Protection des infrastructures critiques

Contexte

business-discussions-2males-laptop-2

La protection des infrastructures critiques consiste à adopter des mesures visant à protéger les systèmes, réseaux et ressources interdépendants qui permettent de dispenser des services essentiels à la société. À titre d'exemples d'infrastructures physiques vitales, citons les routes, les ponts, les aéroports, les infrastructures de communication et les centrales électriques. C'est l'infrastructure d'informations qui permet à toutes les autres de fonctionner. Elle est caractérisée par des ordinateurs et des réseaux, tout particulièrement des systèmes SCADA (Supervisory Control and Data Acquisition), qui opèrent de façon interconnectée pour assurer l'échange et l'analyse d'informations pour diverses fonctions critiques. Celles-ci incluent les services bancaires, la production et la distribution d'électricité, les services médicaux, les services d'urgence publics ainsi que les transports aériens et de surface.

Comme l'infrastructure d'informations critique de la plupart des pays est essentiellement détenue et gérée par le secteur privé, sa protection nécessite un ensemble dynamique de solutions. En effet, les menaces émergentes — et les technologies destinées à les bloquer — évoluent souvent trop rapidement pour que le processus réglementaire puisse suivre. Le changement rapide et constant inhérent à la nature d'Internet, allié à sa portée mondiale, exige des solutions flexibles capables de s'adapter rapidement à de nouvelles circonstances.

Importance pour McAfee

La destruction ou la mise hors service d'infrastructures physiques ou d'informations causées par des catastrophes naturelles, des cyberattaques ou d'autres moyens pourraient porter un grave préjudice aux citoyens, aux entreprises et aux États. La protection des systèmes d'informations critiques est l'affaire de tous, à l'échelle internationale. L'infrastructure d'informations actuelle dépend d'une interopérabilité et d'une connectivité mondiales. Pour relever le défi que pose la protection de l'infrastructure d'informations critique mondiale, il est impératif d'adopter des stratégies et solutions internationales efficaces.

McAfee met tout en œuvre pour rendre le monde connecté plus sûr. Nous sommes convaincus qu'aucun individu, produit ou entreprise ne peut lutter seul contre la cybercriminalité. C'est particulièrement vrai lorsqu'elle prend pour cible des entreprises exploitant des infrastructures critiques et constamment en butte aux attaques d'autres États et d'organisations criminelles internationales. Aujourd'hui, McAfee est solidement implanté dans plusieurs secteurs d'infrastructures critiques clés dont les soins de santé, les services publics et la finance. Nous progressons également dans d'autres secteurs essentiels comme les communications et l'énergie. Soucieux de servir les intérêts de nos clients, nous nous intéressons et cherchons à influencer les environnements d'intérêt public au sein desquels évoluent nos clients et nos prospects dans le cadre d'une stratégie plus vaste et avantageuse pour toutes les parties.

Recommandations

Préserver une approche volontaire

Les États portent un intérêt légitime à la sécurisation des infrastructures critiques, détenues pour une large part par le secteur privé. Dès lors, McAfee estime que ce dernier devrait jouer un rôle prépondérant dans sa protection. Les États doivent laisser le secteur continuer à innover volontairement dans la protection des infrastructures critiques. Trop de réglementations et directives seraient contraires au but recherché.

  • Si des réglementations contraignaient les fabricants à se protéger contre les menaces actuelles, celles de demain pourraient bien passer entre les mailles du filet.
  • Si un État venait à imposer des technologies spécifiques, bon nombre d'entreprises se contenteraient de respecter ces impératifs réglementaires au lieu de chercher à mettre en place une véritable sécurité performante. Réglementer le domaine de la cybersécurité est une entreprise délicate, qui peut avoir des conséquences imprévues, voire opposées aux intentions bénéfiques de la réglementation.

Certaines approches, comme le partenariat public-privé volontaire qui a donné naissance au cadre NIST, sont bien plus intéressantes que des réglementations pures et dures. L'approche du NIST a été couronnée de succès pour diverses raisons. Tout d'abord, les décideurs politiques et le secteur privé ont identifié un besoin réel : améliorer la sécurité des infrastructures critiques. Puisqu'il s'agissait d'un processus ouvert, le NIST s'est mis à l'écoute du secteur privé et a développé des relations de confiance avec les principales parties prenantes. Ce dialogue a donné naissance à un cadre flexible, reposant sur une collaboration volontaire et non des réglementations rigides. La collaboration permet de concevoir des solutions de protection des processus industriels intégrées et testées, qui peuvent être déployées plus rapidement sans sacrifier la sécurité ni la fiabilité. Les décideurs doivent garder en ligne de mire les succès récents du cadre NIST pour atteindre les résultats qu'ils visent.

 

Promouvoir l'intégration de la sécurité dès la conception

Les décideurs doivent récompenser l'intégration de la sécurité dès la conception pour toutes les nouvelles installations d'infrastructure critique. L'intégration de la sécurité aux tout premiers stades du processus de développement de l'infrastructure représente une approche proactive de loin préférable à l'application de correctifs, aux mises à jour et à la modification des systèmes pour ajouter la sécurité après coup.

  • L'ajout de fonctions de sécurité à un système, à un réseau ou à un équipement après sa mise en service ouvre la porte à des vulnérabilités et nuit à l'efficacité. Un bon exemple est la mise hors ligne d'un système pendant sa mise à jour, une méthode irréaliste pour le réseau de distribution électrique, par exemple.
  • Les fabricants doivent intégrer la sécurité dès les premiers stades de la conception pour n'importe quel équipement prévu pour être mis en réseau. De même, ils doivent inclure des mécanismes pour mettre à niveau et corriger les produits en toute sécurité après la production initiale.

 

Encourager les nouveaux investissements en outils de cybersécurité grâce à des mesures incitatives

La cybersécurité étant notre cœur de métier, McAfee sait combien les clients peinent à réaliser tous les investissements nécessaires au développement et au succès de leur société. Souvent, les investissements en cybersécurité passent au second plan par rapport aux investissements consentis dans les nouveaux produits, les ventes ou le marketing. Compte tenu de l'intérêt général à protéger les infrastructures critiques détenues et gérées par le secteur privé, il est logique que les décideurs politiques adoptent de nouvelles mesures incitatives, telles celles décrites ci-dessous, pour aider ces entreprises à améliorer leur cybersécurité :

  • Avantages fiscaux : Il faudrait proposer des avantages fiscaux pour encourager les entreprises à investir dans des systèmes de cyberdéfense, notamment des plans d'amortissement accéléré ou des crédits d'impôt pour adopter des technologies de sécurité éprouvées.
  • Réformes du secteur des assurances : L'État pourrait améliorer le secteur des assurances en adoptant pour ce dernier un programme de soutien. À cette fin, le Congrès américain devrait envisager d'étendre le champ d'application de la loi TRIPRA (Terrorism Reinsurance Program Reauthorization Act) aux cyberattaques.
  • Mesures incitatives pour éviter le parasitisme au niveau du partage des informations : McAfee est conscient qu'une certaine forme de parasitisme au niveau du partage des informations du secteur public et privé constitue un facteur dissuasif. En effet, si chaque organisation trouve un avantage à utiliser la cyberveille, elle ne tire aucun profit direct à la partager sauf si une structure organisationnelle et des mesures d'incitation appropriées sont mises en place pour éviter ce problème de parasitisme.
  • Déclassification de plus de données sur les menaces : L'État doit augmenter la quantité et améliorer la qualité des données sur les menaces qu'il partage avec le secteur privé pour résoudre le problème du parasitisme. Il doit donc déclassifier davantage de catégories de données sur les menaces et les partager activement avec le secteur privé. Il doit délivrer beaucoup plus d'habilitations de sécurité à des représentants d'entreprise qualifiés afin de permettre l'accès aux données sur les menaces ou catégories de cyberveille les plus sensibles.