Suite aux récentes attaques par des APT, les gouvernements ont pris conscience de la nécessité d’investir dans la sécurité des infrastructures critiques. Mais sans une véritable stratégie « security by design », les investissements risquent de finir en replâtrage inefficace.
La cyberdélinquance est une menace existentielle pour les entreprises et elle l’est tout autant pour la démocratie et la garantie des droits de citoyens pour les gouvernements. Dans ce contexte, la protection des infrastructures critiques prend une dimension nationale, dans une période où les frontières définissant le périmètre sécuritaire des organisations sont, depuis des années, devenues fluctuantes avec la digitalisation des services de l’État.
La tendance s’est simplement accélérée avec la généralisation du télétravail et l’augmentation de la demande de connectivité sécurisée à distance. L’annonce le mois dernier, par la nouvelle administration américaine, d’un investissement de 10,2 milliards de dollars dans la modernisation des technologies de l’information fédérales, pour les protéger contre les futures cyberattaques, est un exemple de cette prise de conscience.
Selon un nouveau rapport de la société de conseil ABI Research, les dépenses de cybersécurité pour les infrastructures critiques (IC) augmenteront de 9 milliards de dollars US au cours de l’année pour atteindre 105,99 milliards de dollars US en 2021. D’ailleurs, « les dépenses en matière de sécurité des infrastructures critiques ont été peu touchées par la pandémie, à l’exception d’un certain redéploiement vers des domaines où ces dépenses sont les plus nécessaires », explique ABI Research.
Les accès distants, principale vulnérabilité
L’effet a surtout été une augmentation de la demande de connectivité à distance sécurisée. Le principal défi de la pandémie pour les opérateurs d’infrastructures critiques (IC) a été de s’assurer que les systèmes et les services continuent de fonctionner sans problème, malgré une main-d’œuvre de plus en plus éloignée. C’est pourquoi une plus grande importance a été accordée à la surveillance et à la gestion à distance, en toute sécurité, des opérations des infrastructures par le personnel autorisé. « Il est indéniable que la connectivité sécurisée est devenue un point essentiel, notamment avec les incidents de la fin de l’année dernière et le piratage de SolarWinds Orion, qui a mis en évidence la nécessité de mieux contrôler les services offerts par les sous-traitants tiers et les processus de mise à jour à distance », rappelle Michela Menting, directrice de la recherche sur la sécurité numérique chez ABI Research.
En effet, l’ampleur de l’intrusion illustre clairement à quel point les systèmes peuvent être vulnérables lorsqu’ils ont des maillons faibles, et à quel point les acteurs de la menace peuvent facilement s’infiltrer et faire monter les privilèges une fois l’accès obtenu. « Les implications pour la sécurité nationale sont importantes, et les opérateurs d’infrastructures critiques et les gouvernements du monde entier réévaluent maintenant les risques liés à la gestion à distance », a-t-elle ajouté.
Replâtrage ou véritable stratégie de renouvellement
Cependant, les domaines dans lesquels les dépenses peuvent être investies ne sont pas tous logés à la même enseigne. Le rapport d’ABI précise que si les dépenses de sécurité sont importantes dans les secteurs de la défense, des services financiers et des technologies de l’information et de la communication, elles restent à la traîne dans les secteurs plus industriels tels que l’énergie, l’eau et la gestion des déchets. Des domaines où les risques physiques liés aux menaces sont importants. « Les transports, la sécurité publique et les soins de santé connaissent néanmoins un certain essor, en raison des efforts de transformation numérique déployés dans ces secteurs, notamment dans le cadre du développement des villes intelligentes », précise le rapport.
Cependant, ces investissements ne pourront pas être des succès si c’est pour replâtrer les anciennes infrastructures. Celles-ci nécessitent un véritable réalignement fondé sur l’intégration du risque et reposant sur les normes les plus élevées de protection et de résilience. Cette stratégie ne peut être couronnée de succès que si elle est implémentée dès l’idéation, jusqu’à la livraison, en passant par les décisions d’achat.