Les fournisseurs de CNI du Royaume-Uni sont en difficulté : 2025 sera une année critique pour la cybersécurité

L'infrastructure nationale critique du Royaume-Uni (CNI) est ainsi nommée pour une bonne raison. Cependant, les grands volumes de données sensibles que les fournisseurs stockent, leur faible tolérance aux pannes et leur importance pour la sécurité nationale et économique en font également des cibles. Les acteurs étatiques enhardis, les hacktivistes et les cybercriminels motivés par l'argent trouvent de plus en plus de failles de sécurité à exploiter.

À l’échelle mondiale, plus de deux cinquièmes (42 %) rapporté Les entreprises de CNI ont enregistré des violations de données au cours de l’année écoulée et 93 % d’entre elles ont vu leurs attaques augmenter. Avec la législation britannique attendue pour l’année prochaine, les entreprises de CNI doivent clairement améliorer leur cyber-résilience. La bonne nouvelle est que des normes existent déjà pour les guider dans ces efforts.

Que ce passe-t-il?

Il n’existe pas d’entreprise CNI type, des fournisseurs de services publics aux services financiers, en passant par les organismes de santé et les fabricants de matériel de défense. Mais beaucoup ont été confrontées aux mêmes menaces, notamment l’exploitation massive des vulnérabilités par des acteurs russes et des campagnes de phishing ciblées de Les pirates informatiques de l'État iranien.

Au Royaume-Uni, l'année 2024 a été marquée par d'importants ransomwares et violations de données chez un fournisseur clé du NHS (Synnovis) et à le ministère de la Défense, mettant potentiellement des vies en danger. Il y a eu des attaques de ransomware cibler les hôpitaux pour enfants et majeur fournisseurs de transport. Mais au-delà de ces incidents isolés, nous pouvons découvrir les tendances suivantes :

Menaces internes : Selon Thales, 30 % des organisations CNI ont été victimes d'un incident de menace interne au cours de l'année écoulée. Bridewell met en garde que 35 % des responsables de la sécurité du CNI estiment que les difficultés financières personnelles obligent les employés à se tourner vers le vol de données et le sabotage.

Stress et burn-out : Les responsables de la sécurité, en particulier, ressentent la pression. En 2022, une rapport réclamé que 95 % d’entre eux ont rencontré des facteurs qui les inciteraient probablement à quitter leur poste dans les 12 prochains mois.

Des budgets bloqués : Le pourcentage des budgets IT (33 %) et OT (30 %) en 2024 consacré à la cybersécurité est tombé de façon spectaculaire à partir de 2023, les chiffres seront respectivement de 44% et 43%.

Baisse de confiance dans les outils : Bridewell affirme que près d'un tiers (31 %) des responsables de la sécurité du CNI ont classé « la confiance dans les outils de cybersécurité » comme l'un des principaux défis en 2024, soit une augmentation annuelle de 121 %.

Des frontières floues entre les menaces étatiques et celles de la cybercriminalité : Le rôle de l’État russe dans l’hébergement et l’encouragement d’attaques à motivation financière contre des hôpitaux et d’autres sources d’information britanniques est de plus en plus dénoncé aux plus hauts niveaux.

Le NCSC a noté dans son Rétrospective: « Par ses activités en Ukraine, la Russie incite des acteurs non étatiques à mener des cyberattaques contre des centres d’information occidentaux. Ces acteurs ne sont soumis à aucun contrôle étatique formel ou explicite, ce qui rend leurs activités moins prévisibles. Cependant, cela ne diminue pas la responsabilité de l’État russe dans ces attaques à motivation idéologique. »

Sophistication croissante. Bien que ne se concentrant pas sur le Royaume-Uni, le groupe chinois Volt Typhon a fait preuve d'une habileté sophistiquée lors d'une campagne pluriannuelle découverte plus tôt en 2024, au cours de laquelle il a infiltré les réseaux du CNI américain pour saboter des services critiques en cas de conflit.

« De nombreux systèmes CNI reposent sur une technologie obsolète, ce qui les rend vulnérables aux attaques et difficiles à sécuriser. La gestion des exigences réglementaires complexes et évolutives exige des ressources et une expertise importantes », explique Chris Harris, directeur technique de la sécurité des données chez Thales EMEA, à ISMS.online.

« De plus, le manque de professionnels qualifiés en cybersécurité entrave la capacité à gérer et à répondre efficacement aux menaces. Trouver un équilibre entre l’adoption de nouvelles technologies et le maintien de mesures de sécurité robustes constitue un défi permanent. »

Martin Riley, directeur technique de Bridewell, est du même avis et ajoute que la technologie opérationnelle (OT) est un autre défi majeur pour les entreprises CNI.

« Les dispositifs OT ne bénéficient pas de la rigueur de sécurité des entreprises, et l'on s'inquiète constamment de leur impact sur les opérations, la santé et la sécurité. Les systèmes existants, dont beaucoup ont plus de 20 ans, ne disposent souvent pas de capacités de sécurité modernes, et la tendance à la convergence des systèmes OT avec les systèmes IT augmente la surface d'attaque », explique-t-il à ISMS.online.

« En raison de la pénurie de compétences, les RSSI ne peuvent pas faire appel à l’expertise spécifique de l’OT pour élaborer des plans de cybersécurité proportionnés et établir un lien entre la sécurité de l’IT et de l’OT afin de réduire ce risque. L’augmentation des dispositifs de pointe dans les infrastructures IT, OT et IoT est particulièrement répandue, car ils pourraient être exploités dans des attaques de type « living off-the-land », où des outils légitimes au sein du système sont ciblés. »

Riley ajoute que dans certains cas, les lacunes en matière de compétences pourraient même conduire les équipes OT à adopter des mesures qui bloquent par inadvertance l’accès des utilisateurs, provoquant ainsi des dommages à l’infrastructure physique ou même un risque pour la vie humaine.

Que demandent les régulateurs ?

La nécessité de renforcer la résilience des CNI est évidente dans les tendances et les incidents mentionnés ci-dessus, mais il existe également un impératif réglementaire croissant. Les fournisseurs britanniques ayant des opérations sur le continent doivent se conformer à un nouvel ensemble strict de normes de sécurité de base exigences dans NIS2La directive précise également que les dirigeants d’entreprise seront davantage tenus responsables des manquements à la cybersécurité, y compris de leur responsabilité personnelle en cas d’infractions graves.

Au Royaume-Uni, un nouveau venu Projet de loi sur la cybersécurité et la résilience Le Royaume-Uni va mettre à jour la réglementation NIS de 2018 pour couvrir davantage de prestataires de services, donner plus de pouvoir aux régulateurs et imposer la déclaration des incidents. Tous les détails n'ont pas encore été réglés, mais la direction générale du point de vue réglementaire au Royaume-Uni est un contrôle plus strict des entreprises de CNI.

Ce que les entreprises du CNI peuvent faire en 2025

« Le NCSC estime que la gravité des menaces émanant des États est sous-estimée et que la cybersécurité des infrastructures critiques, des chaînes d'approvisionnement et du secteur public doit être améliorée », déclare le NCSC dans son rapport. Rétrospective.

C’est très bien, mais comment les fournisseurs peuvent-ils améliorer spécifiquement leur posture de sécurité ?

« Les CNI sont confrontées à des menaces, des défis et des opportunités variés. Des mesures proactives, telles que des réponses formelles aux ransomwares et des audits de conformité, sont essentielles », explique Harris de Thales.

« Les technologies émergentes telles que la 5G, le cloud, la gestion des identités et des accès et GenAI offrent de nouveaux gains d’efficacité lorsqu’elles sont intégrées aux opérations CNI. Des attentes plus élevées et des engagements accrus en matière de résilience et de fiabilité opérationnelles renforceront la sécurité et réduiront la vulnérabilité des entreprises CNI. »

La norme de bonnes pratiques ISO 27001 pourrait être un bon point de départ pour beaucoup, car elle fournit un « cadre solide » pour la gestion des risques de sécurité, poursuit-il.

« La conformité à la norme ISO 27001 garantit que les opérateurs CNI mettent en œuvre les meilleures pratiques en matière de cybersécurité, notamment l'évaluation des risques, la gestion des incidents et l'amélioration continue », explique Harris.

Riley de Bridewell soutient également les meilleures pratiques du secteur.

« Une stratégie de cybersécurité de bonne pratique chez un fournisseur CNI typique aligne les registres de risques IT et OT pour évaluer les risques de manière globale. Cela doit être guidé par la combinaison et la mise en correspondance des contrôles ISO 27001 avec les réglementations NIST CSF, NCSC CAF, NIS ou des cadres OT spécifiques tels que IEC 62443 », explique-t-il.

« La norme ISO 27001 ne suffit pas à elle seule à améliorer la sécurité des infrastructures critiques. De nombreuses organisations ont un périmètre et une déclaration d'applicabilité uniques qui ne couvrent que l'entreprise. C'est pourquoi il est si important pour les organisations d'infrastructures critiques d'intégrer d'autres cadres et réglementations dans leur stratégie de SMSI multi-portée. La création d'un SMSI multi-portée peut être compliquée, mais ce n'est pas impossible si les OT et les IT sont efficacement séparés et si les réglementations pertinentes sont intégrées. »