L’agroalimentaire, les transports, la finance, l’énergie, les systèmes d’information et la santé représentent des industries cruciales pour notre économie. Et les cybercriminels en sont bien conscients. En effet, les infrastructures essentielles – actifs physiques, cyber et humains – sous-tendent ces fonctions socio-économiques. Une perturbation mineure, une zone de conflit de longue date ou une simple rumeur peut perturber ces services essentiels et mettre en danger des individus, des entreprises, des gouvernements et des économies entières.

Les sociétés d’énergie, les organismes de santé gouvernementaux, les systèmes ferroviaires et les ports en Europe ont déjà tous fait l’objet de cyberattaques. Ces attaques soulignent l’importance de protéger les infrastructures critiques avec un minimum de contraintes.

Comprendre les menaces qui pèsent sur les infrastructures critiques et leurs impacts
Aujourd’hui, les cybermenaces qui pèsent sur les infrastructures critiques sont protéiformes  : violation de données, ransomware, attaque de la chaîne d’approvisionnement ou perturbation politique. Ces menaces ne sont pas toujours isolées. Une grande banque peut ainsi subir simultanément une violation de données et une attaque de ransomware.

Aujourd’hui, alors que les perturbations économiques et numériques remplacent la guerre conventionnelle dans l’arène mondiale et les luttes de pouvoir, les données ont une valeur inestimable. Pour les cybercriminels et les terroristes, elles constituent une cible de choix. Les violations de données ciblées deviennent plus sophistiquées que la collecte moyenne de données non autorisées. Par exemple, les collaborateurs d’une banque ont accès aux virements internationaux SWIFT mentionnant des codes d’autorisation. Si un cybercriminel, par ingénierie sociale, s’empare du code et effectue des transactions frauduleuses, les dégâts seraient gigantesques.

Les attaques de la chaîne d’approvisionnement sont également une préoccupation sérieuse pour les entreprises qui dépendent de plusieurs fournisseurs, car elles peuvent perturber les infrastructures critiques. C’est le cas de la cyberattaque d’un fournisseur qui a entraîné l’interruption des services ferroviaires au Danemark. Alors que les fabricants peuvent adhérer aux protocoles de sécurité nécessaires, chaque fournisseur doit suivre les protocoles de gestion des risques de la chaîne d’approvisionnement/des risques tiers et les compléter avec des actions correctives ou préventives régulières, lors de l’intégration, de la désintégration et des opérations en cours.

Viennent ensuite les menaces physiques. Les systèmes physiques d’un fabricant sont pilotés par des technologies d’exploitation (OT) qui sont souvent propriétaires sont développées bien avant que les systèmes informatiques n’atteignent leur état de maturité actuel. Le niveau de sécurité diffère grandement de l’informatique traditionnelle. La sécurisation des systèmes OT et de ses points de contact avec les systèmes informatiques modernes est essentielle, en particulier lorsque le niveau de numérisation et d’automatisation est élevé. L’accès par des portes dérobées doit être empêché à tout prix pour éviter une utilisation abusive.

Ces tendances signalent des implications plus importantes, bien au-delà de la paralysie des systèmes informatiques. Les cyberattaques deviennent de plus en plus courantes et sophistiquées, avec un potentiel d’impact humain. Dans des scénarii complexes, sécuriser les infrastructures critiques n’est certes pas facile mais doit devenir une priorité.

L’approche défensive
Chaque entreprise doit identifier ses infrastructures les plus critiques. Les actifs informatiques de l’entreprise répartis à travers les sites et les départements doivent d’abord être inventoriés, puis classés en fonction de leur caractère critique  : comme l’impact potentiel sur la situation financière/la réputation, l’économie du pays. Les actifs classifiés doivent ensuite être fortifiés à plusieurs niveaux avec une approche de défense solide, garantissant aux actifs les plus précieux une protection maximale. Plusieurs niveaux de protection sont plus efficaces qu’un niveau de protection uniforme.

La loi sur l’IA et ses implications en matière de cybersécurité
Les outils de sécurité avancés basés sur l’IA peuvent trier des piles de données historiques pour sélectionner des modèles de comportement. Ils peuvent corréler divers points de données, détecter des failles et identifier les potentiels suspects d’une attaque et en prédire sa probabilité.

Cependant, l’application de l’IA doit être appliquée dans le respect des lois et des droits en matière de confidentialité. L’Europe a une position ferme sur la protection des droits individuels tout en restant vigilante concernant la sécurité organisationnelle et nationale. Étant donné que l’analyse de données et l’IA non contrôlées peut être utilisée à mauvais escient par des individus, des organisations ou des pays voyous aux intentions néfastes, la loi européenne sur l’IA en cours d’adoption classe les actifs en fonction de quatre niveaux de risque identifiés  : risque inacceptable, risque élevé, risque limité et risque minimal ou nul. Elle recommande une approche discrétionnaire basée sur le risque pour l’utilisation de l’IA, avec de lourdes amendes en cas de non-conformité - jusqu’à 30 millions d’euros ou 6 % du chiffre d’affaires annuel mondial, ce qui est bien plus élevé que le RGPD.

Les organisations et entreprises qui utilisent des outils basés sur l’IA, en particulier dans les fonctions de gestion des cybermenaces, doivent tenir compte de ces subtilités s et réglementations lors de la mise en œuvre des mesures de sécurité pour leurs infrastructures critiques.