Les infrastructures critiques sont une cible de choix pour les cyberattaques
Les cyberattaques contre les infrastructures critiques constituent un problème majeur, qui n’est pas près de disparaître. Pourquoi ? Parce que ces systèmes sont à la base de tout. Ils alimentent les foyers, les transports et les systèmes de santé. Lorsqu’ils sont touchés, les conséquences peuvent être catastrophiques. Pensez à ce qui se passe lorsqu’un réseau électrique s’éteint ou que les systèmes hospitaliers sont hors service. Des vies sont en jeu.
Pourtant, la réalité est tout autre, et nombre de ces systèmes essentiels, en particulier au Royaume-Uni, fonctionnent avec des budgets dérisoires. Ils sont obsolètes, sous-financés et constituent une proie facile pour les attaquants qui utilisent des méthodes éprouvées pour percer les défenses. Ces piratages ne sont pas toujours à la pointe de la technologie et sont souvent de simples exploitations de vulnérabilités connues.
Ces dernières années ont été l’occasion de constater à quel point ces attaques peuvent être préjudiciables. En septembre, les services numériques de TfL ont été interrompus pendant plus d’une semaine. Les systèmes du Tewkesbury Borough Council ont également été mis hors service, ce qui a entraîné des perturbations prolongées. De l’autre côté de l’Atlantique, l’attaque de Colonial Pipeline a temporairement paralysé la distribution de carburant, provoquant une onde de choc aux États-Unis. Et n’oubliez pas les 17 ports et terminaux pétroliers d’Europe occidentale qui ont été paralysés. Il s’agit d’un problème économique et sociétal autant que technique.
« Si nous voulons vraiment protéger ces systèmes, il est temps de commencer à considérer que la cybersécurité est tout aussi nécessaire que l’infrastructure elle-même.
Les efforts actuels des gouvernements en matière de cybersécurité sont insuffisants
Les mesures prises par le gouvernement britannique en matière de cybersécurité sont comparées à un pansement sur une blessure par balle. Certes, il est utile d’apprendre aux gens à repérer les courriels d’hameçonnage, mais c’est loin d’être suffisant pour défendre l’ensemble d’un réseau électrique ou d’un réseau de soins de santé. Les lignes directrices du gouvernement sont comme des roues d’entraînement, elles conviennent aux débutants, mais lorsque vous courez contre des cybercriminels sophistiqués, vous avez besoin de quelque chose de bien mieux.
La proposition de loi sur la cybersécurité et la résilience a du potentiel. C’est une bonne chose. Mais le potentiel ne résout pas les problèmes, c’est l’exécution qui le fait. Emprunter des modèles européens tels que NIS2 et DORA pourrait être un pas en avant, mais le problème est que ces cadres doivent être adaptés aux faiblesses uniques de l’infrastructure britannique. Un travail de copier-coller ne suffira pas.
Les organisations qui gèrent des infrastructures critiques n’ont pas besoin de conseils vagues ou de politiques génériques. Elles ont besoin d’outils avancés, d’un soutien stratégique et d’une voie claire vers l’avenir. Tant que le gouvernement ne se concentrera pas sur des solutions réelles et réalisables, ces entités resteront dangereusement exposées.
Les contraintes financières et les infrastructures obsolètes constituent des défis majeurs.
L’argent compte, et lorsqu’il est serré, les coins sont coupés. Pour les organisations qui gèrent des infrastructures critiques, cela signifie souvent mettre de côté les investissements en matière de cybersécurité. Ces systèmes n’ont jamais été conçus pour résister aux cybermenaces d’aujourd’hui et, avec la réduction des budgets, leur modernisation semble un peu hors de portée.
Le prochain budget d’automne n’arrange rien non plus. Si les financements sont réduits, de nombreuses organisations devront faire des choix difficiles. Elles devront utiliser l’argent du contribuable plus que jamais, en optimisant chaque centime. Mais cela comporte des risques. Le fait de lésiner sur la cybersécurité peut laisser des portes grandes ouvertes aux attaquants, transformant de petites vulnérabilités en brèches massives.
Alors, comment s’en sortir ? Tout d’abord, les organisations doivent revoir leur infrastructure informatique vieillissante. Les systèmes existants sont les meilleurs amis des pirates. Deuxièmement, elles doivent examiner de près leurs budgets de cybersécurité. Dépensent-elles à bon escient ? Leurs investissements sont-ils réellement efficaces ? Ce ne sont pas des questions faciles, mais elles sont nécessaires. Bien entendu, rien de tout cela ne se passe dans le vide. Des orientations claires et pratiques de la part des pouvoirs publics rendraient la voie à suivre beaucoup moins obscure.
Une gestion centralisée de la cybersécurité est nécessaire
À l’heure actuelle, les efforts du Royaume-Uni en matière de cybersécurité sont dispersés entre plusieurs agences – NCSC, DCMS, Cabinet Office, ICO et NCA, pour n’en citer que quelques-unes. C’est un véritable labyrinthe bureaucratique, et pour les organisations qui tentent de s’y retrouver, l’expérience est pour le moins frustrante. Lorsque la responsabilité est diluée dans un si grand nombre d’entités, il n’est pas étonnant que les progrès soient lents.
La centralisation de ces responsabilités au sein d’un organisme unique faisant autorité pourrait être quelque peu révolutionnaire. Il s’agit d’une approche rationalisée dans le cadre de laquelle les organisations savent exactement à qui s’adresser pour obtenir des politiques, un soutien et des conseils. Ne restez pas dans le brouhaha et concentrez-vous sur les résultats.
Cela va au-delà de la simplification des processus et vise à instaurer la confiance. Lorsque la responsabilité est claire, l’orientation l’est également. Les organisations peuvent aller de l’avant en toute confiance, sachant qu’elles sont soutenues par un système qui travaille pour elles, et non contre elles.
Des politiques proactives pour faire face aux menaces de cybersécurité
Attendre de réagir aux cyberattaques, c’est comme attendre qu’un incendie se déclare pour acheter un détecteur de fumée. C’est une stratégie perdante. Les menaces sont de plus en plus sophistiquées et les enjeux sont trop importants pour que l’on puisse se contenter de rattraper le temps perdu.
Ce qu’il faut, c’est un changement d’état d’esprit. Les mesures proactives (celles qui anticipent et préviennent les attaques) sont l’avenir. Les organisations qui gèrent des systèmes critiques ont besoin de conseils pratiques et réalisables. Elles ont besoin d’outils et de stratégies qui peuvent être mis en œuvre dès aujourd’hui, et non dans plusieurs années.
Les pressions économiques ajoutent encore à l’urgence. La modernisation des systèmes informatiques est un moyen de survivre dans un monde où les attaques sont inévitables. La clé réside dans des investissements plus intelligents, qui donnent la priorité à l’efficacité et à la résilience à long terme.
« Le gouvernement a une occasion unique à saisir. En adoptant des politiques tournées vers l’avenir et en regroupant les ressources sous un même toit, il peut apporter à ces organisations le soutien dont elles ont besoin pour rester à la pointe du progrès. C’est la bonne chose à faire. »
Dernières réflexions
En tant que dirigeants, nous sommes confrontés à une question simple mais profonde : construisons-nous des systèmes suffisamment résistants pour affronter les inévitables tempêtes de demain ? Les cyberattaques ne sont pas une question de si mais quandet le prix de l’inaction pourrait être bien plus élevé que nous ne l’imaginons. Que faites-vous aujourd’hui pour assurer la survie de votre organisation – et sa domination – dans un monde de plus en plus imprévisible ? Ce n’est pas demain qu’il faut agir avec audace, c’est maintenant.
