L'attaque numérique contre le monde physique a déjà commencé

Ce danger n'est pas théorique. En 2021, un opérateur d'une usine de traitement des eaux à Oldsmar, en Floride, a vu en temps réel un pirate informatique accéder à son système à distance. Le pirate a essayé d'augmenter la concentration d'hydroxyde de sodium, ou soude caustique, dans l'eau potable jusqu'à un niveau toxique. L'attaque a été déjouée uniquement parce que l'opérateur était très vigilant. Des incidents similaires, bien que moins médiatisés, sont de plus en plus fréquents. Des agences gouvernementales comme la CISA (Cybersecurity and Infrastructure Security Agency) aux États-Unis ont lancé des avertissements répétés. Elles alertent sur les menaces croissantes posées par des acteurs étatiques et des groupes criminels. Ces menaces visent ce qu'on appelle les technologies opérationnelles, c'est-à-dire le matériel et les logiciels qui contrôlent le monde physique.

Le cœur du problème réside dans la collision entre anciennes et nouvelles technologies. Beaucoup de nos infrastructures essentielles, des réseaux électriques aux pipelines, ont été construites il y a des décennies. Leurs systèmes de contrôle industriel étaient conçus pour être isolés. Ils fonctionnaient sur des réseaux fermés, sans connexion au monde extérieur. La sécurité reposait sur l'accès physique, et non sur des pare-feux numériques. Mais la recherche d'efficacité, de surveillance à distance et d'analyse de données a poussé les opérateurs à connecter ces anciens systèmes à Internet. Ce pont numérique, créé pour des raisons pratiques, est devenu une porte d'entrée pour les pirates.

Ces anciens systèmes n'ont jamais été conçus pour faire face aux menaces actuelles. Ils manquent souvent de fonctions de sécurité de base, comme le chiffrement ou l'authentification multifacteur. De plus, appliquer des correctifs peut être extrêmement difficile. Mettre une centrale électrique ou un service des eaux hors ligne pour une mise à jour logicielle est une procédure complexe et risquée. Par conséquent, de nombreux systèmes ne sont pas mis à jour pendant des années. Ils fonctionnent avec des logiciels obsolètes qui présentent des failles de sécurité connues. Cela crée une situation explosive : des services essentiels reposent sur une technologie fragile et non sécurisée, désormais exposée à toute personne malveillante sur Internet.

Les conséquences d'une attaque réussie vont bien au-delà d'une simple fuite de données d'entreprise. L'attaque par rançongiciel contre le Colonial Pipeline en 2021 l'a clairement démontré. Elle a provoqué des pénuries de carburant et des achats de panique sur toute la côte Est des États-Unis. Une attaque contre le réseau électrique pendant une forte canicule ou une tempête hivernale pourrait priver des millions de personnes d'électricité, mettant des vies en danger. Un réseau de transport piraté pourrait paralyser des villes entières. Il ne s'agit pas de simples désagréments. Ce sont des menaces directes pour la sécurité publique et la sécurité nationale. Les motivations derrière ces attaques évoluent également. Elles vont de la simple extorsion par des gangs de rançongiciels à l'espionnage sophistiqué et à la déstabilisation stratégique menée par des États-nations cherchant à peser dans des conflits géopolitiques.

Pour faire face à cette menace, il faut changer radicalement notre façon de penser la cybersécurité. Elle ne peut plus être la seule responsabilité du service informatique d'une entreprise. Pour commencer, un investissement massif dans la modernisation est nécessaire. Il faut remplacer les systèmes obsolètes par des technologies intégrant la sécurité dès leur conception, un concept connu sous le nom de « security by design ». C'est un processus long et coûteux, mais le coût de l'inaction est bien plus élevé. De plus, un nouveau niveau de collaboration entre le gouvernement et le secteur privé est essentiel. Les gouvernements peuvent fournir des renseignements cruciaux sur les menaces et fixer des normes de sécurité minimales. De leur côté, les entreprises privées, qui possèdent et exploitent environ 85 % des infrastructures essentielles du pays, doivent être tenues responsables de leur mise en œuvre.

Nous sommes aussi confrontés à un manque critique de compétences. Il y a une grave pénurie de professionnels qui comprennent à la fois la complexité des systèmes de contrôle industriel et les principes de la cybersécurité moderne. Former une nouvelle génération d'experts capables de combler ce fossé entre le monde physique et le monde numérique doit devenir une priorité nationale.

La frontière entre le numérique et le physique s'est estompée au point de disparaître. Sécuriser nos réseaux informatiques ne consiste plus seulement à protéger des données. Il s'agit de protéger notre réalité physique. La sécurité de nos communautés dépend désormais de l'intégrité d'un code informatique qui s'exécute dans une installation à des centaines de kilomètres de distance. Reconnaître cette réalité est la première étape pour construire une société plus résiliente. Une société où l'interrupteur fonctionne toujours et où l'eau du robinet est toujours potable.