L'interdépendance croissante des entreprises et des secteurs d'activité a accru la capacité des failles de sécurité à se répercuter sur plusieurs secteurs. L'évolution de la réglementation vise à renforcer la résilience en commençant par les infrastructures essentielles dont nous dépendons.
Getting your Trinity Audio player ready...
null

Les cyberattaques sur les infrastructures critiques peuvent causer des temps d'arrêt opérationnels importants et des pertes financières, tant pour le fournisseur lui-même que pour les nombreux clients qui dépendent du fournisseur pour des services essentiels tels que l'électricité, l'eau et Internet.

L'un des rappels les plus récents s'est produit en juillet 2024, lorsque les réseaux des fournisseurs de services Internet (FSI) à travers les États-Unis ont été pris pour cible par des pirates informatiques, perturbant les activités de millions de clients commerciaux et personnels.

Une attaque unique et plus ciblée peut également avoir des répercussions importantes en raison de l'interdépendance des secteurs des infrastructures essentielles. En mai 2021, une attaque par rançongiciel contre le géant de l'énergie Colonial Pipeline a provoqué une pénurie généralisée de carburant et une flambée des prix des matières premières, affectant les flottes de camions, les clients des stations-service et les compagnies aériennes dans de nombreux États américains¹.

En février 2024, la violation des données d'un grand fournisseur de technologies de la santé a eu des répercussions sur la facturation, le traitement des assurances et l'accès aux soins pour les hôpitaux, les pharmacies et les cabinets médicaux dans l'ensemble des États-Unis, affectant en fin de compte environ 190 millions de personnes².

Dans un monde où une grande partie de nos activités quotidiennes dépendent du fonctionnement des secteurs d'infrastructures essentielles, l'impact d'une perturbation peut se faire sentir très loin, avec des conséquences sur la sûreté, la sécurité et la stabilité économique.

Qu'est-ce qu'une infrastructure essentielle?

Les infrastructures critiques comprennent à la fois des composants physiques et virtuels et se réfèrent aux systèmes, installations et actifs essentiels au bon fonctionnement de la société et de l'économie.
Les infrastructures critiques traversent certains de ces secteurs, avec des interdépendances et des liens entre eux:
  • Énergie
  • Systèmes de transport
  • Ports aériens et maritimes
  • Santé
  • Eau potable
  • Intervention en cas de crise
  • Alimentation et agriculture
  • Gestion des eaux usées et de l'eau
  • Espace
  • Certaines administrations publiques centrales
  • Fabrication essentielle

L'effet domino à l'ère de l'interconnexion

Lorsque les infrastructures critiques sont la cible d'une intrusion cybernétique, l'impact est généralisé. Par exemple, l'interruption des réseaux de communication, les pannes de courant sur l'ensemble du réseau électrique et les embouteillages dans les transports peuvent entraîner d'importantes interruptions d'activité dans plusieurs secteurs industriels.

La numérisation continue des économies modernes a exacerbé ces interdépendances. Avec la dépendance croissante aux services en nuage, par exemple, la consolidation entre les fournisseurs a augmenté le risque qu'une panne d'un seul fournisseur ait un impact mondial. Le manque de diversification des fournisseurs de services en nuage est un facteur qui a été mis en évidence en 2024 en raison de la panne informatique de CrowdStrike, qui était le résultat d'une mise à jour défectueuse plutôt que d'une cyberattaque. En tout, il y a eu six pannes importantes des services en nuage au cours de l'année.3

Pendant ce temps, le périmètre d'attaque s'élargit également. L'augmentation du nombre d'appareils connectés, connue sous le nom d'Internet des objets (IdO), signifie que le piratage d'un appareil spécifique - quelque chose d'aussi inoffensif qu'un thermostat intelligent ou une webcam - pourrait fournir un point d'entrée dans le réseau plus large d'une entreprise.

Le défi avec de nombreux appareils connectés d'origine est que l'attrait des consommateurs a préséance sur la sécurité. La militarisation des appareils lors d'attaques par déni de service distribué (ADSD) a mis en évidence cette vulnérabilité et les nouvelles générations ont été conçues avec une sécurité plus robuste à l'esprit4.

Pourquoi une infrastructure essentielle est-elle une cible?

Les infrastructures critiques sont des cibles attrayantes pour les cyberattaques en raison de leurs interrelations avec presque tous les secteurs des affaires, du gouvernement et de la société. Ce sont les infrastructures qui soutiennent les économies, donc une attaque réussie est susceptible de provoquer un grand impact, permettant aux attaquants de se faire un nom dans le monde criminel dans lequel ils opèrent.

Pour les pirates informatiques aux motivations politiques, la perturbation des systèmes critiques a pour but de déclencher le chaos, menaçant ainsi la sécurité publique et la cohésion sociale.

Les attaques commanditées par des États découlent souvent de conflits géopolitiques, reflétant le passage de la guerre physique à la guerre cybernétique, les pirates informatiques cherchant à provoquer des perturbations et à recueillir des renseignements.

Lorsque les groupes de pirates déploient une stratégie suffisamment large, les services essentiels peuvent également figurer parmi les nombreuses victimes qui en font les frais. Ce dernier scénario a été une caractéristique particulière des attaques de rançongiciels, notamment WannaCry et NotPetya, qui ont compté parmi leurs victimes des fournisseurs de commerce électronique, de grandes entreprises de transport maritime et des services de santé.

Ces attaques peuvent viser délibérément des services essentiels, afin de provoquer la plus grande perturbation possible et d'attirer l'attention des médias. Le secteur des soins de santé représentait près d'un quart de toutes les violations de données en 2024.5 La numérisation du secteur a accru sa vulnérabilité aux cyberattaques, et les établissements sont souvent ciblés parce que les informations de santé protégées qu'ils détiennent sont extrêmement précieuses et peuvent être facilement vendues ou exploitées.

Pour les responsables de cyberattaques, les actifs dont dépendent la plupart des gens sont ceux qui leur rapportent le plus d'argent. Les chaînes d'approvisionnement, la logistique, l'électricité et l'énergie, les télécommunications, les réseaux de transport et les systèmes de soins de santé sont tous des cibles attrayantes.
Johnty Mongan, chef de la gestion des cyberrisques chez Gallagher

Un changement de cap sur les expositions technologiques opérationnelles

Protéger les gens et les systèmes signifie rester informé et suivre la course contre les acteurs malveillants. Il s'agit notamment d'investir dans l'évaluation automatisée des vulnérabilités et la détection des intrusions, tout en formant le personnel pour qu'il constitue une première ligne de défense vigilante.

La technologie opérationnelle (OT) désigne le matériel et les logiciels utilisés par les systèmes pour surveiller et contrôler les processus physiques, les dispositifs et l'infrastructure. L'OT se trouve couramment dans les industries où les processus physiques sont critiques, comme la fabrication, l'énergie, les services publics et le transport. Des exemples de technologie opérationnelle incluent les systèmes de contrôle industriel (ICS) et les systèmes de contrôle et d'acquisition de données supervisés (SCADA). Le défi pour les entreprises des secteurs industriels qui dépendent de l'OT est de faire face aux systèmes hérités qui sont coûteux à mettre à jour. Mais avec le paysage de l'OT de plus en plus interconnecté, la mise à jour des systèmes est devenue encore plus complexe.

La prépondérance des TO obsolètes accroît considérablement la vulnérabilité aux cyberattaques. Alors qu'une fois que de tels systèmes pourraient se fier à la défense contre les « coupures d'air », où un ordinateur ou un réseau est isolé sans connexion à des réseaux extérieurs, cela devient de plus en plus difficile.

« En fin de compte, il est essentiel de réfléchir à la manière de séparer ces systèmes et de mettre en place une infrastructure informatique pour s'assurer qu'ils restent isolés du réseau général et qu'ils ne sont pas connectés à l'Internet », déclare Aldo Borsani, responsable de la cybersécurité chez Gallagher, Europe. « Toutefois, vous aurez toujours besoin d'un certain niveau de connectivité dans la technologie opérationnelle à des fins de gestion et de contrôle. »

« L'Internet des objets ajoute de la complexité à la situation et, en particulier dans l'environnement des TO, les risques associés aux cybermenaces deviennent encore plus prononcés », ajoute-t-il.

Qu'est-ce que la technologie opérationnelle et en quoi diffère-t-elle de la technologie de l'information?

La principale différence entre la technologie opérationnelle (TO) et la technologie de l'information (TI) réside dans leur objectif et leur application. Comprendre ces différences est essentiel, car la convergence de ces technologies continue de croître, entraînant de nouvelles opportunités et défis en matière de cybersécurité, de gestion des données et d'efficacité opérationnelle.

La TO désigne l'ensemble du matériel et des logiciels utilisés par les systèmes pour surveiller et contrôler les processus physiques, les appareils et les infrastructures. La TO est couramment utilisé dans les secteurs où les processus physiques sont essentiels, comme la fabrication, l'énergie, les services publics et le transport. Parmi les exemples de TO, on retrouve les systèmes de contrôle industriel (ICS) ainsi que les systèmes de contrôle de supervision et d'acquisition de données (SCADA).
TO TI
Objectif et fonctionnalité Contrôle et surveille les processus physiques et la machinerie, en mettant l'accent sur la fiabilité, la sécurité et l'efficacité des opérations. Gère et traite les données et l'information, en mettant l'accent sur l'intégrité des données, la sécurité et la disponibilité.
Environnement Environnements industriels où les systèmes fonctionnent en continu et sont souvent soumis à des conditions difficiles. Bureaux ou centres de données, avec un accent sur les processus d'affaires et la gestion des données.
Durée de vie du système Longue durée de vie, parfois des décennies, et ne sont pas fréquemment mis à jour ou remplacés. Mis à jour régulièrement pour suivre les progrès technologiques et les exigences de sécurité.
Questions de sécurité Garantit la sécurité et la fiabilité des processus physiques, en mettant l'accent sur la prévention des interruptions susceptibles de causer des dommages physiques ou des temps d'arrêt opérationnels. Protège les données contre l'accès non autorisé, les violations et les menaces cybernétiques.
Intégration et interopérabilité Historiquement non connecté aux réseaux externes, mais avec l'essor de l'Internet Industriel des Objets (IIoT), l'intégration avec les systèmes IT est de plus en plus fréquente Interconnecté et intégré à travers diverses plateformes et réseaux.

La maturité croissante de la réassurance et de la réglementation en matière de cyberassurance favorise la résilience

Comme le cyberrisque systémique demeure une préoccupation principale pour les assureurs, Gallagher Re, Beazley et Munich Re ont produit un livre blanc et un modèle pour tester la capacité de l'industrie à répondre aux risques systémiques du point de vue des sinistres.

La conclusion la plus encourageante du livre blanc est que l'industrie a augmenté ses compétences et sa capacité à gérer les cyberrisques.

Par ailleurs, les réglementations adaptées aux cyberrisques systémiques se multiplient. Les États-Unis, l'Union européenne, l'Australie et Singapour ont tous mis en œuvre une législation sur la cybersécurité qui cible spécifiquement la protection des infrastructures essentielles.

Un cadre réglementaire clé est la directive NIS2, l'extension de la directive de l'Union européenne sur la sécurité des réseaux et de l'information. Ce cadre établit des pratiques spécifiques pour la gestion des risques visant à renforcer la résilience et améliorer la cybersécurité, et décrit les pratiques de rapport et les lignes directrices pour garantir que les autorités soient informées des incidents.

En octobre 2024, la Directive sur la résilience des entités essentielles (REE) est également entrée en vigueur au sein de l'UE, offrant un plan directeur aux États membres pour renforcer la résilience et coordonner leur réponse aux attaques d'infrastructures essentielles. Ce dernier est axé sur trois domaines prioritaires clés : la préparation, la réponse et la coopération internationale.

Éviter d'être une proie facile face à l'augmentation des cybermenaces

L'impact financier et la réputation d'une cyberintrusion demeurent une source de préoccupation majeure pour les dirigeants, l'utilisation de l'IA dans le génie social et les attaques d'hameçonnage augmentant la capacité des pirates à mener des attaques plus convaincantes et ciblées.

Selon l'étude Attitudes de Gallagher à l'égard de l'adoption de l'IA et de la recherche sur les risques, les chefs d'entreprise considèrent que la menace accrue de violations de la vie privée et d'atteintes à la protection des données, ainsi qu'une plus grande vulnérabilité aux cyberattaques et à la fraude, figurent parmi les quatre principaux risques que l'IA fait peser sur l'entreprise.

Il est non seulement important que les entreprises mettent en place les contrôles adéquats et une approche solide de la cybersécurité, mais aussi qu'elles n'ignorent pas le facteur humain, d'autant plus que le paysage des menaces devient de plus en plus sophistiqué.

Au niveau mondial, nous assistons à une augmentation du nombre de réglementations adaptées aux infrastructures essentielles. Cette tendance reflète une prise de conscience croissante de l'impact potentiel des cybermenaces sur la société et l'économie, ainsi que l'attention accrue que les groupes de pirates informatiques reçoivent aujourd'hui.
Aldo Borsani, chef de la cybersécurité, Europe, Gallagher

Les cyberattaques devenant de plus en plus complexes et difficiles à atténuer, la formation continue et l'éducation des employés pour réduire le risque d'éventuelles violations de données seront cruciales pour renforcer et maintenir la résilience.

Pendant ce temps, la mise en œuvre d'une architecture de confiance zéro (zero-trust) et de l'authentification multifacteur aide à garantir que les utilisateurs, les dispositifs et les applications soient vérifiés en continu avant qu'un accès ne soit accordé.

Vérifiez votre exposition aux systèmes critiques

Les entreprises doivent tenir compte des perturbations subies par les infrastructures essentielles lors de l'analyse des scénarios et de la mise en place de redondances. Les techniques d'atténuation des risques, telles que la diversification des voies d'accès à l'Internet, peuvent atténuer l'impact de la défaillance d'un fournisseur.

Comme l'a montré l'attaque NotPetya en 2017, la cible peut être une infrastructure essentielle, mais les réseaux vulnérables peuvent être pris dans le feu croisé d'une attaque qui exploite une vulnérabilité commune.

Dans le cadre d'une course continue contre les pirates, l'IA est utilisée pour analyser et prédire ces menaces potentielles, aidant ainsi les organisations à garder une longueur d'avance sur les pirates.

La nécessité de protéger les infrastructures essentielles contre les cyberattaques concerne toutes les entreprises et tous les secteurs d'activité dans le monde interconnecté d'aujourd'hui. Les exemples de perturbations dans les domaines de l'énergie, des soins de santé et des services Internet soulignent les conséquences considérables du ciblage des services dont nous dépendons tous.

Les cadres réglementaires tels que la directive NIS2 et la directive REE sont essentiels pour renforcer la résilience et coordonner les réponses aux attaques contre les infrastructures essentielles. De même, en évaluant de manière proactive leur exposition aux systèmes critiques et en mettant en œuvre des stratégies d'atténuation des risques, les entreprises peuvent éviter d'être la proie facile d'attaques visant à exploiter des vulnérabilités non corrigées.

En restant informées et en investissant dans des mesures de cybersécurité, les entreprises peuvent mieux se protéger et contribuer à la résilience de l'économie mondiale au sens large.

Publié en mai 2025.

Sources

1 << Colonial Pipeline Confirms It Paid $4.4m Ransom to Hacker Gang After Attack, >> The Guardian, 20 mai 2021.

2 Whittaker, Zack. << How the Ransomware Attack at Change Healthcare Went Down: A Timeline, >> TechCrunch, 27 janvier 2025.

3 << Cloud Outage Risk Report 2024, >> Parametrix, consulté le 20 mars 2025.

4 Kumari, Pooja et Ankit Kumar Jain. << Une étude complète des attaques DDoS sur les réseaux IoT et leurs contre-mesures, >> ScienceDirect, avril 2023.

5 Green, Denyl. << Data Breach Outlook: Healthcare Most Breached Industry in 2024, >> Kroll, 18 février 2025.