Blog

Les cyberrisques pèsent sur les infrastructures critiques

Contribution de Daniel Caduff

Publié le 20.09.2019


En Suisse, les infrastructures et les processus d'approvisionnement critiques sont de plus en plus menacés. Qu'il s'agisse de l'approvisionnement en électricité ou en eau potable, des transports publics, de l'approvisionnement alimentaire ou des hôpitaux, tous les services dépendent de l'informatique et des télécommunications.

Des attaques spectaculaires se produisent sans cesse et suscitent une forte réaction des médias. Attaques contre le système électrique ukrainien en 2015, pannes dans les hôpitaux du Service national de santé britannique NHS causées en 2017 par le maliciel «WannaCry», perte de millions de dollars pour la compagnie maritime Maersk engendrée en 2018 par le maliciel "NotPetya" ou récente offensive contre la société suisse MEIER TOBLER: désormais, rien ni personne n'est en sécurité.

Les attaques dont le public a connaissance ne sont cependant que la pointe de l'iceberg. Les compagnies d'électricité, les banques ou les entreprises de haute technologie des secteurs de la défense, de la biotechnologie, de l'informatique, de la chimie, etc. sont confrontées quotidiennement à une multitude de cyberrisques. Ceux-ci ne se limitent pas au piratage informatique perpétré par des criminels ou des organisations étatiques; ils peuvent aussi découler de la perte de l'intégrité, de la confidentialité ou de la disponibilité des données.

Des erreurs involontaires de la part d'employés ou des erreurs de logiciel insoupçonnées peuvent également entraîner la perte de données. De même, des erreurs lors de travaux peuvent endommager des câbles et nuire à la disponibilité des données. Dans le cas d'infrastructures critiques, de tels incidents peuvent mettre en péril l'approvisionnement et le fonctionnement du pays, voire la vie et la santé de personnes. Si des capteurs transmettent des données de mesure incorrectes dans le réseau électrique, des erreurs de commutation et donc des courts-circuits ou des coupures de courant importantes peuvent se produire et endommager gravement les systèmes. Lorsqu'un poste de transformation est touché, par exemple, la réparation peut prendre plusieurs semaines. La transmission de fausses données de mesure d'un cœur-poumon artificiel ou d'un aiguillage du réseau de transport public peut constituer un danger immédiat pour la vie des patients ou des passagers.

Dans certains cas, même si aucune vie humaine n'est directement menacée, les risques peuvent être considérables. La perte de la confidentialité de données personnelles peut porter un préjudice majeur à la réputation des banques. Si les clients n'ont plus confiance dans la capacité de leur établissement à protéger leurs données, ils peuvent être tentés de retirer leurs fonds, au point de faire perdre à la banque sa capacité juridique. L'espionnage (à des fins commerciales ou militaires) ou l'extorsion de fonds sont d'autres risques possibles.

Afin de contrer ces risques, l'Office fédéral de l'approvisionnement économique du pays OFAE a réalisé des analyses de vulnérabilité aux cyberrisques pour divers secteurs vitaux dans le cadre de la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) adoptée par le Conseil fédéral en 2012. Il a examiné, notamment, l'approvisionnement en électricité, en eau potable et en denrées alimentaires, ainsi que le transport routier et ferroviaire. Sur la base des résultats obtenus, il a ensuite élaboré la norme minimale pour les TIC dans le but de renforcer la résistance des systèmes. La norme s'adresse en particulier aux exploitants d'infrastructures critiques en Suisse, mais aussi à toutes les organisations et entreprises.

Fondée sur le cadre internationalement reconnu du NIST, la norme est compatible avec d'autres normes de cybersécurité. En collaboration avec diverses associations professionnelles, elle a déjà été précisée pour des secteurs spécifiques. Il existe actuellement des normes industrielles pour l'approvisionnement en électricité, pour l'eau potable et pour les denrées alimentaires. D'autres sont en cours d'élaboration. Toutes les normes et la documentation utile sont conçues selon le principe du code source ouvert et peuvent être téléchargées sur le site internet de l'OFAE.


Contribution de

Daniel Caduff
Daniel Caduff

Chef du service TIC & Logistique a.i., Office fédéral pour l'approvisionnement économique du pays OFAE