Secrétariat général de la défense et de la sécurité nationale

Secrétariat général de la défense et de la sécurité nationale
Accueil > Actualités > Articles et interventions du secrétaire général > Infrastructures critiques : le château de cartes numérique
Agrandir la police Diminuer la police Imprimer

Infrastructures critiques : le château de cartes numérique

29 mars 2013

En ce moment même, plusieurs milliers d’attaques informatiques ciblent les administrations et les entreprises françaises. Plusieurs d’entre elles échoueront mais certaines permettront aux assaillants de piller des données et des savoir-faire ou de saboter la production.

Le Livre blanc sur la défense et la sécurité nationale de 2008 a érigé, à juste titre, la cyber-menace en menace stratégique. La montée en puissance de l’agence nationale de la sécurité des systèmes d’information (ANSSI), qui m’est rattachée, nous permet de prendre la mesure de l’ampleur des actions de cyber-espionnage conduites contre nos intérêts.

La prise de conscience des caractères stratégique et critique des systèmes d’information se généralise. Début février, le Président des Etats-Unis consacra une partie de son discours sur « l’état de l’Union » aux menaces venant du cyberespace contre des infrastructures critiques telles que la production et la distribution d’énergie, les institutions financières ou le contrôle du trafic aérien.

Barack Obama annonçait également la signature d’un executive order par lequel il demande aux services de renseignement de partager avec des entreprises victimes de cyberattaques les informations classifiées les concernant. Enfin, il donne un an au department of homeland security pour identifier l’ensemble des infrastructures critiques et finaliser une feuille de route pour assurer leur sécurisation informatique. Celle-ci devra comprendre l’insertion de standards, notamment dans les marchés publics, et la diffusion de bonnes pratiques.

Pourquoi cette mobilisation de tout un pays autour d’un sujet identifié par le Président des Etats-Unis comme « un des défis les plus graves auxquels est confrontée la sécurité nationale » ?

Elle est d’abord le résultat d’un tsunami invisible. Depuis plusieurs années, les entreprises appartenant aux secteurs stratégiques de l’énergie, de l’aéronautique, de la santé ou de la défense, celles-là même qui opèrent des infrastructures critiques, subissent une vague massive de cyber-espionnage, visant à piller les données qui forgent leur avantage concurrentiel.

Il est certain que la plupart des entreprises françaises appartenant à ces secteurs stratégiques ont été victimes d’attaques informatiques réussies. Depuis des années, une part parfois importante du patrimoine immatériel de ces entreprises a été vampirisé au profit de certains de leurs compétiteurs.

Dans le meilleur des cas, c’est-à-dire lorsque l’attaque a été détectée et que le dirigeant de l’entreprise en est informé, l’expulsion de l’agresseur est réalisée après une vaste opération d’analyse, de traitement et de consolidation du système d’information. L’ANSSI est régulièrement amenée à traiter des incidents de ce type. Mais trop souvent, l’entreprise n’a ni les outils ni les compétences nécessaires à la détection d’attaques informatiques de cette nature ou elle n’en prend pas la mesure. L’hémorragie informationnelle se poursuivra alors à son insu, entraînant perte de compétitivité, et donc de marchés et d’emplois.

Il est une deuxième raison, plus inquiétante encore à la mobilisation pour élever le niveau de sécurité des infrastructures critiques. Nos sociétés sont devenues des châteaux de cartes numériques dont la solidité est semblable à celle des constructions de notre enfance.

L’indisponibilité ou le dysfonctionnement soudain de certaines infrastructures critiques portées par l’informatique peut entraîner par contagion l’arrêt de services essentiels à la vie quotidienne ou à la sécurité des citoyens. Une attaque informatique contre des infrastructures connectées aux réseaux de communication électroniques peut geler l’activité économique nationale, déclencher des catastrophes technologiques ou environnementales. Ce qui figurait depuis de nombreuses années dans les romans d’anticipation ou de science-fiction trouve aujourd’hui un écho dans notre réalité quotidienne. La faisabilité des attaques informatiques a été une première fois démontrée lors de la destruction des centrifugeuses de la centrale d’enrichissement iranienne de Natanz, attribuée à des services étatiques spécialisés. Un nombre croissant d’États annonce qu’ils se dotent de capacités d’action offensives dans le cyberespace. L’été dernier, une attaque informatique menée contre le premier producteur mondial d’énergie, le saoudien Aramco, a entraîné la destruction de 35000 ordinateurs et la paralysie de l’entreprise pendant plusieurs semaines. Cet incident a montré qu’outils et méthodes d’attaques n’étaient pas réservés aux experts des services des nations les plus avancées.

L’anticipation du Livre blanc de 2008 d’atteintes majeures contre nos infrastructures critiques par des attaques informatiques de sabotage semble donc plus que jamais réaliste.

Les infrastructures françaises sont-elles en mesure, aujourd’hui, de résister à des attaques informatiques de ce type ?

Les opérateurs d’infrastructures critiques ne sont pas tous aujourd’hui suffisamment conscients des menaces portées par le cyberespace. Les vulnérabilités portent tant sur les systèmes d’information de l’entreprise que sur les systèmes de contrôle industriels (ICS). Une ligne de production ou une centrale hydroélectrique dont le pilotage à distance serait connecté sans sécurité suffisante aux réseaux de communication électroniques deviendrait une cible potentielle de cyber-sabotage. Face à cette situation dangereuse, l’État est particulièrement actif et a identifié nos infrastructures critiques. Un travail de fond a été engagé pour actualiser les directives nationales de sécurité (DNS). Ces directives imposent des mesures de protection à plus de deux cents opérateurs d’importance vitale (OIV) répartis dans douze secteurs d’activité d’importance vitale(1) afin que soient mieux prises en compte les menaces issues du cyberespace.

L’ANSSI et d’autres administrations partenaires, comme la Direction générale de l’armement (DGA), développent leur expertise en matière de systèmes de contrôle industriels. Un travail est également engagé avec les équipementiers, les intégrateurs et les clients pour diffuser le plus largement possible des guides(2) de bonnes pratiques en matière de gestion des systèmes d’information et de contrôle de processus industriels.

Dans le secteur des communications électroniques, la loi (Art. 33-10 du Code des postes et des communications électroniques) a ouvert la possibilité de réaliser des audits des opérateurs afin d’évaluer leur niveau de sécurité.

Les travaux de la commission du Livre blanc sur la défense et la sécurité nationale ont évidemment abordé ces sujets et le nouveau Livre blanc devrait être l’occasion de faire franchir à l’ensemble des opérateurs d’infrastructures critiques une étape décisive dans la sécurité de leurs systèmes d’information et de permettre à l’État d’en évaluer la robustesse.

Il faudra parallèlement s’assurer que le secteur privé, comme les administrations, dispose des compétences humaines nécessaires et que les futurs responsables soient, dès leur formation, sensibilisés à ce qu’il est convenu d’appeler « l’hygiène informatique ».

C’est au prix de quelques contraintes, la plupart relevant du simple bon sens, que les technologies de l’information resteront demain une source de compétitivité pour notre économie, de qualité et de richesse de la vie quotidienne de nos concitoyens.....

(1) Secteurs étatiques : activités civiles de l’État ; activités militaires de l’Etat ; activités judiciaires, espace et recherche. Secteurs de la protection des citoyens : santé ; gestion de l’eau ; alimentation. Secteurs de la vie économique et sociale de la nation : énergie ; communication, électronique, audiovisuel et information ; transports ; finances ; industrie.

(2) http://www.ssi.gouv.fr/fr/bonnes-pr... recommandations-et-guides/securi te -des-systemes-industrie1s/Ia-cybersecuri te -des-systemes-industrieIs.html


RÉPUBLIQUE FRANÇAISE | SGDSN © 2014 | Informations éditeur | RSS | Contact | Aide et accessibilité | Plan