Comment préparer un plan de sécurité d'une infrastructure critique

Même si on n'y pense pas toujours, les infrastructures critiques sont essentielles. Ce sont avant tout des systèmes importants pour l'humain, qui présentent des fonctions économiques et sociales indispensables. Elles concernent de nombreux domaines (alimentation, santé, sécurité, systèmes d'information, finances, transport…). Mais ces infrastructures restent fragiles et sont donc considérées comme critiques. Il est important de mettre en place une sécurité pour les protéger au mieux. Le Conseil Européen a réfléchi à ce problème et, en 2022, a proposé des recommandations pour organiser des tests de résistance, détecter les menaces et renforcer les principes de défense. Voyons ce qu'il en est plus précisément.

Qu'est-ce qui est considéré comme une infrastructure critique ?

Dans le domaine de la protection et prévention, les infrastructures dites critiques méritent une attention particulière. Leur destruction ou leur perturbation aurait en effet un impact important sur un pays ou une entreprise. Différents secteurs sont concernés par ces infrastructures :

Energie,

Transport,

Finances (dont le trafic électronique des paiements),

Eau potable,

Infrastructures numériques (point d'échange numérique et fournisseurs de services DNS),

Santé,

Communication électronique,

Spatial.

Une définition du terme « infrastructures critiques » est donnée par la loi du 1er juillet 2011 relative à la sécurité et à la protection des infrastructures critiques.

Ces infrastructures doivent :

Disposer d'un plan de sécurité de base,

Disposer de mesures complémentaires en fonction du niveau de la menace (défini par l'OCAM),

Établir un point de contact pour les autorités,

Organiser des exercices

Signaler tout incident aux autorités compétentes.

Les opérateurs de services, en charge de ces infrastructures, doivent disposer d'une politique de sécurité, signaler tout incident, effectuer des audits régulièrement et encore collaborer et échanger avec les autorités.

Pour ce qui concerne les entreprises, une infrastructure critique comprend différents composants physiques et virtuels interconnectés et interdépendants. Il est important que ceux qui sont responsables de ces systèmes connaissent les dernières réglementations afin de garantir leur bon état. Il sera également crucial de contrôler les centres de données, logiciels et matériels critiques, sans oublier les systèmes de cybersécurité et les infrastructures internet.

Celles-ci peuvent être confrontées à différentes menaces qui pourront perturber leurs opérations. Ces menaces peuvent être des attaques physiques, des catastrophes naturelles, des problèmes de dépendances technologiques et bien sûr des cyberattaques. Dans ce cas, les attaquants cibleront les vulnérabilités des systèmes de contrôle, des réseaux et des logiciels pour obtenir un accès non autorisé, perturber les opérations ou encore voler des informations sensibles. Des solutions logicielles et des systèmes de surveillance, de contrôle et de sécurité devront être mises en œuvre pour gérer ces infrastructures critiques.

Il s'agira ainsi de gérer des actifs. Pour cela, on devra utiliser des systèmes logiciels de gestion des actifs d'entreprise (EAM) afin de suivre les actifs d'infrastructures critiques précisément. Il sera aussi nécessaire de contrôler la surveillance et l'acquisition de données (SCADA) via des systèmes adaptés. Il conviendra encore question de surveiller la sécurité réseau. Prendre en compte des approches basées sur les risques sera aussi indispensable pour répondre de façon efficace aux incidents et réaliser une reprise efficace après le sinistre.

Il ne faudra pas négliger la conformité et les diverses exigences réglementaires. Les systèmes logiciels qui sont utilisés pour gérer ces infrastructures critiques doivent être conformes aux réglementations et aux normes.

Il ne faut pas oublier que le personnel en charge de ces infrastructures doit être correctement formé et éduqué.

Pour assurer la continuité des opérations, il sera indispensable de mettre en place des systèmes de redondance et de sauvegarde. Des tests réguliers seront mis en place concernant les systèmes de sauvegarde. Partager les informations et instaurer une collaboration entre les parties s'avère également crucial. Pour faciliter cette communication, il pourra être utile de mettre en place des partenariats public-privé.

La gestion des infrastructures critiques via des logiciels nécessite une approche globale qui comprend la surveillance, le contrôle, la sécurité, la conformité et la maintenance. Ces logiciels permettront de gérer plus facilement les infrastructures critiques. Cela permettra de garantir leur fiabilité, leur résilience et leur sécurité.

Une infrastructure critique est composée de différents actifs. Un actif comprend différentes parties qui fonctionnent comme un réseau ou un système. Cela peut concerner :

Les locaux, 

Les ordinateurs, 

Les données.

Si les composants fonctionnent ensemble comme un système unique, on dit qu'ils sont définis comme un actif. Dans le cas où les composants fonctionnent comme un système distinct, on considérera cela comme un actif distinct.

Il est aussi essentiel de noter que les infrastructures critiques sont interconnectées. Ainsi, par exemple, une défaillance dans le secteur de l'énergie pourra avoir des conséquences variées : destructions de fournitures médicales indispensables, difficultés dans le secteur de l'approvisionnement en nourriture et en eau, impacts sur les systèmes de télécommunication, perturbations des transports et de la gestion des carburants, services bancaires en difficulté, incapacités pour les entreprises de fonctionner normalement.

Cela est donc important de prendre en compte ces infrastructures critiques pour ne pas avoir de problèmes. La loi de 2018 sur la sécurité des infrastructures critiques (la loi SOCI) a été mise en place pour décrire les différentes obligations juridiques à mettre en place si vous possédez une entreprise liée à ces infrastructures. Dans le cas où votre organisation est concernée par un des secteurs considérés comme critiques ou qu'elle possède, exploite ou a un intérêt direct dans un actif d'infrastructure critique. La loi SOCI présente différentes obligations :

Informer les fournisseurs de services de données,

Fournir des informations opérationnelles au Registre des actifs d'infrastructures critiques,

Signaler les cyber incidents,

Adopter et respecter un programme de gestion des risques.

Face aux potentiels problèmes que peuvent rencontrer les infrastructures critiques, des opérateurs de services essentiels (OSE) ont été mis en place. Ils doivent répondre à trois critères :

Service essentiel au maintien d'activités sociétales ou économiques,

Service tributaire de réseaux informatiques ou systèmes informatiques,

Un incident sur ces réseaux aurait un impact important.

Ces OSE sont avant tout des « services essentiels au maintien de fonctions sociétales ou d'activités économiques vitales ». Ils sont définis par onze secteurs distincts.

Liste des services essentiels reconnus en France

Ces onze secteurs correspondent à :

L'énergie,

Les transports,

Le secteur bancaire,

Les infrastructures des marchés financiers,

La santé,

L'eau potable,

Les eaux résiduaires,

Les infrastructures numériques,

Les services fournis par l'administration publique,

Le secteur de l'espace

Le secteur de la production, transformation et distribution de denrées alimentaires.

Les États membres devront effectuer une évaluation des risques dans ces domaines au plus tard le 17 janvier 2026. Cette stratégie pour la résilience des entités critiques devra être révisée tous les 4 ans.

L'importance de disposer d'un plan de sécurité individuel pour chaque infrastructure critique

Les infrastructures critiques sont la trame des sociétés. La transformation numérique, de plus en plus importante, impose une connexion croissante. Les technologies opérationnelles (OC) doivent alors jouer un rôle primordial et les technologies de l'information (IT) présentent une connexion nécessaire pour lutter contre les cybermenaces. Il est donc essentiel de disposer d'un plan de sécurité optimal. Il faudra ainsi lutter contre les ransomwares et les campagnes de phishing. Les opérateurs d'importances vitales (OIV) doivent réagir contre les menaces qui se multiplient. Il faudra donc faire face à différents enjeux pour réagir contre les menaces et relever les défis liés aux infrastructures critiques.

Il sera nécessaire de prendre en compte les systèmes d'anciennes générations. Les OIV s'appuient sur des systèmes vieillissants. Ils peuvent être difficiles à mettre à jour à cause de problèmes opérationnels, de garantie ou encore de conformité. Le rapprochement entre les systèmes IT et OT a aussi son importance. Les environnements de technologies opérationnelles sont aujourd'hui réellement accessibles, ce qui peut signifier que les risques d'attaques sont plus fréquents. Il est aussi indiscutable que les compétences, à ce jour, sont réellement insuffisantes en matière de sécurité. Le personnel dédié manque.

De même, il est capital de prendre en compte les règles et réglementations complexes pour comprendre ce qui est autorisé. Il sera alors important d'extraire des informations pertinentes.

On pourra alors faire appel au Zero Trust pour résoudre des problématiques de sécurité liées aux infrastructures critiques. Ce sera une solution pour atteindre le niveau de cyber résilience requis. Le Zero trust consiste avant tout à éliminer toute confiance implicite. Il impose que tous les utilisateurs doivent être authentifiés. C'est donc avant tout une solution pour éviter les risques qui protègent tous les utilisateurs, que ce soient de collaborateurs dans l'entreprise, en télétravail ou encore des nœuds de réseau. C'est donc une des solutions majeures qui va permettre de renforcer la sécurité des OIV. Il doit donc faire partie du plan de sécurité individuel de chaque entreprise.

Ce plan de prévention va identifier et prévenir les risques probables pour les infrastructures critiques. Il est en conséquence fondamental de mettre en place, et cela pour chaque infrastructure critique présente, un plan de sécurité individuel.

Pour préserver les entreprises, il est donc primordial de penser à la protection des infrastructures critiques (CIP) de manière individuelle. Différentes technologies peuvent être mises en place :

CDR profond, utilisé pour désassembler un fichier et ses parties et éliminer les menaces,

DLP proactive, cette technologie de prévention des pertes de données protège avant tout les informations sensibles en supprimant les métadonnées,

Analyses multiples qui permettent de rendre les solutions antimalwares résilientes,

Vulnérabilité basée sur des fichiers, cette technologie vise à rechercher les défauts dans les fichiers avant même leur installation,

Une veille efficace sur les menaces,

Sandbox, cela va exécuter des codes non testés dans un environnement qui n'a pas accès au réseau de l'entreprise, permettant ainsi d'observer les comportements,

Conformité des endpoints, rendant possible d'identifier, évaluer et corriger les applications qui ne respectent pas les réglementations. Analyser les vulnérabilités des endpoints sera nécessaire,

Détecter les malware sur les endpoints, il sera alors possible de vérifier les bibliothèques et processus en cours d'exécution,

Supprimer les applications des endpoints, permettant de supprimer les solutions antivirus qui ne sont pas appropriées.

Cette approche proactive devra être prise individuellement pour être efficace.

Étapes pour préparer un plan de sécurité d'une infrastructure critique

Différentes étapes peuvent être mises en place pour préparer un plan de sécurité efficace.

Supposer qu'une intrusion a déjà eu lieu

Il est important de ne faire confiance à aucune demande de connexion ou d'accès et cela tant qu'elle n'est pas vérifiée et authentifiée. La surveillance devra donc être constante. Toutefois, il faut dire que dans le domaine des infrastructures critiques, cela s'avère être un angle mort. Les attaques peuvent en effet passer totalement inaperçues.

Utiliser un SOC OT

Un centre de sécurité (SOC) va regrouper toutes les technologies, talents et ressources indispensables pour surveiller les menaces en permanence. Il sera ainsi possible de détecter les anomalies et de les réduire.

Sécuriser les terminaux

Les surfaces d'attaque sont de plus en plus nombreuses au vu de la prolifération des terminaux. Les failles sont de plus en plus préoccupantes puisque ces terminaux ne sont pas surveillés en permanence. Il sera donc indispensable de mettre en place une surveillance accrue pour une protection optimale.

Préparer une réponse aux cyber incidents

Cette planification est cruciale. Elle permettra de répondre vite et bien au problème et de réduire les impacts. Cela évitera en effet de se trouver démuni face à une menace.

Mettre en place un plan pour la reprise

Restaurer les opérations après une menace est capital. Il sera donc indispensable de mettre en place un plan efficace et rapide pour la reprise. Ce sont des services essentiels pour le plan de sécurité. Ce sera aussi l'occasion d'identifier les domaines ayant besoin d'améliorations. L'infrastructure numérique sera ainsi protégée au mieux.

Pour faciliter la mise en œuvre de ce plan de reprise, les entreprises concernées par les infrastructures critiques peuvent faire appel à des experts dans le domaine. Ils pourront ainsi demander l'aide d'une personne détenant un Master gestion des risques sûreté et sécurité. Ce diplôme permet d'avoir une nouvelle approche en termes de sûreté et de pouvoir répondre aux différentes menaces de la meilleure des façons.