, les pirates peuvent utiliser toute la palette des cyberattaques pour tenter de porter atteinte à l’intégrité de ces structures : phishing, rançongiciels, intrusions dans les systèmes pour les compromettre ou en prendre le contrôle, vol de données sensibles et stratégiques, etc.

Dès 2008, le Livre blanc sur la défense et la sécurité nationale identifiait les attaques contre les systèmes d’information des OIV comme l’une des principales menaces pesant sur la défense et la sécurité. Au fil des années, les lois de programmation militaire édictées par le ministère de l’Intérieur ont drastiquement renforcé les obligations des OIV en matière de cybersécurité. 

Le volet cyber n’est cependant que l’une des facettes de la sécurisation drastique à laquelle sont soumis les OIV. Les infrastructures critiques doivent également mettre en œuvre des mesures de sécurité pour se protéger des attaques terroristes comme des phénomènes climatiques à même de les fragiliser.

Quelles obligations pour les infrastructures critiques en matière de cybersécurité ?

Les OIV sont soumis à des obligations visant à garantir la protection de leurs systèmes d’information, et qui comprennent notamment : la déclaration d’incident obligatoire le cas échéant, la mise en œuvre d’un socle de règles de sécurité, et le recours à des produits et à des prestataires de détection qualifiés. 

L’ANSSI est chargée d’accompagner les OIV dans la mise en place de leurs mesures de cybersécurité. L’Agence est également habilitée à contrôler les opérateurs d’importance vitale afin de s’assurer qu’ils respectent le niveau minimum de sécurité requis par le cadre réglementaire. L’ANSSI, enfin, identifie et certifie des prestataires de cybersécurité reconnus comme fiables, et vers lesquels peuvent se tourner les OIV pour remplir leur obligation sécuritaire. 

Parmi les mesures imposées aux OIV en matière de cybersécurité, on compte des règles  concernant : 

• Le chiffrement des données,
• La gestion des identités et des droits d’accès,
• La sécurité des identités numériques,
• La sécurité des objets connectés,
• L’authentification,
• Le cloisonnement des réseaux pour limiter la propagation des attaques,
• Les accès à distance.

Les opérateurs d’importance vitale doivent par ailleurs être obligatoirement dotés d’un SOC (Security Operation Center) qui améliore la détection des incidents de cybersécurité et facilite la réponse aux attaques. Un arsenal qui n’a sans doute pas fini de se renforcer.