Symantec a publié les résultats de son enquête 2010 sur la protection des infrastructures critiques (CIP, Critical Infrastructure Protection), menée auprès de 1 580 entreprises à travers le monde. Cette étude révèle que 53 % des entreprises qui gèrent des infrastructures critiques reconnaissent avoir subi une cyber attaque qu’elles estiment avoir été politiquement motivée. En moyenne, leurs réseaux ont été ciblés 10 fois au cours des cinq dernières années et le coût moyen de chacune de ces attaques est estimé à 850 000 dollars. L’étude montre également que le secteur de l’énergie est le mieux préparé, à l’inverse du secteur des communications. Les entreprises gestionnaires d’infrastructures critiques sont présentes dans des secteurs si importants pour l’économie ou la société, que l’attaque ou la neutralisation de leurs réseaux pourrait constituer une menace réelle pour la sécurité nationale.
En France, les chiffres correspondent à la moyenne mondiale et les entreprises concernées ont conscience du danger : 87% des sociétés interrogées ont indiqué qu’elles sont déjà engagées dans un programme de protection des infrastructures critiques, et 43% d’entre elles s’estiment significativement ou complètement impliquées dans ce programme.
Malgré cette volonté de la part des entreprises françaises, l’étude démontre cependant qu’elles ne sont pas encore prêtes, puisque seulement un tiers des personnes interrogées s’estiment que leur société est préparée à affronter ce genre de cyber attaques, motivées par des intentions politiques.
Premier objectif supposé des attaques constatées : endommager ou faire tomber le réseau de l’entreprise, dans 39% des cas. Ce but est l’une des principales craintes concernant de futures attaques (41%), juste derrière le vol d’informations électroniques (44%). Pour les entreprises, les principales précautions à prendre ou à améliorer pour faire face à ces risques sont la sensibilisation et la formation aux messages de sécurité, la connaissance et la compréhension des menaces par les équipes dirigeantes et les mesures de sécurité concernant les terminaux.
« La protection des infrastructures critiques ne concerne pas seulement les gouvernements. Elles sont en effet assurées par des entreprises publiques et privées et de toutes tailles », explique Laurent Heslault, Directeur des Technologies de Sécurité pour l’Europe de l’Ouest de Symantec. « Les systèmes de sécurité à eux seuls ne suffisent pas pour permettre aux entreprises qui gèrent les infrastructures critiques de contrer les cyberattaques d’aujourd’hui. Par exemple, le ver Stuxnet qui s’est attaqué au secteur de l’énergie représente un type de menace évolué. Face à un tel risque, il est indispensable de mettre en place un ensemble de solutions qui intègrent la sécurité, le stockage et la sauvegarde, ainsi que des processus d’authentification et de contrôles d’accès offrant une réelle solidité. »
Points clés de l’enquête :
- Les entreprises qui détiennent ou gèrent les infrastructures critiques subissent des attaques. 53 % de ces entreprises pensent avoir subi une attaque ayant un but précisément politique. Elles rapportent avoir subi en moyenne 10 attaques au cours des cinq dernières années. 48 % s’attendent à d’autres attaques dans les douze prochains mois et 80 % estiment que ces attaques sont de plus en plus fréquentes.
- Ces attaques sont efficaces et coûteuses. Les sociétés consultées estiment que trois attaques sur cinq ont été plutôt ou extrêmement efficaces. Le coût moyen de ces attaques a été de 850 000 dollars.
- L’industrie est disposée à collaborer avec les gouvernements pour la protection des infrastructures critiques. Presque toutes les sociétés consultées (90 %) ont déclaré collaborer avec leur gouvernement dans un programme de protection des infrastructures critiques, dont 56% de façon totale ou significative.
- Une préparation encore insuffisante. Seulement un tiers des fournisseurs d’infrastructures critiques s’estime extrêmement bien préparé face à tous les types d’attaque, tandis que 31 % se considèrent plutôt mal préparés. Selon les sociétés consultées, la formation à la sécurité, la connaissance et la compréhension des menaces par les équipes dirigeantes, les mesures de sécurité au niveau des terminaux, la réactivité des systèmes de sécurité et les audits de sécurité sont les précautions qui nécessitent le plus d’améliorations. Enfin, ce sont les petites sociétés qui se déclarent le plus mal préparé.
Les recommandations de Symantec pour renforcer la sécurité en cas de cyberattaque contre les infrastructures critiques sont les suivantes :
- Développer et appliquer des politiques informatiques, et automatiser les processus de mise en conformité. Les entreprises doivent hiérarchiser les risques et définir des politiques couvrant l’ensemble des sites, puis les appliquer par une automatisation et les workflows associés. Elles peuvent ainsi identifier les menaces et remédier aux incidents lorsqu’ils se produisent, voire les anticiper.
- Protéger les données proactivement grâce à un modèle informatique centrée sur l’information. Une approche orientée vers le contenu et la protection de l’information est décisive pour savoir qui détient les informations, où se trouvent les données sensibles, qui y a accès et comment protéger les données qui entrent dans l’entreprise ou en sortent. Il est ainsi recommandé d’appliquer le chiffrement des informations sensibles et d’interdire leur accès aux individus ne possédant pas les droits requis.
- Authentifier les identités au moyen de solutions permettant aux entreprises de s’assurer que seul le personnel autorisé accède aux systèmes concernés. Cela permet également de protéger les ressources exposées au public en s’assurant de l’authenticité d’un périphérique, d’un système ou d’une application. Cette précaution évite que des individus ne divulguent accidentellement les coordonnées d’accès à un site compromis et qu’ils ne connectent des terminaux non autorisés à l’infrastructure.
- Gérer les systèmes en mettant en œuvre des environnements d’exploitation sécurisés, en distribuant et en appliquant les correctifs selon leur niveau, en automatisant les processus pour rationaliser le rendement, et en assurant le suivi et le reporting de l’état du système.
- Protéger l’infrastructure en sécurisant les points d’accès, la messagerie et l’environnement Web. En outre, il est recommandé d’accorder la priorité à la défense des serveurs internes stratégiques ainsi qu’à la sauvegarde et à la restauration des données. Les entreprises doivent également disposer d’une vision précise et complète de leurs infrastructures et d’un système de surveillance leur permettant de répondre rapidement aux menaces.
- Assurer une disponibilité 24 h/24 et 7 j/7. Les entreprises doivent mettre en œuvre des méthodes de test transparentes, ainsi que réduire la complexité de leurs systèmes par l’automatisation de la redondance des systèmes. Les environnements virtuels doivent être gérés de la même manière que les environnements physiques. En conséquence, l’adoption d’outils compatibles avec des plates-formes et des environnements multiples ou la standardisation de leur parc autour d’un nombre de plates-formes réduit est une nécessité pour les entreprises.
- Développer une stratégie de gestion de l’information qui comprend un plan et des politiques de conservation des données (sauvegarde, archivage, archivage légal déduplication et prévention des pertes de données).
Recommandations aux gouvernements afin d’encourager la protection des infrastructures critiques :
- Les gouvernements doivent continuer à fournir les ressources nécessaires pour établir des programmes de protection des infrastructures critiques.
-
- La majorité des entreprises gérant ou possédant les infrastructures critiques confirme connaître l’existence de ces programmes.
- En outre, la majorité d’entre eux soutient les efforts gouvernementaux en vue de mettre en place des programmes de protection.
- Les gouvernements doivent s’allier aux associations industrielles et aux groupes d’entreprises privées en vue de diffuser l’information et de faire connaître les organismes et les plans de protection des infrastructures critiques. Plus exactement, ces informations doivent préciser comment faire face à une cyber attaque, quel est le rôle du gouvernement, quels sont les contacts spécifiques pour les différents secteurs tant au niveau régional que national, ainsi que la manière dont les gouvernements et le secteur privé doivent partager les informations en cas d’urgence.
- Les gouvernements doivent souligner que la protection des infrastructures critiques dépasse le champs de la sécurité. Les entreprises du secteur doivent veiller particulièrement à ce que leurs données soient stockées, sauvegardées, organisées et hiérarchisées, et à ce que des contrôles des identités et des accès adéquats soient mis en place.
Cette étude a été réalisée en août 2010. Les résultats reposent sur 1580 réponses données dans 15 pays et dans six secteurs d’activité considérés comme fournisseurs d’infrastructures critiques.