L’Agence de cybersécurité et de sécurité des infrastructures des États-Unis (Cybersecurity and Infrastructure Security Agency, CISA) définit une infrastructure critique comme étant constituée des systèmes et services essentiels au fondement de la société américaine. Ces systèmes et services sont tellement vitaux pour le pays que s’ils étaient neutralisés ou détruits, les conséquences en seraient désastreuses pour la santé publique, la sûreté et la sécurité économique.
Nos infrastructures critiques incluent les autoroutes, les ponts et les tunnels, les voies ferrées, les services publics tels que la distribution d’eau et d’électricité, l’approvisionnement alimentaire, les infrastructures de santé, les bâtiments et services associés ; selon la définition du Ministère de la sécurité intérieure (DHS). Notre survie économique et nos vies quotidiennes dépendent de ces systèmes vitaux.
La CISA a été créée avec la mission de réduire les vulnérabilités sur le plan de la cybersécurité pour les infrastructures critiques aux États-Unis. Cet organisme travaille avec les entreprises, les collectivités et les gouvernements pour renforcer les défenses du pays dans les secteurs clés, afin de les rendre plus résilients aux menaces cyber et physiques.
Focus sur la sécurisation des infrastructures critiques de notre nation
Au cours du premier semestre 2021, le Président Biden a signé un décret dont l’objectif était de renforcer et de moderniser notre posture nationale en matière de cybersécurité, notamment dans les industries relevant des infrastructures critiques.
Les entités du secteur public aussi bien que privé font face à une cybercriminalité d’une sophistication alarmante mais aussi à une vaste augmentation d’attaques moins complexes, telles que l’hameçonnage, qui peuvent aussi être paralysantes si elles ne sont pas détectées.
La note de la Maison-Blanche sur le décret précise : « Une grande partie de nos infrastructures critiques nationales est possédée et exploitée par le secteur privé, et les entreprises de ce secteur font leurs propres choix quant aux investissements en cybersécurité. Nous incitons les entreprises du secteur privé à suivre l’exemple du gouvernement fédéral et à prendre des mesures ambitieuses afin d’augmenter et d’aligner les investissements en cybersécurité à la hauteur de l’objectif de réduction des futurs incidents ».
Voici quelques-unes des manières dont le décret renforcera la cybersécurité de nos infrastructures nationales critiques :
- Exiger des fournisseurs qu’ils partagent les informations sur les intrusions qui pourraient avoir des conséquences sur les réseaux gouvernementaux.
- Instaurer un Comité d’examen de la sécurité et de la cybersécurité, afin d’analyser les cyberincidents et formuler des recommandations concrètes pour les prévenir.
- Élaborer un guide normalisé sur la réponse aux cyberincidents, de sorte que les services fédéraux puissent prendre des mesures identiques visant à identifier et atténuer une menace. Le guide servira aussi de modèle pour le secteur privé dans ses initiatives en matière de réponse.
Mesures de cyberprotection des infrastructures critiques
Le cabinet d’analystes ARC Advisory Group a récemment passé en revue les exigences concernant la sécurisation des systèmes OT critiques. Le rapport qui en a résulté comportait les principales recommandations suivantes pour les entreprises industrielles :
- Examiner les stratégies en matière de cybersécurité OT pour s’assurer que les fondamentaux sont bien pris en compte et apporter la certitude que votre entreprise est en mesure de répondre à des attaques sophistiquées. Par exemple, quelle est la fréquence d’évaluation de l’inventaire du parc ? Quels sont les systèmes de détection, d’atténuation et de sauvegarde/reprise mis en place ?
- Une formation à la sensibilisation cyber est-elle dispensée à tous les employés ? Quelles sont les mesures pour la sécurité physique ou celle des produits qui ont été appliquées au niveau des automates et des périphériques ?
- Vérifier que les efforts en matière de transformation numérique incluent dès le départ des mesures de sécurité adéquates visant à réduire les risques liés aux appareils de l’Internet des objets (IoT), aux services Cloud, aux télétravailleurs, aux chaînes logistiques et aux systèmes tiers. Envisager le recours à des tiers pour combler les lacunes en matière d’expertise en cybersécurité. Les professionnels compétents en cybersécurité sont notoirement rares dans le monde. Il est impératif de déployer des solutions de sécurité d’infrastructure efficaces, et ce rapidement et de manière précise en consultant des sociétés ayant l’expertise dans ce domaine, ce qui fera économiser énormément d’efforts et gagner de l’argent.
Les lacunes en cybersécurité dans le secteur des infrastructures critiques doivent être comblées et il est urgent que beaucoup d’entreprises des secteurs public et privé traitent de ces questions.
Des subventions seront disponibles
Le Congrès a voté une loi bipartisane sur les infrastructures à hauteur de 1 billion de dollars US en novembre 2021 Une partie de la loi sur les infrastructures prévoit de financer à hauteur de milliards de dollars US la CISA, l’Agence de protection de l’environnement (EPA) et l’Agence fédérale des situations d’urgence (Federal Emergency Management Agency, FEMA). Tout ce financement sera consacré aux services et aux subventions qui visent à protéger les services d’infrastructure critique du pays, notamment aux échelons fédéraux et locaux.
Il existe, par exemple, des dispositions pour aider les réseaux électriques et les systèmes de traitement de l’eau et des eaux usées à renforcer leurs défenses contre les rançongiciels et autres cyberattaques. Les subventions soutiendront aussi les mesures nécessaires figurant dans un plan de cybersécurité approuvé, comme l’exécution d’évaluation des vulnérabilités, l’analyse de logiciels malveillants ou la détection de menaces.
Pour prétendre à une subvention, il faut soumettre à l’attention du DHS un plan de cybersécurité décrivant dans le détail les capacités techniques et les protocoles de détection et de réponse aux cyberattaques. Le plan devrait satisfaire à certaines exigences de base (des informations complémentaires seront fournies en temps voulu). Il serait logique pour commencer de s’appuyer sur les protocoles d’évaluation et de planification de la cybersécurité de Rockwell Automation, basés sur le cadre NIST pour une cybersécurité efficace reprenant les catégories « Identifier, Protéger, Détecter, Répondre et Reprendre ».
Cybersécurité des infrastructures critiques : une responsabilité civique
Il est clairement temps pour les gouvernements et les entités privées de réduire les cyberrisques dans le fonctionnement des infrastructures critiques. Le seul obstacle est la procrastination.
Rockwell Automation s’engage à assister les entreprises du secteur des infrastructures critiques à obtenir la subvention prévue dans le cadre de la législation « Infrastructure Investment and Jobs Act ». En savoir plus sur les mesures que vous pouvez prendre aujourd’hui pour être prêt à faire la demande.
