Nous avons modéré à l’occasion du FIC 2014 une discussion consacrée à la résilience des infrastructures critiques. A défaut de découvrir la formule magique qui rendra la Nation résiliante aux attaques cyber (pardon…), le débat aura cependant permis de mieux éclairer les difficultés d’une telle entreprise.

Nous étions accompagnés pour cela de Neira Jones (Chairman, Centre for Strategic Cyberspace + Security Science), Jan de Meer (Ingénieur en chef, Smart Space Lab), Mark Jones (IT security & compliance officer, British Airport Authority), Laurent Heslaut (Directeur des stratégies de cybersécurité, Symantec), Laurent Maymard (Responsable du business développement sur le marché Défense, Alcatel Lucent), et Rytis Rainys (Directeur du département réseau & sécurité de l’autorité de régulation des communications de la République Lituanienne).

Ensembles nous avons tenté de jalonner la route vers la résilience numérique (bien que l’impact d’une attaque informatique puisse ne rien avoir de cyber et s’apparenter plutôt à un sabotage physique)

Etape 1 : la gouvernance

Il semble difficile de se relever rapidement après une attaque sans une gouvernance efficace. Mais les actifs critiques de la Nation sont pour certains placés sous le contrôle de l’Etat (secteur public) et pour d’autres d’entreprises privées. Comment assurer dans ces conditions une gouvernance unifiée ? Comment garantir une coordination efficace des moyens pour une remise en route coordonnée ?

La question essentielle ici est celle du rôle du gouvernement. Doit-il avoir une posture de coordinateur, en rassemblant autour de lui des entités publiques et privées chargées de concevoir avec lui des stratégies de résilience et veiller à leur exécution dans leurs différents secteurs d’activités ? Doit-il légiférer, quitte à recourir à des lois d’exception l’autorisant à prendre le contrôle des opérations, y compris dans le domaine privé, et donc piloter la crise de manière centralisée ? Ou est-ce, finalement, un peu de tout ça à la fois ?

Pour les participants à cette table ronde le gouvernement ne peut raisonnablement se charger de tout et être seul à la manœuvre en situation de crise. Ne serait-ce parce qu’il n’en a pas les moyens (d’où, d’ailleurs, l’intérêt grandissant pour le concept de réserve cyber opérationnelle afin de renforcer les effectifs en situation d’urgence).

Son rôle de coordinateur en amont de la crise, en revanche, est vital. Il devrait ainsi veiller au partage des responsabilités entre les différents acteurs impliqués (privés et public) et rendre chaque entité responsable de sa propre résilience. Après tout la résilience est rarement le propre d’un système ultra-centralisé…

Se pose cependant alors la question de la motivation des entreprises privées à jouer le jeu sachant que les mesures (techniques ou organisationnelles) destinées à les rendre plus résiliantes ont un coût. Sans moyens pour intervenir directement l’Etat ne pourra que compter sur le bâton (légiférer en amont ou utiliser un régime juridique d’exception durant la crise), la carotte (des incitations fiscales, par exemple) ou déployer de sacrés efforts de sensibilisation pour convaincre ! (ce qui a un coût, également)

A ce titre la France s’est dotée d’un outil précieux avec la notion d’Opérateurs d’Importance Vitale (OIV) d’une part et la Loi de Programmation Militaire 2014-2019 d’autre part. Les premiers sont, depuis 2008, des entités publiques et privées dont l’activité est jugée critique pour le fonctionnement de la Nation. La seconde stipule depuis fin 2013 que l’Etat est en mesure de les auditer et en cas de crise majeure de leur imposer les mesures nécessaires à leur sauvegarde.

La lecture de la « Proposition de loi tendant à faciliter l’utilisation des réserves militaires et civiles en cas de crise majeure » adoptée par le Sénat en 2011 est particulièrement instructive à ce sujet. Le texte renomme notamment le « service de défense » en « service de sécurité nationale », étendant par là même l’impératif de sécurité de la Nation au delà des seules considérations de défense vers les OIV, les entreprises et leurs employés. Il offre également une alternative aux régimes d’exception en cas de crise – y compris technologique. Nous en parlons plus en détail ici.

Pour nos participants la gouvernance est donc réellement une question de partenariat public-privé, ce qui implique alors nécessairement de partager de l’information SSI. Une pratique qui se heurte cependant encore à des réticences liées à la confidentialité des informations partagées, à la confiance imposée entre des entités privées potentiellement concurrentes, et bien entendu à la méfiance vis-à-vis du gouvernement à qui l’on reproche un sens du partage à sens unique. « C’est vrai, répond Mark Jones, mais il faut savoir qu’un gouvernement ne pourra jamais tout divulguer et tout partager, cela fait partie de la règle du jeu et ce n’est pas une raison pour ne rien faire du tout. Il est possible d’arriver à des compromis » .

Etape 2 : les risques

Dans le monde de l’entreprise une bonne gouvernance s’appuie sur une maîtrise efficace des risques. Est-ce pareil en ce qui concerne la Nation et ses infrastructures critiques ? Si c’est le cas il faudrait alors être en mesure de procéder à un inventaire global des risques à l’échelle d’un pays dans l’espoir d’aboutir à une note unique. Est-ce réaliste ? « On en viendra peut-être à voir un jour une notation du niveau de protection des infrastructures critiques d’un pays à l’image du scoring financier réalisé par les agences de notation de type Fitch (voire à ce que la capacité de résilience des infrastructures critiques soit pris en compte dans la notation financière, ndlr), mais nous en sommes encore très loin ! » , précise Neira Jones.

Cependant la perspective de mener des analyses de risque à tour de bras afin de déterminer un score pondéré pour la totalité du pays semble superflue (mais avouons que cela serait du plus bel effet sur un tableau de bord !). « Plutôt que d’essayer de mesurer à tout prix le risque de la sorte il semble plus réaliste de déterminer des objectifs de résilience pour chaque partie prenante des infrastructures critiques (dans le volet de la gouvernance, ndlr) et de les laisser libres de la manière d’atteindre cet objectif. Cela impliquera dans certains cas une analyse des risques, mais chaque entité s’en chargera alors dans son propre contexte et si elle le juge nécessaire » , estime Jan de Meer. Seule contrainte : il devient alors difficile d’évaluer la posture de chaque entité de manière cohérente afin d’obtenir une vision globale de celle de la Nation.

A noter cependant l’approche très pragmatique de la République de Lituanie : elle vient de démarrer un chantier de cartographie de l’ensemble de son infrastructure Internet nationale,  des points de sortie du pays et des acteurs concernés. Et l’on sait combien une bonne cartographie des actifs est fondamentale avant une analyse des risques…

Etape 3 : la résilience

Enfin, la dernière étape concerne les mesures de résilience elles-mêmes. Ici on pense bien entendu immédiatement aux Plans de Reprise / Continuité d’Activité. Véritables serpents de mer de la SSI, les PRA / PCA sont un sujet crucial, et pas seulement dans le cadre des infrastructures critiques, d’ailleurs !

Pas suffisamment répandus en dehors des OIV, pas toujours testés, rarement mis à jour, ils demeurent pourtant l’élément fondamental de la résilience. Et tous les participants à la table ronde sont parfaitement d’accords pour le reconnaître. Si effort il doit y avoir ce serait alors plutôt pour en favoriser la mise en oeuvre au sein des entreprises hors OIV, les recenser et peut-être de se doter d’un moyen d’en coordonner l’application durant les crises majeures.

Autre sujet central, enfin : la capacité de réponse aux incidents cyber. Pour les participants à notre table ronde il s’agit d’une composante aussi essentielle que les PRA / PCA, mais pourtant encore plus rarement présente dans les entreprises. On retrouve ici le syndrome de l’assurance : pourquoi consacrer du budget et des ressources à une capacité dont on ne se sert pas, ou peu ?

A l’heure du bilan, la difficulté d’assurer la résilience des infrastructures critiques devient une évidence. La tâche exige en effet une gouvernance unifiée sur des entités très différentes réparties à travers le pays, une gestion fine des objectifs de résilience dans des industries et des acteurs hétéroclites, doublée d’une évaluation régulière de leur posture de résilience (afin de reboucler sur l’étage de gouvernance), puis de convaincre des entités privées de dépenser de l’argent pour des mesures dont elles doutent avoir un jour besoin (PCA / PRA, réponse aux incidents) et par dessus le marché de leur demander de partager des informations qu’elles jugent souvent confidentielles.

Autrement dit : une véritable cause nationale ou rien.