Les multiples ateliers du Forum International de la Cybersécurité se suivent et, souvent, se ressemblent d’une année sur l’autre. Sécurité des communications mobiles, cybersurveillance et vie privée, cyberdélinquance et lutte transfrontière, gouvernance d’Internet… si les questions ne changent pas, les réponses, parfois, évoluent. Ainsi, les questions portant sur le renforcement des infrastructures critiques attiraient invariablement par le passé des avis prudents, voir une totale indifférence. Tout ça ne relève encore que du mauvais scénario à la sauce Die Hard 4 disait-on alors. La sécurité des processus industriels est assurée par des gens de métier qui ont su penser à ces problèmes dès la conception des architectures…
Depuis, la LPM est passée. L’inventaire des opérateurs d’importance vitale et la liste des sites critiques (classement Seveso par exemple) est en cours de réalisation. Les documents expliquant la méthodologie de classification des infrastructures critiques et le guide des mesures de sécurité détaillées sont disponibles sur le site de l’Anssi. La menace qui pourrait peser sur de tels établissement appartient désormais au domaine du possible, voire, estiment les experts de l’Agence, une « certitude à plus ou moins longue échéances ». En substance, si le risque existe, la probabilité que ce risque soit exploité un jour par un adversaire est aussi probable que n’importe quel autre sinistre informatique. Le « si » (la probabilité de panne) est remplacé par le « quand » (la certitude à plus ou moins longue échéance du sinistre). Il faut avouer que, depuis ces 4 ou 5 dernières années, les preuves d’exploitation Scada et autres intrusions « involontairement mises à jour » ont fait les choux gras des principales conférences sécurité d’Europe, d’Asie et des Amériques. Le « brick and mortar », bien que vouant un culte aux dieux de la sécurité des processus et du périmétrique, n’a pas totalement digéré la composante informatique et Internet qui le fragilise progressivement depuis une petite décennie. Il est temps que l’on en prenne conscience.
