Les infrastructures critiques et les entités critiques – les industries et les organisations essentielles au fonctionnement économique et social – sont une cible évidente pour les cybercriminels. Il est essentiel que les technologies qu’elles utilisent pour la sécurité et l’efficacité opérationnelle ne créent pas elles-mêmes de vulnérabilités de cybersécurité. Nous examinons ici les problèmes et les moyens de renforcer la résilience.
Trouver des exemples de la gravité croissante des cyberattaques contre les infrastructures critiques n’a malheureusement jamais été aussi facile. Le Center for Strategic and International Studies (CSIS) tient à jour une liste des cyberincidents et cyberattaques importants contre des organismes gouvernementaux et d’autres organisations – une liste qui compte plus de 50 cas pour juste l'année 2024. Et il ne s’agit que de ceux qui sont tombés dans le domaine public.
Bien que tous ces éléments ne concernent pas spécifiquement des attaques contre ce qui serait considéré comme une infrastructure critique, il est clair que les services essentiels au bien-être économique et social d’un pays sont une cible clé pour ceux qui souhaitent créer une perturbation maximale.
Par exemple, un pirate informatique a récemment réussi à accéder aux systèmes d’un centre de traitement de l’eau dans la ville d’Oldsmar, en Floride. Pendant l’attaque, le pirate a réussi à augmenter brièvement les taux d’hydroxyde de sodium à des niveaux dangereusement élevés, passant de 100 parties par million à 11 100 parties par million.
En mai 2023, le secteur de l’énergie au Danemark a subi la plus grande cyberattaque coordonnée de son histoire, lorsque 22 entreprises énergétiques ont été ciblées. Plusieurs vulnérabilités dans les pare-feu ont été ciblées pour l’accès initial au réseau, tandis que l’exécution ultérieure du code a donné aux hackeurs un contrôle total sur les systèmes impactés.
Bien que les vulnérabilités aient été rapidement corrigées et les réseaux affectés sécurisés, c’est un autre exemple des risques et de l’impact des secteurs clés qui sont perturbés. Cela permet également d’illustrer la façon dont les cybercriminels recherchent constamment des faiblesses dans la sécurité réseau et de potentielles failles à exploiter. Dans notre monde de plus en plus connecté, chaque terminal réseau peut représenter une opportunité d’attaque.
Il n’est donc pas surprenant que la fréquence des cyberattaques continue de croître. Des recherches ont révélé que les cyberattaques contre les infrastructures critiques ont augmenté de 30 % depuis 2022, avec plus de 420 millions d’attaques survenues entre janvier 2023 et janvier 2024, ce qui équivaut à 13 attaques par seconde.
Un monde connecté, c’est un monde piratable
Le monde est plus connecté que jamais. L’Internet des objets (IoT) est constitué de milliards d’appareils et de capteurs connectés entre eux, de hauts-parleurs intelligents aux caméras de surveillance, fournissant des services précieux et créant d’énormes gains d’efficacité pour les consommateurs et les entreprises. Les périmètres entourant les réseaux d’entreprise sont devenus plus perméables par leur conception, facilitant les connexions externes des employés, des fournisseurs et des clients, et de millions d’appareils.
Les réseaux au sein d’infrastructures critiques ne sont pas différents. Bien que la nécessité de sécuriser tout réseau soit importante, les risques associés aux violations des réseaux d’infrastructures critiques sont si importants qu’une approche robuste de la cybersécurité dans le secteur est d’autant plus impérative.
De plus, les réglementations ont évolué et ont été créées pour inclure les entités critiques, y compris toute organisation impliquée dans la chaîne logistique des infrastructures critiques, et pour se concentrer sur la résilience de ces organisations face aux cybermenaces. L’ampleur des facteurs qui doivent désormais être pris en compte est mise en évidence par la définition de la résilience de l’UE : « la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en remettre ».
Des réglementations telles que la Directive sur la résilience des entités critiques (CER) et la Directive NIS 2 ont défini des exigences beaucoup plus strictes pour l’ensemble de la chaîne logistique des infrastructures critiques, ainsi que des sanctions sévères en cas d’infraction.
Malheureusement, tous les appareils et systèmes en réseau peuvent être néanmoins vulnérables. Tout appareil, s’il n’est pas protégé conformément aux recommandations du fournisseurs, peut être le maillon faible qui permet à un pirate informatique d’accéder au système et entraîner une cyberattaque potentiellement catastrophique.
Alors que les caméras de surveillance réseau jouent un rôle central dans la sécurité physique des infrastructures critiques, l’ironie ultime serait que ces mêmes appareils constituent le point d’entrée d’une violation du réseau d’une infrastructure critique.
La meilleure pratique consiste à ne faire confiance à personne avant vérification
Aucun réseau ne peut être 100 % cybersécurisé. Libres de toute réglementation et aussi bien financés que n’importe quelle start-up, les cybercriminels cherchent constamment à innover dans leurs méthodes d’attaque. Il est donc essentiel que les opérateurs d’infrastructures critiques travaillent tout aussi dur pour comprendre le paysage des menaces en évolution constante et garder une longueur d’avance.
À mesure que de plus en plus d’appareils se connectent aux réseaux utilisés par des infrastructures critiques, il devient clair qu’un pare-feu unique centralisé n’est plus suffisant pour renforcer la sécurité du réseau. Une nouvelle approche consiste implémenter des couches de sécurité sous la forme de réseaux zéro confiance.
Pour faire simple, comme le nom l’indique, les réseaux zéro confiance sont basés sur l’hypothèse qu’aucune entité se connectant au réseau et à l’intérieur de celui-ci, qu’elle soit en apparence humaine ou machine, n’est digne de confiance. Quels qu’ils soient, d’où qu’ils se connectent et quel que soit leur mode de connexion, ils ne sont pas dignes de confiance tant qu’ils n’ont pas été vérifiés.
Cette vérification peut se faire de plusieurs façons et à de multiples reprises, et implique également souvent d’accorder un accès uniquement à la partie spécifique du réseau nécessaire à l’exécution d’une tâche. La vérification s’applique aussi bien aux appareils, y compris aux caméras, qu’aux individus. La capacité de tout appareil connecté à vérifier irréfutablement son identité est essentielle dans une architecture réseau zéro confiance.
Des mesures supplémentaires doivent être prises pour s’assurer que chaque aspect de la solution de surveillance est aussi sécurisé intrinsèquement que possible, et de nombreuses ressources sont disponible pour aborder la cybersécurité.
Surveillance et gestion de l’état du système
Tout comme la surveillance de notre propre santé est essentielle pour repérer les problèmes mineurs et les faiblesses susceptibles de s’aggraver dans le futur, une surveillance efficace de la santé des solutions de surveillance joue le même rôle dans l’identification des problèmes, comme les appareils hors-lignes ou les connexions défaillantes.
La visibilité complète de tous les dispositifs de surveillance connectés au réseau et de leur état offre une compréhension complète du système. Cela facilite l’identification, la résolution et la limitation des problèmes potentiels.
Outre la surveillance de l’état, les outils logiciels peuvent faciliter les mises à jour du logiciel de l’appareil. C’est essentiel pour corriger les vulnérabilités identifiées et pour maintenir les solutions de surveillance sécurisées, en particulier à mesure que les entreprises ajoutent plus d’appareils IoT à leurs réseaux
Cybersécurité tout au long de la chaîne de valeur
Les solutions de surveillance modernes efficaces sont la somme de nombreux éléments. Alors que les caméras de surveillance elles-mêmes sont devenues des appareils informatiques plus puissants, et qu’elles ont la capacité d’héberger des analyses par l’IA, un aspect clé de la cybersécurité est une vision holistique de la résilience sur l’ensemble de la chaîne de valeur.
Il va de soi que les infrastructures critiques ont toujours mis l’accent sur la sécurisation physique des sites, usines et bâtiments sur lesquels des millions de personnes à travers le monde comptent pour les services fondamentaux de la vie quotidienne. Les menaces actuelles étant autant numériques que physiques, il est essentiel de porter la même attention à la cybersécurité. C’est un objectif qui restera une priorité pour Axis et nos partenaires.
