Le 23 décembre 2015, à 15h30, les habitants d’Ivano-Frankivsk, une ville de l’ouest de l’Ukraine, pensaient à la fin de la journée de travail. Les opérateurs du centre de contrôle de Prykarpattyaoblenergo, une installation qui fournit de l’électricité à des milliers d’habitants de la région, étaient également sur le point de terminer leur temps de travail. Puis le désastre s’est produit.

Un travailleur, tout en rangeant son bureau avant de rentrer chez lui dans les rues glacées, a regardé à 2 fois son écran car le curseur de la souris sur son ordinateur se déplaçait sur l’écran sans son toucher. D’abord, il a regardé avec incrédulité, puis avec une panique, à mesure que le curseur commençait à naviguer dans le système de façon magistrale. L’utilisateur invisible a fermé des centrales électriques, a éteint les lumières et le chauffage pour des milliers de personnes, en un tour de main.

Les pirates informatiques ont frappé avec succès deux autres centrales électriques ukrainiennes en même temps et ont réussi à mettre hors ligne près de 60 centrales, laissant près d’un quart de million de personnes dans le noir, littéralement, pendant des heures.


La ville ukrainienne d’Ivano-Frankivsk, où s’est produit le premier piratage avéré pour désactiver des centrales électriques.

Il s’agissait du premier piratage avéré visant à désactiver des centrales électriques, bien que ce soit loin d’être la dernière cyberattaque contre des infrastructures nationales essentielles. Par exemple, en Amérique, les niveaux de produits chimiques utilisés pour traiter l’eau du robinet ont été modifiés dans une usine en 2016. Plus près de chez nous, l’attaque mondiale de WannaCry, qui a duré quatre jours en mai 2017, a affecté le National Health Service du Royaume-Uni, parmi de nombreuses autres cibles, et a encore nui à l’efficacité des hôpitaux déjà en difficulté, le personnel étant contraint de recourir à nouveau aux stylos et au papier.

Afin de limiter ces attaques, la Directive Réseau et Système d’Information (NIS) a été approuvée par l’Union européenne en août 2016. La législation est devenue applicable au Royaume-Uni à partir du 10 mai de cette année, le même mois que le très médiatisé General Data Protection Regulation (RGPD) a été lancé, avec 20 autres États membres de l’UE travaillant dans des délais similaires.

La directive SNI vise à faire en sorte que les opérateurs des secteurs du transport de passagers et de fret, de l’eau, de l’énergie, de la santé et des services numériques soient prêts à faire face au nombre croissant de cybermenaces. Elle s’applique principalement aux organismes identifiés comme opérateurs de services essentiels et dont la conformité est contrôlée par le régulateur sectoriel et/ou les services gouvernementaux responsables agissant en tant qu’autorités compétentes.

La directive concerne la perte de service plutôt que la perte de données, qui relève du RGPD. Mais les sanctions peuvent être tout aussi punitives. Les organisations qui ne parviennent pas à mettre en œuvre des mesures de cybersécurité efficaces, comme le prévoit la directive, pourraient se voir infliger des amendes allant jusqu’à 17 millions de livres. En outre, elles pourraient se voir infliger une double incrimination si l’incident est également lié à une violation de données à caractère personnel, de sorte qu’il est possible qu’elles se voient sanctionnées, dans le cadre du RGPD, une amende pouvant atteindre 4 % de leur chiffre d’affaires global ou £20 millions, le montant le plus élevé étant retenu.

En janvier, le Centre national de cybersécurité (NCSC), l’organisation gouvernementale chargée de renforcer les défenses numériques du pays, a distribué des documents instructifs destinés à expliquer le SNE. D’après les directives : « Les réseaux et les systèmes d’information, ainsi que les services essentiels qu’ils soutiennent, jouent un rôle vital dans la société, qu’il s’agisse d’assurer l’approvisionnement en énergie et en eau, de fournir des soins de santé ou de transporter des passagers et des marchandises. Leur fiabilité et leur sécurité sont essentielles dans les activités quotidiennes. »

Nik Whitfield, directeur général de Panaseer, une organisation basée à Londres qui prétend surveiller certains des domaines technologiques les plus importants au monde, déclare : « La directive NEI est à ce point importante parce que vous êtes aussi sûr que votre êtes le maillon le plus faible. Des événements tels que l’attaque de 2017 contre la rançon de WannaCry, l’attaque de 2016 contre les compagnies des eaux américaines et l’attaque de 2015 contre le réseau électrique de l’Ukraine mettent clairement en évidence l’impact que les incidents de cybersécurité peuvent avoir sur l’économie, la société et le bien-être des individus. »

Mais la directive SNE aurait-elle empêché les attentats ? « Dans le monde numérique d’aujourd’hui, la sécurité à 100 % n’existe pas « , déclare M. Whitfield. « C’est toujours facile, avec la vision 20/20 que l’on a quand on regarde en arrière, de dire qu’on pourrait éviter des choses dans un monde parfait.

« Le fait est qu’il y a le monde parfait et le monde réel. Dans le monde réel, les budgets et les ressources sont limités et font obstacle aux meilleures pratiques. Si vous voulez avoir une chance réelle de combattre les menaces avec succès et de résoudre les innombrables problèmes de conformité auxquels sont confrontées toutes les industries, vous avez besoin d’un livre de jeu différent.

Il n’est pas exagéré de penser qu’au moins certaines des principales atteintes à la sécurité auraient pu être évitées si toutes les organisations avaient suivi les lignes directrices énoncées dans la directive NEI.

« Avec des budgets et des ressources limités, et des demandes de compréhension et de preuves, les organisations doivent passer de la lutte contre l’incendie – détection, surveillance et réponse – à l’ignifugation – préparation et protection. »

Matt Lock, directeur des ingénieurs commerciaux de Varonis Systems, société de logiciels basée à New York au Royaume-Uni, déclare : « Il n’est pas exagéré de penser qu’au moins certaines des principales failles de sécurité auraient pu être évitées si toutes les organisations avaient suivi les lignes directrices définies dans la directive NIS.

« Un sous-ensemble d’organisations omettent à plusieurs reprises de prendre des mesures de cybersécurité de base et d’effectuer des mises à jour de leurs systèmes informatiques – et c’est exactement ce qui s’est passé avec WannaCry. Le NHS est revenu au stylo et au papier parce qu’il n’a pas réussi à patcher son système d’exploitation lorsqu’il a été touché par une attaque de logiciel de rançon.

« Exiger que les organisations prennent les mesures techniques et organisationnelles appropriées pour prévenir les cyberattaques et assurer le fonctionnement continu de leurs systèmes est un pas dans la bonne direction.

Lorsque la directive SNE est entrée en vigueur, Ciaran Martin, directeur général du NCSC, a exhorté les organisations à se protéger contre ceux qui pourraient nous faire du mal, ajoute-t-il : « Le gouvernement s’est engagé à faire du Royaume-Uni l’endroit le plus sûr où vivre et faire des affaires en ligne, mais nous ne pouvons y arriver seuls. Chaque citoyen, chaque entreprise et chaque organisation doit jouer son rôle. »

Raconteur

Publicités

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.