Les consultants et spécialistes qui conçoivent et mettent en œuvre des solutions de surveillance et de sécurité pour l’industrie et les infrastructures critiques font face à des pressions uniques. La protection physique de ces « entités essentielles » (comme la réglementation les désigne de plus en plus) est évidemment primordiale, mais elles doivent également prendre en charge aujourd’hui la protection contre les attaques dans le domaine numérique.
De plus, le maintien de la conformité est conditionné par la nécessité pour tous les membres de la chaîne de valeur de naviguer dans un environnement réglementaire qui évolue. La cybersécurité est en effet une responsabilité partagée par toutes les personnes impliquées dans la conception, la spécification, la fourniture et l’utilisation d’une solution de surveillance. Nous explorons ici quelques-uns de ces problèmes.
Un monde où la quasi-totalité de l’industrie est critique
Perturber les services essentiels d’un pays – y compris l’approvisionnement en électricité et en eau, la fourniture de soins de santé, interférer avec la fabrication, etc. - a été de tous temps l’objectif des agresseurs lors de conflits.
Avant l’ère numérique, bien sûr, les attaques étaient exclusivement physiques. Mais l’application universelle des technologies connectées dans tous les domaines de la vie au cours des dernières décennies constitue pour les acteurs malveillants l’occasion d’utiliser à la fois des moyens physiques et numériques pour perturber les services essentiels à la société.
Ce n’est un secret pour personne : le nombre et la sophistication des cyberattaques augmentent, tandis qu’elles sont menées par un éventail élargi d’attaquants. Qu’il s’agisse de pirates amateurs malicieux, de cybercriminels bien organisés à la recherche de gains financiers ou d’acteurs soutenus par un État cherchant à saper la société d’un adversaire, les cyberattaques prennent de nombreuses formes et proviennent de multiples sources.
En raison de la nature hautement connectée des chaînes d’approvisionnement mondiales, l’ampleur de ces secteurs industriels aujourd’hui définis comme entités essentielles a également augmenté. Il y a à peine deux ou trois ans, nombre de personnes n’auraient pas considéré la production et l’approvisionnement en semi-conducteurs comme critiques. Mais les problèmes d’approvisionnement pendant la pandémie ont démontré à quel point les puces sont essentielles à bon nombre, voire à la plupart, des processus industriels modernes.
L’« effet papillon », où une petite perturbation d’un système peut avoir un impact majeur sur un autre ultérieurement, est avéré pour la chaîne d’approvisionnement technologique mondialement intégrée.
Les régulateurs face à des défis de cybersécurité
Face à un environnement de cybersécurité ultrarapide et en constante évolution, les gouvernements et régulateurs ont sans surprise du mal à suivre le rythme. De plus en plus, leur réaction est de changer la manière dont ils réglementent en matière de cybersécurité.
En termes généraux, plutôt que de définir ce que les fournisseurs de services essentiels doivent avoir mis en œuvre en matière de cybersécurité, la tendance dans la réglementation est de faire peser sur les fournisseurs la charge de prouver qu’ils ont mis en place les mesures nécessaires pour rester cybersécurisés.
Ce changement a de sérieuses implications non seulement pour les fournisseurs eux-mêmes, mais aussi pour toute partie fournissant une expertise et des solutions au sein de la chaîne d’approvisionnement de l’entité essentielle. L’ensemble de la chaîne de valeur – en amont et en aval – sera passée au crible.
La directive SIR2, exemple de l’évolution de l’environnement réglementaire
Les réglementations en matière de cybersécurité diffèrent à travers le monde. Du NIST Cybersecurity Framework aux États-Unis à la proposition de règlement sur la cyberrésilience dans l’UE, les régulateurs régionaux et nationaux définissent ce qu’ils considèrent comme l’approche la plus efficace pour sécuriser les services essentiels contre les cyberattaques.
La directive SIR2, entrée en vigueur en janvier de cette année et que les États membres de l’UE doivent promulguer d’ici octobre 2024, fournit un exemple utile pour souligner les implications d’une nouvelle réglementation pour les entités essentielles.
La directive SIR2 est une réponse à l’évolution du paysage des menaces, vise à améliorer le niveau global de cybersécurité dans l’UE et comble les lacunes observées dans la directive SIR originale. La directive vise à créer « une culture de la sécurité dans tous les secteurs qui sont vitaux pour notre économie et notre société et qui dépendent fortement des TIC, tels que l’énergie, les transports, l’eau, les banques, les infrastructures des marchés financiers, les soins de santé et les infrastructures numériques ».
Il s’agit clairement d’un exemple de la reconnaissance par les régulateurs de la nouvelle dépendance de chaque secteur à la technologie et de la manière dont les cybercriminels recherchent et exploitent constamment les vulnérabilités.
En vertu de la directive, les États membres de l’UE identifieront les entreprises et organisations qui constituent des opérateurs de services essentiels, et ces organisations devront prendre les mesures de sécurité appropriées et informer les autorités nationales compétentes de tout incident grave de cybersécurité.
En outre, les fournisseurs de services numériques clés, tels que les services de cloud computing, devront également se conformer aux exigences de sécurité et de notification de la directive. L’extension au-delà des prestataires de services essentiels et à l’ensemble de la chaîne d’approvisionnement technologique est évidente.
Solutions de surveillance, partie intégrante de la chaîne de valeur de l’entité essentielle
Comme mentionné, la protection des services essentiels a toujours été une priorité. Les mesures physiques – clôtures périmétriques, contrôle d’accès et gardiens de sécurité – ont été améliorées par la technologie, avec des solutions de vidéosurveillance avancées mises en place dans chaque installation de service essentielle. La nature de plus en plus connectée de ces solutions les a bien entendu également placées en première ligne des cyberattaques et sous la surveillance d’une réglementation en constante évolution.
Les architectes, ingénieurs et consultants qui conçoivent et spécifient des solutions de surveillance font face à une responsabilité importante. S’assurer que les solutions de surveillance sont conçues non seulement pour répondre aux exigences physiques et de cybersécurité d’aujourd’hui, mais aussi pour s’adapter aux défis en constante évolution est essentiel en vue de maintenir la conformité réglementaire.
Cela exige une « pensée systémique ». Les consultants doivent considérer la solution de sécurité de manière globale plutôt que comme une sélection d’appareils distincts, et prendre en compte les relations entre le matériel et le logiciel de la solution elle-même, ainsi que son intégration dans l’infrastructure plus large du fournisseur de services essentiel. La conception, la mise en œuvre, l’intégration et la maintenance des solutions jouent toutes un rôle essentiel dans la cybersécurité, ainsi que la reconnaissance que toute solution devra évoluer au fil du temps. Une solution qui reste statique finira par être exposée à des vulnérabilités.
Que signifie le paysage en mutation pour les concepteurs de solutions de surveillance ?
Ceux qui conçoivent et spécifient des solutions ont l’obligation de prendre en compte les risques potentiels plus larges posés par l’offre technique qu’ils recommandent. Si les solutions devraient se concentrer principalement sur la réponse aux besoins opérationnels définis, les dispositions informatiques et de cybersécurité sont désormais également essentielles. Aujourd’hui, les spécifications doivent être alignées sur des réglementations telles que la directive SIR2 pour soutenir la conformité d’une organisation.
À ce titre, les consultants doivent avoir la certitude que les produits de tout fournisseur respectent les politiques de sécurité du client individuel, y compris toutes les réglementations pertinentes s’appliquant à l’organisation du client. Il est essentiel d’assurer une diligence raisonnable appropriée dans l’approche de cybersécurité de tout fournisseur qu’ils recommandent.
Les consultants doivent également chercher à spécifier des politiques et des processus pour les fournisseurs de technologie qu’ils recommandent, ainsi que les fonctionnalités techniques qu’ils fournissent. Des fonctionnalités telles que le démarrage sécurisé, le firmware signé, les composants de sécurité qui activent l’identification automatique et sécurisée des appareils et un module de plateforme fiable (TPM) répondent aux risques posés aujourd’hui et doivent être spécifiées.
Les spécifications doivent également inclure des certifications tierces importantes, telles que la norme ISO27001, et des politiques de vulnérabilité, des notifications de conseils en matière de sécurité ainsi qu’un modèle de développement de la sécurité clairement défini.
Enfin, une approche de gestion du cycle de vie doit être incluse. L’utilisation d’outils de gestion des appareils et des solutions et d’une stratégie de firmware documentée atténue le risque futur d’attaque et protège les clients à l’avenir. Ces fonctionnalités permettent aux clients d’utiliser leur système et leurs appareils de la manière la plus sûre possible tout au long de leur cycle de vie.
Ensemble, ces politiques et processus démontrent la maturité de la cybersécurité d’une organisation et sa capacité à s’adapter à l’évolution du paysage des menaces.
Changer de rôles dans un environnement de cybersécurité en constante évolution
Pour chaque pays, l’importance de minimiser les interruptions potentielles des services essentiels est évidente et ne peut être surestimée. Au minimum, la perturbation aura presque immédiatement un impact économique. Cela peut rapidement se traduire par des problèmes sociétaux importants et un risque potentiel pour la santé et la vie humaine.
Quelle que soit l’origine de la menace, la protection des services essentiels et des entités qui les fournissent est donc vitale. Les organismes de réglementation du monde entier le reconnaissent, de même que le fait que les menaces proviennent à la fois du monde physique et du monde numérique.
Cependant, ils reconnaissent également que les menaces liées aux cyberattaques évoluent si rapidement que toute tentative de définir des mesures de cybersécurité serait obsolète avant leur publication. Par conséquent, l’approche réglementaire a changé, imposant aux fournisseurs de services essentiels de prouver qu’ils disposent de la technologie, des processus et des ressources nécessaires pour faire face au paysage des menaces.
L’effet est que toutes les personnes impliquées dans la chaîne de valeur essentielle de l’entité doivent répondre à ce défi, y compris celles qui conçoivent et spécifient des solutions de surveillance. Atténuer les risques des cybermenaces est une responsabilité partagée. Bien que nos activités en dépendent, les conséquences pour la société dans son ensemble pourraient être bien plus importantes.