Développement durable : pourquoi se préoccuper de la cybersécurité ?

Pourquoi est-il capital pour une entreprise de faire preuve de résilience face aux cyberattaques dans le cadre de ses politiques de développement durable ?

Le paysage des menaces n’a de cesse de muter et de repousser ses limites, un développement effréné que confirment à la fois le nombre d'attaques détectées et la manière dont elles sont menées.

C’est sans compter que, dans leur quête de récompenses, les groupes cybercriminels s’en prennent de plus en plus souvent aux infrastructures critiques, qui revêtent une importance stratégique vitale pour l'économie et la société. Selon les données statistiques de Kaspersky ICS CERT, c'est en 2022 que le pourcentage le plus élevé (40,6 %) d'ordinateurs ICS sur lesquels des objets malveillants ont été bloqués a été enregistré.

Quand elles sont menées à bien, les cyberattaques peuvent avoir des conséquences désastreuses pour les entreprises, notamment en termes de pertes financières, d’atteinte à la réputation et de retentissement médiatique, si bien que leur impact ne se limite plus aux simples intérêts d'une organisation. Quand une infrastructure critique est la cible d’une attaque, il faut tenir compte des conséquences négatives que cela peut avoir pour l'environnement et la santé publique, en plus des risques opérationnels et financiers.

Qu’il s’agisse de stations d'épuration, de centrales électriques, de systèmes de télécommunications et autres travaux publics, il est important de comprendre que les infrastructures critiques font partie intégrante des services collectifs essentiels contrôlés par des réseaux informatiques interconnectés. Cela signifie qu'elles peuvent être vulnérables à de nombreuses menaces de cybersécurité provenant de pirates informatiques externes ou d'intrus œuvrant en interne. Cette évolution s'accompagne également d'une croissance du marché de l'internet industriel des objets (IIoT), qui devrait atteindre une valeur de 450 milliards d’euros d'ici 2025. Des innovations IIoT sont par ailleurs largement utilisées pour améliorer le suivi et le reporting ESG en général. Cependant, une défaillance du réseau de contrôle peut entraîner le dysfonctionnement d'infrastructures entières. Ainsi, la mise à arrêt d'une unité de production chimique ou d'une centrale nucléaire peut entraîner le rejet de substances dangereuses dans l'environnement et avoir des conséquences fatales en termes de santé publique.

Pas besoin de chercher bien loin pour illustrer cette idée : le 5 février 2021, des cybercriminels ont infiltré des installations de traitement de l'eau et ont tenté d'empoisonner l'eau d’habitants de Floride (États-Unis) en portant les niveaux d'hydroxyde de sodium à des niveaux dangereusement élevés. Heureusement, des employés vigilants ont remarqué ce qui n'allait pas et ont pu ajuster le dosage des produits chimiques. Dans le cas contraire, plus de 15 000 habitants de l'État auraient pu être affectés par l'eau empoisonnée, comme l'a rapporté la police.

Selon les chiffres du Ministère de la Transition Écologique, les secteurs de l'énergie, des transports et de l'industrie manufacturière sont les plus polluants pour l’environnement, à l’échelle mondiale. Parallèlement, les experts en cybersécurité prédisent que ces secteurs, l'industrie et l'énergie notamment, devraient subir un nombre croissant de cyberattaques en 2023, ce qui pourrait encore alourdir le bilan écologique des entreprises de ce secteur.

Cette prédiction n’engage rien de bon pour les décideurs et les exploitants d’infrastructures critiques, qui doivent impérativement se préoccuper de la protection de leurs systèmes de contrôle automatisés vis-à-vis des cyberattaques.

Alors, que peuvent-ils faire pour minimiser les dommages environnementaux éventuels découlant de ces possibles cyberattaques ?

Tout d'abord, les organisations présentant une importance stratégique pour l'économie et la société doivent profiter des nouveaux défis cyber qui se présentent à eux pour calibrer leur stratégie de développement durable et reconsidérer leur impact sur l'environnement à la lumière des risques écologiques causés par les incidents cyber. Il convient également de rappeler qu’il est beaucoup moins coûteux de mettre en œuvre des mesures préventives que de devoir gérer l’ampleur des conséquences d’une cyberattaque. La mise en place d’une stratégie de cybersécurité englobante, qui inclut la formation continue du personnel, est une priorité absolue à mettre à l’agenda de tous les comités d’entreprise.

Ensuite, les groupes industriels doivent unir leurs efforts pour renforcer leurs mesures préventives, en coopérant par exemple avec les fournisseurs de cybersécurité, les régulateurs et les organisations internationales. Pour reprendre notre exemple, à la suite des attaques notoires ayant visé les systèmes d'approvisionnement en eau, l'Agence de protection de l'environnement (EPA) a récemment ordonné aux États américains de surveiller l’état de l’infrastructure cyber des réseaux publics d'approvisionnement en eau.

Enfin, il serait bénéfique que les stratégies de numérisation actuellement mises en œuvre, y compris l'intégration plus large de l'IIoT, tirent davantage d'enseignements des principes de cybersécurité intégrés et de l'approche de la Cyber-Résilience, un élément clé des futurs systèmes informatiques intelligents. Sa mise en œuvre, qui implique le développement de systèmes informatiques dotés d'une protection intrinsèque contre les cyberattaques, contribuera à minimiser les risques tout en intégrant de nouveaux dispositifs de contrôle dans les infrastructures industrielles.