Les services de base essentiels sont des proies de choix pour des attaquants toujours plus ambitieux et agressifs. Leur cybersécurité constitue un enjeu majeur de résilience pour les États, leurs populations et leurs entreprises.

Le cyber-risque coûte 10.500 milliards de dollars et croît de 15% chaque année. S’il était un pays, son poids économique en équivalent PIB le classerait au 3ème rang mondial, derrière les États-Unis (PIB : 18.330 mrd) et la Chine (PIB : 12.900 mrd).

Le secteur public et les entreprises restent la cible prioritaire des cyber-délinquants, 90% des sociétés françaises (43% de PME) ayant constaté un incident cybercriminel en 2019.

Principaux actes malveillants observés – outre les menaces stratégiques, l’espionnage et les attaques par chaîne d’approvisionnement – les rançongiciels visent majoritairement des collectivités territoriales, la santé et l’industrie. En 2020, leur nombre a quadruplé par rapport à 2019.

Les infrastructures critiques ne sont donc pas épargnées. Touchant très largement les populations, ces services de base essentiels (énergie, défense, santé, transports, production alimentaire…), elles constituent donc un moyen de pression extrêmement fort de la part des pirates sur les États et les entreprises.

Annick Rimlinger, Directrice Sûreté-Sécurité, Cyber & Data Protection chez Aéma Groupe, et Directrice générale du Club des Directeurs de Sécurité des Entreprises (CDSE), note également que les cybercriminels attaquent constamment et sans relâche les infrastructures critiques.

Notamment en compromettant leurs systèmes de surveillances et d’alarme ICS (systèmes de supervision industrielle) et SCADA (de contrôle et d’acquisition des données en temps réel), eux-mêmes insuffisamment protégés.

L’imprévoyance bientôt sanctionnée

« Ces attaques sont de plus en plus sophistiquées et leur surface de nuisance s’étend toujours plus, à mesure que ces infrastructures critiques migrent dans le cloud et sont connectées aux appareils mobiles et aux objets intelligents, » indiquait-elle en juin dernier dans une conférence sur la question co-organisée par le Forum International de la Cybersécurité (FIC) et le CDSE.

Pour le Club des Juristes, une prise de conscience globale en matière de cybersécurité s’avère donc indispensable. Le think tank juridique émet ainsi 10 recommandations préconisant notamment de faire de la lutte contre la cybercriminalité une cause nationale pour 2022 ou encore d’inciter les États sanctuaires à mettre fin à l’impunité des groupes cybercriminels.

« Il est urgent que les dirigeants dotent leurs entreprises d’une politique de cybersécurité efficace, en même temps respectueuse de l’impératif de protection des données, » insiste-t-il.

Au niveau supranational, la Commission européenne compte aussi renforcer la cyber-résilience au sein de l’UE, avec notamment une proposition de révision de la directive sur la sécurité des réseaux et des systèmes d’information (NIS2).

Présenté en décembre 2020, le texte préconise de nouvelles obligations aux fournisseurs de services « essentiels » et « importants » dans des secteurs critiques, dont la signalisation des cyberattaques, la mise en œuvre de politiques de sécurité, l’analyse de la sécurité des fournisseurs et l’utilisation de technologies de chiffrement.

Les 27 tenus de (mieux) protéger leurs entités critiques

« Avec NIS2, les directions des entreprises seront désormais tenues responsables du non-respect de leurs obligations de surveillance et de gestion des risques de sécurité, » prévient Madame Rimlinger.

En marge de la nouvelle directive, la Commission compte aussi renforcer les obligations des États membres en matière de résilience des entités critiques.

L’évaluation de NIS1 montre en effet, l’absence d’homogénéité chez les 27, dans la mise en œuvre des exigences règlementaires : « Le régime de surveillance et d’application de la directive est inefficace, » pointe l’exécutif européen.

« Les ressources financières et humaines mises en œuvre par les États membres pour s’acquitter de leurs tâches (telles que l’identification ou la supervision des OES) et, par conséquent, les différents niveaux de compétence en matière de gestion des risques de cybersécurité varient considérablement ».

Ce dernier propose donc une autre directive pour « renforcer la résilience des entités critiques fournissant des services essentiels dans l’UE ».

Les 10 secteurs couverts seraient l’énergie, les transports, les banques, les infrastructures, les marchés financiers, la santé, l’eau potable, les eaux usées, les infrastructures numériques, l’administration publique et l’espace.

Aligné sur NIS2, le dispositif prévoit que « les États membres seraient tenus, entre autres, de disposer d’une stratégie pour assurer la résilience des entités critiques, de procéder à une évaluation nationale des risques ; et, sur cette base, d’identifier les entités critiques ».

Et ces dernières devraient procéder à leurs propres évaluations des risques, prendre les mesures techniques et organisationnelles appropriées, pour renforcer la résilience et signaler les incidents perturbateurs aux autorités nationales.

Il s’agit de « créer un cadre tous risques pour aider les États membres à faire en sorte que les entités critiques soient en mesure de prévenir les incidents perturbateurs, d’y résister, d’en absorber et de s’en remettre, qu’ils soient causés par des risques naturels, des accidents, du terrorisme, des menaces internes ou des urgences de santé publique comme celle à laquelle le monde est confronté aujourd’hui, » conclut la Commission.