Par Nathan Howe, Directeur de l’innovation chez Zscaler
Une tendance croissante à la privatisation touche les infrastructures critiques telles que les télécommunications grand public, les services ferroviaires, ainsi que les secteurs écologiques comme la recharge des véhicules électriques et l’énergie solaire domestique. Cette évolution suscite des préoccupations croissantes concernant la sûreté et la sécurité de ces secteurs, incitant les équipes de sécurité à rechercher des solutions. Bien que ces secteurs évoluent rapidement, il est impératif de les identifier et de les définir pour les protéger efficacement. Il est crucial de comprendre l’étendue et la profondeur des OIV d’un pays, de déterminer leur nature, et de décider quelles nouvelles infrastructures doivent être priorisées pour la protection.
Qu’est-ce qu’une activité prioritaire ?
À l’heure actuelle, il existe treize secteurs d’infrastructures nationales, parmi lesquels on compte les communications, l’énergie, les transports et l’eau, pour n’en citer que quelques-uns.
Le Royaume-Uni, la France, l’Espagne et la majorité des autres nations européennes ont également adopté des mesures de ce type et mettent un accent particulier sur la cybercriminalité. De nombreux pays se sont efforcés de définir les secteurs critiques pour renforcer leur protection contre les cyber menaces en constante évolution mais certains n’ont pas encore emboîté le pas. L’absence de réglementation mondiale se traduit par un manque de protection cohérente et d’unification. Les cybercriminels ont par conséquent le champ libre et causent des dommages importants.
Les infrastructures critiques traditionnelles telles que le nucléaire civil et l’industrie chimique sont protégées par des mesures de défense physique qui maintiennent les intrus à l’écart. Cependant, les secteurs plus récents, comme les systèmes de chargement des véhicules électriques et l’énergie solaire ne sont pas dotés du même système et leur protection est souvent inadaptée à l’étendue et à la force du risque cyber actuel.
Le danger potentiel de l’innovation
Si l’on examine de plus près les chargeurs de véhicules électriques, on constate que la technologie elle-même est accessible, qu’elle se trouve dans des stations-service ou dans des zones moins protégées auxquelles le public a facilement accès. Force est de constater qu’elle est facile à compromettre. Les chargeurs de véhicules électriques, de par leur facilité d’ouverture et de manipulation, représentent un risque non négligeable pour les OIV auxquelles ils sont connectés, dont les réseaux d’électricité, le systèmes de gestion du des services financiers et l’accès à internet. En l’absence de contrôles physiques, il est indispensable d’appliquer les principes fondamentaux de la cybersécurité pour limiter le potentiel d’attaques. Récupérer le contrôle des systèmes informatiques une fois qu’ils ont été compromis représente l’une des batailles les plus difficiles de l’industrie cybernétique.
Les systèmes de ces nouvelles solutions, tels que les panneaux solaires domestiques, ne sont évidemment pas soumis à une régulation aussi stricte que les réseaux nationaux d’énergie. Une fois le hardware et le software identifiés, des cybercriminels peuvent prendre le contrôle de l’énergie réinjectée dans le réseau. Résultat : s’il exploite des effets en cascade, un cybercriminel peut provoquer des dégâts considérables, même s’il ne contrôle qu’une infime quantité d’énergie. En définitive, un pirate pourrait ainsi déclencher des pannes d’électricité ayant des répercussions sur la distribution et la transmission à l’échelle nationale.
À qui incombe la responsabilité de protéger les infrastructures nationales ?
Face aux enjeux actuels, il est extrêmement complexe de déterminer à qui incombe la responsabilité de protéger un paysage des infrastructures en constante évolution. Qu’il s’agisse des gouvernements, des entreprises ou des particuliers, il est important que la ou les parties prenantes trouvent un équilibre entre innovation et réglementation. Dans plusieurs pays européens, la protection des OIV est envisagée comme une responsabilité partagée entre le gouvernement, les entreprises et/ou les opérateurs, ainsi que la société civile. Pour éviter une catastrophe mondiale, les pays doivent s’engager à mettre en place dès maintenant des fondations sécurisées pour permettre à la société de fonctionner sans être continuellement exposée au risque omniprésent de la cybermenace.
La solution Zero Trust
Pour protéger les OIV des cyber-dangers trois étapes sont essentielles. Le concept de Zero Trust est conçu pour répondre à ces trois exigences : tout d’abord, la visibilité du risque, ensuite, l’identification des données critiques qui doivent être sécurisées et enfin, la mise en œuvre de la protection de ces données. Le Zero Trust est une approche qui offre aux pays, aux gouvernements et aux entreprises la possibilité d’évaluer de manière exhaustive les risques auxquels ils sont confrontés, et de mettre en place des passerelles de protection appropriées.
Plus la cyber-protection est granulaire, mieux c’est. La grande leçon que doivent retenir les responsables de la protection des infrastructures nationales critiques, est sans aucun doute l’importance de mettre en place une bonne stratégie et ce, dès le départ. Protéger l’infrastructure en amont, avant que la faille ne se produise, est le moyen le plus sûr de la protéger. Le monde attend en effet une réglementation mondiale ou nationale pour déterminer la sécurité de ces nouvelles branches d’activité de plus en plus enclines à la privatisation.
