Skip to main content

Open data, smart grids, objets connectés, OIV… La cybersécurité, clé du succès de la transformation numérique ?

Open data, smart grids, objets connectés, OIV… La cybersécurité, clé du succès de la transformation numérique ?
Partager :

Avec la transformation numérique des acteurs économiques, l’ouverture des données, le développement de smart grids et d’objets connectés, ce sont tous les secteurs de l’industrie comme des services, la Banque, les transports, les télécoms et l’énergie qui sont désormais concernés par les enjeux de cybersécurité.

En France, l’Agence Nationale de la Sécurité des Systèmes d’Informations (Anssi) a notamment été chargée d’accompagner les Opérateurs d’Importance Vitale OIV, exploitant ou utilisant des installations indispensables à la survie de la Nation, à la sécurité des populations et à la protection de son économie, pour la sécurisation de leurs systèmes d’information. La cyberdéfense devient pour l’Etat un enjeu de souveraineté et pour les entreprises un enjeu économique, pour protéger leur savoir-faire, leur outil de production et donc leur activité.

Pour sa 25e Matinale, qui s’est déroulée le 22 mars 2017, l’Atelier Energie et Territoires, avait choisi d’aborder ces enjeux de la cybersécurité en sollicitant deux spécialistes :

  • Christian Daviot : Chargé de mission stratégie auprès du directeur général de l'Anssi
  • Olivier Ligneul : Directeur Mission technique et sécurité / CTO / RSSI au sein du Groupe EDF.

Les 12 enseignements à retenir 

1

La cybersécurité est liée à différentes catégories d’attaques dont peuvent faire l’objet les systèmes informatiques d’entreprises, d’administrations ou de collectivités. Des attaques aux motivations multiples : l’argent (l’attaquant pénètre un système d’information et en bloque le fonctionnement jusqu’au versement d’une rançon  via un « rançongiciel » - cryptolocker, en anglais) ; la révélation ou la destruction de données pour porter atteinte à un ou des adversaires, déstabiliser un Etat voire son processus électoral,… ; enfin, l’espionnage industriel.

2

Les cyberattaquants vont de l’ado hacker jusqu’au service de renseignement étatique en passant par le crime organisé, des mouvements issus de la société civile comme celui des Anonymous. En plus d’être massives et « industrialisées », leurs attaques sont rarement circonscrites dans le temps, mais au contraire le fruit de beaucoup de persévérance, ce qui les rend d’autant plus difficiles à traiter.

3

La surface de risque devrait s’étendre avec l’essor des smart grids (synonyme de plus d’interconnexion), de l’Internet des Objets et de la 5G, sans compter les risques inhérents aux nouveaux processus d’innovation (ouverte, collaborative,…).

4

Jusqu’à présent, les cyberattaques n’ont fait aucune victime humaine, mais il risque d’en être autrement du fait de l’accroissement de cette surface de risque et dès lors que des terroristes s’aviseraient à recourir à ces méthodes…

5

Face aux cyber-risques, des dispositions ont d’ores et déjà été prises : comme la constitution d’organismes tels que l’Anssi en France, et l’identification d’Opérateurs d’Importance Vitale (OIV), soit des entreprises du secteur public ou privé, exploitant ou utilisant des installations indispensables à la survie de la Nation, à la sécurité des populations et à la protection de son économie. Au total, une douzaine de secteurs sont concernés (dont l’énergie).

6

A l’échelle de l’Europe, la directive Network Information Security, inspirée du modèle préconisé par l’Anssi, fait obligation aux Opérateurs de Services Essentiels (OSE) de notifier les attaques dont ils sont victimes.

7

Les exigences de la cybersécurité se placent devant un dilemme : informer les usagers ou clients qui risquent de pâtir directement ou indirectement d’une cyberattaque / ne pas les informer pour ménager les intérêts de l’entreprise (elle encourrait un risque de voir le cours de ses actions s’effondrer) ou de l’institution (inciter l’attaquant à recourir à un plan B).

8

Au plan de l’organisation et du management des entreprises comme des administrations ou des collectivités, la cybersécurité implique plus de concertation entre RSSI (pour une approche globale, la définition du niveau d’acception des risques), leur implication plus forte dans la gouvernance (le Comex, dans le cas des grandes entreprises), mais aussi une sensibilisation des clients, usagers ou fournisseurs.

9

Entre logiciels libres et logiciels propriétaires, les contraintes de cybersécurité ne jouent pas nécessairement en faveur des uns ou des autres. Tout dépend du degré de sécurisation souhaité ou encore de maîtrise dans le développement des premiers.

10

À l’échelle des Etats, est invoquée une « souveraineté numérique », mais sans qu’on sache ce qu’elle peut recouvrer du fait de l’interconnexion des réseaux (et, dans le cas des pays Européens, de l’absence d’une industrie numérique suffisamment puissante pour garantir l’indépendance des sources d’approvisionnement en équipements sûrs). Cette même souveraineté est mise à mal par le principe de libre circulation des données (free flow of data) que l’Union européenne a fait sien.

11

À défaut d’une souveraineté numérique pleine et entière, plusieurs options existent : la certification d’équipements sous l’égide d’un « tiers de confiance » comme l’Anssi, par exemple.

12

Au final, les défis de la cybersécurité demandent à être davantage pris en considération (notamment au sein des collectivités territoriales). Ces défis se révèlent tout autant techniques, qu’humains (il faut disposer des compétences) et juridiques. En revanche, le coût de la cybersécurité pour une entreprise, une administration ou une collectivité reste à un niveau supportable, au regard des risques encourus, mais aussi des investissements requis par la transition numérique, et moyennant une approche globale.

Découvrez ou redécouvrez l’intégralité de la matinale.