Les fournisseurs d'infrastructures critiques nationales (ICN) du Royaume-Uni sont en alerte. Le Centre national de cybersécurité (NCSC) a intensifié ses avertissements ces derniers mois, mettant en garde contre une attaque imminente aux conséquences sociétales potentiellement désastreuses. Selon lui, le fossé entre la menace qui pèse sur ces systèmes et la capacité des fournisseurs d'ICN à les défendre se creuse.
Plus récemment, Jonathan Ellison, directeur de la résilience nationale, a publié un message sur LinkedIn pour réaffirmer l'importance du développement de « défenses et d'une résilience cybernétiques robustes » dans le secteur. « Les opérateurs d'infrastructures critiques nationales britanniques doivent non seulement en prendre note, mais aussi, comme nous l'avons déjà dit, agir sans délai », a-t-il déclaré.
Mais dans ce contexte, que signifie exactement « agir maintenant » ? Et comment agir de manière réfléchie et concertée ?
Un scénario catastrophe
La missive d'Ellison faisait suite à une cyberattaque sans précédent contre les infrastructures énergétiques polonaises, menée par une unité présumée du renseignement militaire russe connue sous le nom de Sandworm. Une trentaine de sites, dont des parcs éoliens, des installations solaires et des centrales de cogénération, ont été ciblés dans le cadre d'une campagne coordonnée. Bien que l'attaque ait été déjouée avant de provoquer une panne majeure, les pirates sont parvenus à accéder aux systèmes de technologie opérationnelle (TO) « essentiels au fonctionnement du réseau » et ont rendu irréparables des équipements clés sur le site, selon Ellison. Dragos.
L'utilisation de logiciels malveillants destructeurs devrait donner des sueurs froides aux RSSI britanniques travaillant dans les secteurs critiques pour l'infrastructure nationale. En tant qu'alliés indéfectibles de l'Ukraine, la Pologne et le Royaume-Uni sont exposés à d'éventuelles attaques russes – un risque que le NCSC n'ignore pas. La probabilité qu'une campagne similaire cible des installations plus proches de nos frontières vient de s'accroître.
Nous devrions tous être conscients des enjeux. Les attaques contre les infrastructures critiques menacent non seulement des pertes financières, mais aussi la sécurité publique et la sécurité nationale. Et elles sont de plus en plus fréquentes. Le NCSC enregistré L'an dernier, le nombre d'« incidents hautement graves » traités par l'organisation a augmenté de 50 %, soit la troisième année consécutive. La combinaison de tensions géopolitiques, d'évolutions technologiques rapides et d'une économie de la cybercriminalité sophistiquée continue d'amplifier le risque d'incidents graves.
Où aller à partir d'ici ?
La bonne nouvelle, c'est qu'il existe déjà diverses ressources pour aider les RSSI à élaborer une réponse. Ellison a cité celle du NCSC. Cadre d'évaluation de la cybersécurité (CAF) et un plus récent Guide CNI pour faire face aux menaces graves. Elle a également produit de la documentation sur principes de connectivité sécurisée pour l'ergothérapie et recommandations sur le développement d'une architecture OT sécuriséeLa question est de savoir comment intégrer tous ces conseils de manière holistique et complémentaire.
Il ne s'agit pas de remettre en cause les plans existants, mais de se concentrer sur les menaces les plus graves et de planifier en tenant compte du fait que des compromissions sont possibles, que le rétablissement peut prendre du temps et que les adversaires peuvent chercher à détruire plutôt qu'à simplement perturber. Si les Forces armées canadiennes privilégient les mesures préventives, l'intérêt des directives des Infrastructures critiques réside dans la conception de systèmes résilients, afin de garantir leur continuité de fonctionnement et leur soutien au rétablissement lors de perturbations prolongées.
L'objectif est de concevoir des systèmes pouvant être rapidement segmentés, isolés ou exploités en modes dégradés en cas d'attaque.
Transformer la théorie en pratique
Pour Matt Conlon, cofondateur et PDG de Cytidel, le défi consiste à opérationnaliser les différents cadres dont disposent les RSSI, afin de s'éloigner d'une approche réactive de « mise en œuvre des contrôles ».
« Trop souvent, les équipes de sécurité s'enferment dans un cycle de "jeu du marteau" : elles répondent aux alertes, corrigent les vulnérabilités et mettent en œuvre des contrôles techniques ponctuels de manière isolée », explique-t-il à IO (anciennement ISMS.online). « Bien que nécessaire, cette approche ne permet pas d'intégrer la gouvernance, les risques opérationnels et les mesures de protection techniques dans un système de gestion unifié. »
Pour renforcer leur posture de sécurité, les RSSI devraient intégrer directement le renseignement sur les menaces à leurs processus de gestion des risques et de gouvernance, affirme-t-il. Cela implique de surveiller l'évolution des menaces, d'identifier les vulnérabilités exploitées, d'intégrer ces informations à la prise de décision en matière de sécurité et de prioriser les menaces les plus susceptibles d'avoir un impact significatif, ajoute-t-il.
« Cette approche permet aux équipes de sécurité de se concentrer sur l’essentiel, plutôt que d’essayer de tout corriger en même temps en espérant qu’elles s’attaquent aux risques les plus critiques à temps. Surtout, cette approche doit être adoptée culturellement par toutes les unités opérationnelles, et pas seulement par le service de sécurité », affirme Conlon.
« Les fonctions de gouvernance, d'exploitation, de gestion des risques et d'audit doivent toutes s'aligner sur une priorisation dynamique des risques. Cela peut s'avérer délicat, car la réévaluation continue des risques ne s'intègre pas toujours facilement aux cycles d'examen annuels traditionnels ni aux politiques statiques. Mais dans le contexte actuel, notamment au sein des infrastructures critiques, les évaluations annuelles des risques sont non seulement insuffisantes, mais elles sont de plus en plus perçues comme une négligence. »
Passer aux prochaines étapes avec la norme ISO 27001
Selon Conlon, cette approche permettra de créer un « système de gestion vivant » reliant stratégie, gouvernance, contrôles techniques et amélioration continue. Toutefois, les RSSI peuvent et doivent aller plus loin : s’attaquer à la gestion des risques liés à la chaîne d’approvisionnement, au renforcement du réseau, à la résilience et à la reprise d’activité, ainsi qu’à d’autres domaines. C’est là que la norme ISO 27001 peut apporter une réelle valeur ajoutée.
« Les normes telles que l’ISO/IEC 27001 jouent un rôle important », explique Conlon. « Elles fournissent une structure, une discipline de gouvernance et l’assurance que les contrôles et les processus de sécurité sont formellement documentés et appliqués de manière cohérente. »
Ces bonnes pratiques aideront les RSSI à faire évoluer leur stratégie grâce à une approche proactive, structurée et transparente de la gestion des risques. Avec le projet de loi sur la cybersécurité et la résilience actuellement examiné par le Parlement, elles offrent une occasion précieuse de pérenniser les opérations dans un monde où la cyber-résilience est devenue indispensable.
