On peut décrire la résilience comme la capacité d’anticiper, d’identifier, de réagir, d’absorber et de se remettre des incidents. S'il s'agit d'une qualité valorisée chez les personnes, il s'agit également d'un aspect imposé par la loi aux entreprises qui fournissent des ressources et des services essentiels au fonctionnement de la société et de l'économie. Cet article s'intéresse aux raisons pour lesquelles la résilience doit être intégrée aux opérations des entités critiques et dans l’ensemble de leur chaîne de valeur.
Dans les entreprises, les risques d’interruption sont nombreux et toujours plus présents.
La prolifération des cyberattaques découlant d'un accès facilité aux ransomwares est un symptôme évident de ce phénomène. Mais toutes les interruptions ne sont pas dues à des motifs criminels. L'erreur humaine et les accidents restent à l'origine de la majorité des interruptions de service.
Une pénurie de matières premières et la perturbation des chaînes d’approvisionnement mondiales interconnectées peuvent également avoir un impact immédiat. Nous nous souvenons tous du chaos causé par le blocage du porte-conteneurs Ever Given dans le canal de Suez pendant six jours en 2021. Et la liste des problèmes ne s'arrête pas là : défaillances de machines et de processus clés, conflits géopolitiques, guerres commerciales, etc.
Le besoin de résilience est aujourd'hui une priorité pour toutes les organisations. Néanmoins, pour celles qui interviennent d'une manière ou d'une autre dans l’infrastructure critique d’un pays, la résilience revêt une importance si capitale qu’elle s'est incarnée dans une obligation réglementaire.
C’est pourquoi, des « infrastructures critiques », les textes de loi sont passés aux « entités critiques », terme qui recouvre toute organisation jouant un rôle dans le soutien d’une liste croissante de secteurs définis comme essentiels au bien-être économique ou sociétal d’un pays, aussi minime soit-il.
Les exigences réglementaires augmentent pour les entités critiques
En Europe, la directive NIS2 axée sur la cybersécurité et la directive d'application plus large sur la résilience des entités critiques (CER) sont désormais promulguées en tant que loi dans les États membres de l’UE. Ces directives imposent des critères stricts aux organisations définies comme des « entités critiques ». Cette appellation recouvre les organisations impliquées de quelque manière que ce soit dans la fourniture de services considérés comme essentiels pour le maintien des fonctions sociétales clés, le soutien de l’économie, la santé et la sécurité des populations ou la protection de l’environnement.
Les deux directives sont étroitement liées. C’est la première fois que deux directives distinctes concernent la même liste clairement définie d’entités critiques. Par ailleurs, ces lois s’appliquent à l’ensemble de la chaîne d’approvisionnement de ces organisations, ce qui élargit considérablement leur impact.
Définir (et prouver) la « résilience »
La directive REC elle-même définit la résilience comme la capacité d’une entité critique « à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir ».
Cette définition montre bien à quel point le champ d'application est vaste. L’ampleur du défi se précise d'autant plus lorsqu'on cherche à prendre en compte la multitude des causes potentielles de perturbations, qui s'ajoutent à la nécessité de s’assurer que la chaîne d’approvisionnement joue elle aussi le jeu de la résilience,
En essence, les entités critiques doivent démontrer qu’elles possèdent une compréhension globale de tous les risques potentiels auxquels elles sont exposées. Ces risques vont des attaques physiques sur l’infrastructure à la défaillance d’une pièce critique d’une machine ou d’un composant.
Évaluation complète des risques et coûts potentiels des violations
Les entités critiques doivent mener des évaluations des risques et suivre l’évolution de ces risques tous les quatre ans, en analysant à nouveau tous les risques pertinents qui pourraient perturber la fourniture de leurs services essentiels.
Inévitablement, les évaluations des risques réalisées par les entités critiques elles-mêmes devront mettre en évidence le rôle de la résilience dans leurs propres chaînes d’approvisionnement. Cette approche a pour but de créer un « effet domino » des évaluations des risques : les projets menés par les entités critiques pour répondre aux exigences des directives en matière de résilience exigent que leurs fournisseurs eux aussi mettent en œuvre une démarche similaire.
En cas d’incident interrompant la fourniture de services essentiels, les entités critiques doivent prouver qu’elles ont pris les mesures appropriées pour éviter l’incident, y réagir et s'en rétablir.
Si ces entités essentielles sont en infraction, si elles n’ont pas correctement pris en compte tous les risques ou si elles s'y sont mal préparées, les sanctions peuvent s'avérer importantes. La norme NIS2 définit des amendes pouvant atteindre 10 millions d’euros, ou 2 % du chiffre d’affaires annuel mondial total pour l’exercice précédent de la société mère ou du groupe auquel appartient l’entité critique, la valeur la plus élevée s'appliquant. Les sanctions pour violation de la directive CER seront définies par les états, mais elles pourraient facilement être similaires à celles de NIS2.
Les directives imposent également un certain niveau de transparence dans la communication. Tous les incidents doivent être signalés et les rapports doivent être partagés ouvertement et en toute transparence en incluant la nature de l’incident, la réponse et la résolution. Cette démarche est imposée dans l’intérêt des autres organisations, qui apprendront de cette expérience et pourront adapter leurs propres projets afin d'atténuer les risques.
Les technologies réseau soutiennent la résilience
Pour répondre au besoin de résilience, les entités critiques repensent l’utilisation des technologies basées sur l'IP qu’elles ont déjà en place, notamment les caméras de vidéosurveillance, les appareils audio, les solutions de contrôle d’accès, les interphones, les capteurs environnementaux, etc. - ainsi que leurs capacités d’analyse de plus en plus sophistiquées.
Ces technologies soutiennent pratiquement tous les aspects de la résilience, y compris les évaluations des risques initiales. Les données et métadonnées créées par la vidéo sur IP et d’autres appareils et capteurs connectés peuvent être analysées pour identifier pratiquement toutes les situations susceptibles de présenter un risque, ce qui est un facteur essentiel pour prouver la résilience, comme l'exige la réglementation.
Grâce aux avancées en matière de qualité d’image et d’analyses basées sur l’IA, la capacité à identifier plus précisément les problèmes de toutes sortes de façon préventive s'est considérablement améliorée. Lorsqu’il est correctement géré, le flux de données ainsi créé augmente la précision de la détection globale, ce qui est essentiel pour anticiper et éviter les problèmes. Les alertes automatisées permettent de réagir rapidement et de façon ciblée, ce qui signifie que les menaces et les problèmes potentiels peuvent être traités avant qu’ils ne se transforment en incidents.
Atténuer l’ensemble des risques
Si les cas d’utilisation traditionnels de la sécurité prouvent sans conteste l’importance de la vidéosurveillance, l'amélioration de la compréhension et de la capacité d'analyse de l’environnement favorise la résilience dans les domaines de la santé et de la sécurité, ainsi que de l’efficacité opérationnelle.
Utilisée pour ajouter une couche supplémentaire de transparence dans les zones de production, l'association de différents capteurs (vidéo, audio et thermiques) peut prévenir de façon précoce les problèmes au niveau des ressources critiques, telles que les machines ou les processus clés. Il est alors possible d'appliquer des mesures correctives avant une défaillance potentielle, et les données collectées au fil du temps soutiendront la maintenance prédictive des actifs critiques.
Le non-respect des procédures de santé et de sécurité applicables représente également un risque important, tout incident pouvant entraîner une interruption des opérations. Un contrôle d’accès robuste, qui garantit que seul le personnel autorisé est admis dans les zones sensibles d’un site, ainsi que des analyses permettant de s’assurer que les mesures de santé et de sécurité appropriées sont respectées, sont autant d'exemples qui montrent que la technologie réseau contribue à atténuer les risques internes.
Les attaques physiques par des parties externes font souvent les gros titres, mais la plupart des incidents à l'origine d'interruptions des opérations découlent d’actions ou de défaillances internes, généralement innocentes, mais parfois délibérées. Par exemple, des études ont constamment montré que l’erreur humaine était responsable de la grande majorité des cyberattaques, et il en va souvent de même pour les incidents de santé et de sécurité, les défaillances de machines ou les goulots d’étranglement dans la chaîne d’approvisionnement.
La cybersécurité reste un domaine clé du risque
Il est essentiel que toutes les technologies utilisées par les entités critiques soutiennent la posture de sécurité globale de l’organisation et contribuent à réduire le risque de cyberattaque. Un dispositif conçu pour sécuriser un aspect des opérations d’une entité critique ne doit présenter aucun de risque ni aucune vulnérabilité en soi. Les appareils doivent être à la fois sécurisés dès la conception et disposer de processus pour maintenir un niveau maximal de sécurité tout au long de leur durée de vie, le fournisseur et l’entité critique travaillant en étroite collaboration.
Ces critères sont de plus en plus souvent imposés par la réglementation, qu'elle soit générale ou spécifique. On peut évoquer la loi européenne sur la cyberrésilience, qui s’applique à tout appareil électronique connecté directement ou indirectement à un réseau, qu'il s'agisse d’une enceinte connectée à votre box ou d'un serveur installé dans un centre de données, ou encore les directives CER et NIS2, qui concernent plus précisément les entités critiques. Il est essentiel de travailler avec des fournisseurs capables de démontrer un engagement clair en faveur de la transparence en matière de cybersécurité.
La résilience n'est plus facultative, mais bel et bien incontournable
Il est dans l'intérêt de toutes les organisations d'augmenter leur résilience. Dans le meilleur des cas, une interruption des opérations peut avoir un impact à court terme sur la rentabilité. Dans le pire des cas, elle peut menacer la totalité de l’entreprise. Les coûts peuvent être directs et indirects, tangibles et intangibles, prévisibles et imprévisibles. Le préjudice à long terme sur la réputation d’une organisation peut dépasser de beaucoup l’impact financier à court terme.
En ce qui concerne les entités critiques – de la santé à la finance, du traitement des eaux à l’énergie – le régulateur a reconnu la gravité de l’impact potentiel d'une interruption dans la fourniture de ces services. Que la rentabilité de l'organisation soit menacée, c'est une chose. Mais quand c'est la santé publique qui est en péril, l'enjeu est tout autre.
Les nouvelles directives doivent être vues comme positives, mais le travail à accomplir pour les appliquer reste conséquent. Si les grandes entités et organisations critiques ont déjà amorcé leur mise en conformité, ce n'est pas encore le cas de nombreux maillons de la chaîne d’approvisionnement des infrastructures critiques. Les directives concernent un grand nombre de petites et moyennes entreprises, dont beaucoup n'ont pas les connaissances, l’expertise ou les capacités internes nécessaires pour s'y conformer. L’expertise et les compétences de tiers sont disponibles pour leur venir en aide, mais la demande pourrait bientôt dépasser l’offre. Le moment est venu d’agir.
