D’après l’ANSSI, les entreprises françaises des industries critiques n’ont jamais été aussi vulnérables et des agents dormants menacent. Il est temps de prendre des mesures drastiques pour renforcer leur cybersécurité.
Sécurité des OIV (Opérateurs d’importance vitale)
A partir du premier juillet 2016, des décrets publiés en France obligeront 250 opérateurs d’importance vitale sur le territoire à mieux se protéger contre les attaques informatiques, qui sont comparées au risque terroriste. Sont concernés les secteurs des produits de santé, de la gestion de l’eau, de l’énergie, des transports et de l’alimentation. Le but est d’augmenter le niveau global de sécurité pour ces derniers, comme c’est déjà le cas pour l’aérospatial, l’automobile, la banque et les télécoms. L’obligation de notifier les incidents et des sanctions financières sont prévues dans les textes. Les PME sont des cibles privilégiées pour les attaquants.
Éradiquer les agents dormants
Les deux experts en cybersécurité Louis Gautier, secrétaire général de la défense et de la sécurité nationale et Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information, ont fait état, lundi, d’intrusions jugées “inquiétantes” dans les réseaux informatiques de ces entreprises :
“Il y a de plus en plus d’attaquants. Et on se rend compte parfois que l’attaquant est présent dans le système depuis plusieurs années“, a expliqué Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). “On les retrouve très profond au sein des réseaux d’entreprises, à des endroits où il n’y a même plus d’informations secrètes à voler. C’est très inquiétant, car on ne sait pas toujours quelles sont ses intentions.“
« On craint qu’un jour devienne possible, si on ne durcit pas suffisamment les systèmes de sécurité, le déclenchement de sabotages notamment industriels et de prises en mains de systèmes de sécurité », a ajouté Louis Gautier, le secrétaire général de la défense et la sécurité nationale (SGDSN).
Les deux experts laissent penser que les organisations terroristes comme Daech disposent désormais de la “capacité financière pour embaucher des ingénieurs informatiques”. Face à cette menace grandissante, le gouvernement souhaite obliger les entreprises stratégiques à renforcer leur système informatique, conformément à ce que prévoit la Loi de Programmation Militaire (LPM) votée en décembre 2013. L’enjeu de détection est énorme et dépend entièrement des remontées d’informations de la part des entreprises touchées.
De nombreux signaux d’alerte pour l’ANSSI
La France a décidé de précipiter les choses concernant les OIV car les signaux d’alerte se multiplient :
« Nous craignons notamment la diffusion des savoirs aux groupes terroristes, via le mercenariat. Nous avons des informations des services de renseignement nous indiquant que ces groupes ont la volonté de recruter des compétences cyber », assure Louis Gautier.
Notons qu’un pirate informatique kosovar, arrêté en Malaisie en octobre 2015, a ainsi reconnu avoir vendu ses services à Daesh. Connu sous le pseudonyme Th3Dir3ctorY, il vient de plaider coupable devant la justice américaine et risque 20 ans de prison.
Cette nouvelle législation à l’échelle européenne via la Directive sur la sécurité des réseaux et de l’information (SRI), va imposer aux entreprises concernées de supporter le coût de la cybersécurité, estimé entre 5 et 10% du budget informatique actuel. Mais il faut prendre en compte le fait que la prévention coûte généralement beaucoup moins cher qu’une cyberattaque réussie !
Au total, ce sont 249 opérateurs qui sont concernés par ce nouveau décret (entreprises privées et publiques ou organismes publics). L’ANSSI souhaite aussi lancer un audit global de l’ensemble des codes sources utilisés dans l’industrie en les certifiants, après les avoir fait valider par des prestataires d’audits indépendants rigoureusement qualifiés au préalable.
Les commentaires sont fermés.