Les cyberattaques visant les infrastructures critiques comportent des risques au niveau de criticité très élevé. D’où la complexité de leur réglementation. Au vu des enjeux de sécurité à l’œuvre, nul ne peut faire l’économie de connaître et de se conformer à ce cadre législatif.
L’« infrastructure critique », au cœur du fonctionnement de la société
Derrière la formule, se cachent des sigles tels qu’OIV (Organisme d’Importance Vitale) pour la France ou encore OSE (Opérateur de Service Essentiel) pour l’Europe, mais pas seulement. L’expression désigne plus largement toutes les structures, privées ou publiques, dont la continuité de l’activité est indispensable au bon fonctionnement de l’État et de la société.
Stéphane Prévost, Product Marketing Manager Stormshield, précise : « Ce sont généralement des acteurs des télécommunications, du transport, de l’énergie ou encore de la santé… Tout organisme dont l’interruption de service, suite à une mise en défaillance de l’infrastructure informatique, aurait des conséquences dramatiques. »
Des cibles de choix pour les cyberattaquants
La bonne marche de ces structures se révèle donc indispensable au quotidien de nos sociétés et à la sécurité des populations. Mais ce statut en fait les cibles privilégiées d’actes terroristes ou de sabotages réalisés au moyen de cyberattaques. C’est d’ailleurs après les attentats du 11 septembre 2001 qu’une réflexion sur cette notion d’infrastructure critique a émergé en France.
Pour se prémunir de telles attaques via leurs systèmes informatiques, les infrastructures critiques doivent adopter un niveau de sécurité maximal, décrit par une jungle de directives, de versions et de textes réglementaires au niveau national ainsi qu’européen.
Une législation dense, pas toujours explicite
Comme l’explique Stéphane Prévost, la nature critique de ces infrastructures pousse les États membres de l’Union européenne à se doter de lois, de règlements et de directives pour faire en sorte que celles-ci soient résilientes face aux cyberattaques. « Si nous ne pouvons pas empêcher la cyberattaque, il faut tout faire pour réussir à la bloquer ou a minima à rétablir le service au plus vite ».
En France, une organisation du secteur de la santé est par exemple soumise à au moins quatre directives ou règlements européens (comme le RGPD, la NIS ou le PCI-DSS), deux lois ou directives françaises (Code de la santé publique et l'instruction interministérielle n°901) et potentiellement deux standards (Critères Communs et ISO27000). Sans parler des guides de bonnes pratiques. Ce cadre tend bien sûr à recommander des solutions, comme « l’arrêté relatif au secteur de la Santé de la Loi de programmation militaire (LPM) française qui impose le recours à des solutions de cybersécurité recommandées par l’État français », complète Stéphane Prévost.
Les bons réflexes : qualification, conformité et protection
Le premier réflexe en matière de cybersécurité est d’opter pour des produits qualifiés par l’ANSSI. La solution qualifiée s’illustre ainsi par sa conformité au cadre règlementaire et l’assurance d’être testée au plus haut niveau d’exigences.
« Le défi est de déployer la solution de cybersécurité tout en respectant les processus métier et les contraintes spécifiques à ces infrastructures comme par exemple la disponibilité ou la continuité de service », complète Houari Rachedi, Project Manager Stormshield.
Le défi est de déployer la solution de cybersécurité tout en respectant les processus métier et les contraintes spécifiques à ces infrastructures comme par exemple la disponibilité ou la continuité de service.
Houari Rachedi, Project Manager Stormshield
Cela implique parfois pour une mise à jour même mineure de passer par un environnement de test pour ne pas risquer de modifier l’écosystème du poste ou du réseau ou encore d’influer sur un produit métier sensible. « Nous anticipons au maximum en faisant remonter ces contraintes aux responsables produit pour qu’elles soient prises en compte dès la conception. Nos consultants interviennent ensuite pour accompagner nos clients dans le déploiement et le paramétrage », poursuit-il.
Heureusement, les infrastructures critiques disposent aujourd’hui d’équipes de plus en plus compétentes pour assurer la sécurité de leurs systèmes informatiques. Choisir des solutions recommandées et/ou qualifiées par l’ANSSI constitue une première étape, celle de la mise en conformité. Toutefois, l’accompagnement par des spécialistes peut également s’avérer utile pour tirer le meilleur parti des solutions implémentées dans un cadre contraint.
