Protection des infrastructures critiques 2022 : Pourquoi les infrastructures critiques doivent agir maintenant

Fournisseurs d’énergie, hôpitaux, usines de traitement de l’eau – les infrastructures critiques sont de plus en plus souvent la cible d’attaques cyber. La loi sur la sécurité informatique 2.0 renforce les obligations. Pourtant, de nombreux exploitants d’infrastructures critiques (KRITIS) ne sont pas encore au niveau requis.

L’essentiel

• Loi sur la sécurité informatique 2.0 en vigueur : Depuis mai 2021, des obligations renforcées s’appliquent aux exploitants d’infrastructures critiques.
• Délai à respecter : D’ici mai 2023, des systèmes de détection d’attaques (SzA) doivent être mis en place.
• Obligation de déclaration au BSI : Les perturbations importantes doivent être signalées au BSI (Office fédéral de la sécurité informatique) en quelques heures.
• Nouveaux secteurs : Les secteurs de l’élimination des déchets et de l’industrie de l’armement sont désormais considérés comme des secteurs critiques.
• Sous-financement : De nombreux services publics et fournisseurs communaux n’ont pas de budget dédié à la sécurité.

La situation des menaces aggravée

Selon le rapport de situation du BSI de 2021, le nombre d’attaques cyber contre les infrastructures critiques a doublé par rapport à l’année précédente. Les secteurs les plus touchés sont le secteur de la santé (Universitätsklinikum Düsseldorf, Klinikum Wolfenbüttel), le secteur de l’énergie (attaque contre la Colonial Pipeline aux États-Unis) et les administrations communales (Landkreis Anhalt-Bitterfeld). Le conflit en Ukraine a encore aggravé la situation des menaces.

Ce que demande la loi sur la sécurité informatique 2.0

La loi sur la sécurité informatique 2.0 renforce considérablement les obligations pour les exploitants d’infrastructures critiques. Les exigences principales sont la mise en place de systèmes de détection d’attaques (SzA) d’ici mai 2023, des obligations de déclaration élargies en cas d’incidents de sécurité, l’utilisation de produits certifiés par le BSI dans certains domaines et des preuves régulières auprès du BSI tous les deux ans. De plus, des composants critiques provenant de fabricants non fiables peuvent être interdits.

Où en sont les exploitants d’infrastructures critiques

La réalité dans de nombreux services publics communaux est sombre. Les services publics avec quelques centaines d’employés n’ont souvent pas de département de sécurité informatique dédié. Les systèmes OT dans l’approvisionnement en eau ou en énergie fonctionnent sur des logiciels obsolètes qui ne peuvent pas être mis à jour. Et le délai pour la mise en place des systèmes de détection d’attaques approche, sans que de nombreux exploitants aient commencé. Les fournisseurs de services de sécurité gérés peuvent ici offrir une solution.

Key Facts sur un coup d’œil

Secteurs critiques : 11 (énergie, eau, alimentation, IT/TK, santé, finances, transport, médias, État, élimination des déchets, armement)

Délai pour les SzA : 1er mai 2023

Obligation de déclaration au BSI : Immédiatement, au plus tard 24 heures en cas de perturbations importantes

Cycle de preuve : Tous les 2 ans auprès du BSI

Source : Loi sur la sécurité informatique 2.0, règlement KRITIS du BSI, 2022

Fait : La directive NIS2 élargit le cercle des secteurs soumis aux obligations KRITIS de 7 à 18.

Fait : Les attaques contre les infrastructures critiques ont augmenté de 38 % en 2024 par rapport à l’année précédente, selon ENISA.

Questions fréquentes

Quels sont les systèmes de détection d’attaques (SzA) ?

Les SzA comprennent des solutions techniques telles que SIEM, IDS/IPS et la détection d’anomalies, qui permettent de détecter et de signaler les attaques cyber en temps réel. La loi sur la sécurité informatique 2.0 exige leur mise en place d’ici mai 2023. Le BSI a publié un guide d’orientation qui définit trois niveaux de maturité.

Quelles entreprises sont considérées comme des infrastructures critiques ?

Les exploitants d’infrastructures critiques sont des entreprises dans 11 secteurs qui dépassent certains seuils. Une usine de traitement de l’eau à partir de 22 millions de mètres cubes de production annuelle, un hôpital à partir de 30 000 cas en hospitalisation complète, un fournisseur d’énergie à partir de 420 000 personnes desservies. Les seuils exacts sont indiqués dans le règlement KRITIS du BSI.

Que se passe-t-il en cas de non-respect ?

La loi sur la sécurité informatique 2.0 a porté le plafond des amendes à 2 millions d’euros. En cas de violations graves, le BSI peut prendre des mesures et restreindre l’exploitation. De plus, des risques de responsabilité peuvent être encourus par les dirigeants si les obligations KRITIS ne sont pas respectées.

Comment les petits services publics peuvent-ils répondre aux exigences ?

Les fournisseurs de services de sécurité gérés (MSSPs) offrent des SOC-as-a-Service et des services de détection et de réponse gérés (MDR) qui sont économiquement plus avantageux pour les petits exploitants d’infrastructures critiques que des équipes de sécurité internes. Les associations professionnelles comme le BDEW proposent également des normes et des modèles pour le secteur.

La loi sur la sécurité informatique 2.0 s’applique-t-elle également aux fournisseurs des exploitants d’infrastructures critiques ?

Indirectement oui. Les exploitants d’infrastructures critiques doivent garantir la sécurité de leur chaîne d’approvisionnement. Les fournisseurs de composants critiques peuvent être contrôlés par le BSI. En pratique, les fournisseurs doivent également respecter des normes de sécurité plus élevées s’ils souhaitent fournir des clients KRITIS.

Lectures complémentaires dans le réseau

Sécurité des infrastructures critiques et cloud sur cloudmagazin : cloudmagazin.com

Services de sécurité gérés pour les PME sur mybusinessfuture : mybusinessfuture.com

Conformité KRITIS comme sujet de direction sur Digital Chiefs : digital-chiefs.de

Articles connexes

• SOC assisté par l’IA : Comment les opérations de sécurité automatisées résolvent la pénurie de main-d’œuvre qualifiée
• ChatGPT et cybersécurité : Pourquoi l’IA transforme l’attaque et la défense
• Directive NIS2 adoptée : Ce qui attend maintenant les entreprises

Source de l’image : Pexels / Efe Burak Baydar

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow