De plus en plus d’intrusions dans les réseaux informatiques des entreprises font craindre des tentatives de sabotage industriel ou des menaces terroristes, affirment le secrétaire général de la défense et la sécurité nationale ainsi que le directeur général de l’Anssi, qui présentaient lundi 27 juin les trois premiers arrêtés relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale (OIV).
« On craint qu’un jour devienne possible, si on ne durcit pas suffisamment les systèmes de sécurité, le déclenchement de sabotages notamment industriels et de prises en mains de systèmes de sécurité », a indiqué Louis Gautier, le secrétaire général de la défense et la sécurité nationale. « Dans 99% des cas, on est dans du vol d’informations », qui peut avoir un impact dramatique dans le fonctionnement des entreprises, mais « on voit entrer de plus en plus d’attaquants dans des réseaux informatiques », sans captation d’informations, a souligné le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), Guillaume Poupard. « Préparent-ils à exfiltrer de l’information, des actions terroristes ou militaires, on ne sait pas », a-t-il ajouté, qualifiant le phénomène d’ « inquiétant ».
La menace terroriste nous ” interpelle le plus “
L’Anssi craint que des terroristes qui ont des moyens financiers mais pas forcément la compétence technique rencontrent ces « mercenaires numériques », des groupes prospères dans la cybercriminalité, qui seraient prêts à leur vendre leurs compétences.
La menace terroriste nous « interpelle le plus » même si dans la pratique, les actes malveillants visant les systèmes d’information concernent la captation d’informations, le pillage de la recherche, ou encore la mise en pannes de sites, selon M. Poupard. « Daech a montré (qu’il) est tout à fait capable d’acheter des ingénieurs informatiques », a-t-il relevé.
Sécurité des OIV : les premiers arrêtés en vigueur le 1er juillet
Les deux responsables ont présenté lundi 27 juin les trois premiers arrêtés relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale (OIV), concernant les produits de santé, la gestion de l’eau et l’alimentation. Ce dispositif fixe des objectifs en termes de niveau de cybersécurité et entrera en vigueur au 1er juillet. Ce cadre juridique va « imposer une forme de cybersécurité aux OIV », comme l’obligation de notifier les incidents, mais aussi des contrôles d’application et des consignes de bonne pratique.
L’évaluation du coût de la cybersécurité se situe dans une fourchette comprise « entre 5 à 10% du budget informatique » pour les OIV, selon lui. « La France est avec l’Allemagne un pays pionnier dans la protection des OIV », a souligné M. Poupard, déplorant un manque d’experts en cybersécurité dans l’Hexagone.
D’autres arrêtés seront pris progressivement pour couvrir l’ensemble des 12 secteurs reconnus d’importance vitale, un domaine qui concerne 249 opérateurs d’importance vitale dont font partie EDF ou SNCF et « beaucoup d’acteurs privés ». La liste de ces infrastructures dites “critiques” est gardée secrète. Ces arrêtés entrent dans le prolongement de la loi de programmation militaire de 2013.
Pour les PME, considérées comme des « proies faciles par leur connexion avec les grands groupes », M. Poupart préconise le cloud computing pour protéger leurs données.
Auteur : La rédaction avec AFP