BSI: Infrastructures critiques 2024 particulièrement menacées

2 min de lecture

Comme le BSI l’annonce, les incidents de cybersécurité sur les infrastructures critiques, appelées KRITIS en abrégé, ont considérablement augmenté en 2024. Tous ne sont cependant pas dus à des attaques extérieures.

L’essentiel

• 769 incidents KRITIS en 2024 : une augmentation de 43 % par rapport aux 537 signalements de l’année précédente.
• Obligation de déclaration : Les exploitants d’infrastructures critiques doivent signaler chaque incident au BSI.
• Pas tous des cyberattaques : Tous les incidents ne sont pas dus à des attaquants externes – les pannes techniques et les erreurs humaines jouent également un rôle.
• Secteurs concernés : Santé, énergie, eau, communication, transport et services d’urgence.
• NIS2 augmente la pression : La directive de l’UE renforce les exigences pour les exploitants KRITIS à partir de 2025.

Les infrastructures critiques comprennent celles assurant l’approvisionnement en santé, en énergie et en eau, en information et en télécommunications, ainsi que celles liées aux transports, aux services d’urgence et à la sécurité nationale. Elles sont de plus en plus souvent visées par des cybercriminels, mais aussi menacées par la négligence du personnel.

Le Bureau fédéral pour la sécurité de l’information (BSI) a reçu en 2024, selon ses propres déclarations, 769 signalements d’incidents de cybersécurité KRITIS. Cela ressort d’une réponse du gouvernement fédéral à une demande de la fraction FDP au Bundestag, comme le rapporte heise online.

Une augmentation de 43 %

Cela représente une hausse marquée de 43 % par rapport aux 537 incidents recensés en 2023, alors que les progressions de 2022 et 2021, respectivement de 13 % et 12 %, restaient relativement modérées. Les cybercriminels ont notamment profité de la crise sanitaire pour intensifier leurs attaques contre entreprises et institutions publiques. Les exploitants d’installations et d’équipements classés comme infrastructures critiques sont tenus de déclarer tout incident au BSI.

Comme le souligne le gouvernement fédéral dans sa réponse à la demande de la FDP, tous les incidents ne sont pas nécessairement imputables à une cyberattaque, et tous les exploitants n’ont pas pu déterminer avec certitude si l’incident relevait d’une attaque ou d’autres causes. Il est également impossible de préciser combien d’incidents sont attribuables à des acteurs étatiques ou à des erreurs humaines.

Quels secteurs sont particulièrement touchés ?

Bien que le gouvernement fédéral n’ait pas publié de ventilation détaillée par secteur, l’expérience accumulée et les rapports de situation du BSI révèlent des tendances claires. Le secteur de la santé est particulièrement vulnérable : hôpitaux et cliniques fonctionnent souvent avec des infrastructures informatiques obsolètes et subissent une forte pression temporelle, ce qui accroît leur exposition aux rançongiciels. Le secteur énergétique, quant à lui, est exposé par la numérisation croissante de la gestion des réseaux et des « smart grids ». Les entreprises d’eau et d’assainissement, généralement gérées au niveau communal, disposent rarement d’équipes de sécurité dédiées.

NIS2 renforce les exigences

Avec la directive européenne NIS2, mise en œuvre en Allemagne via la loi de transposition NIS-2 à compter de 2025, les exploitants KRITIS devront répondre à des obligations nettement plus strictes. Celles-ci incluent des délais de déclaration élargis (24 heures pour les premiers avertissements), une gestion des risques obligatoire, la sécurisation des chaînes d’approvisionnement et la responsabilité personnelle des dirigeants. Le nombre d’entreprises concernées passera d’environ 4 500 à près de 30 000.

Ce que les entreprises doivent faire maintenant

Les exploitants KRITIS doivent revoir leurs plans de réponse aux incidents et les adapter aux exigences de NIS2. Il est essentiel de mettre en place un centre d’opérations de sécurité (SOC) ou de faire appel à un prestataire de services de sécurité gérés, de réaliser régulièrement des tests d’intrusion, de segmenter les réseaux critiques et de former l’ensemble du personnel. Le BSI met à disposition le « Compendium de base de la sécurité informatique », une aide structurée et opérationnelle.

Key Facts sur un coup d’œil

Incidents KRITIS 2024 : 769 signalements au BSI

Augmentation par rapport à l’année précédente : +43 % (2023 : 537 incidents)

Augmentation en 2022 : +13 %, 2021 : +12 %

Secteurs KRITIS : Santé, énergie, eau, IT/TK, transport, services d’urgence, sécurité nationale

NIS2 : Obligations de déclaration étendues, gestion des risques, responsabilité des dirigeants à partir de 2025

Entreprises concernées : De ~4 500 à ~30 000 (grâce à NIS2)

Source : Signalements du BSI 2024, réponse du gouvernement fédéral à la demande de la FDP

Fait : Le BSI a enregistré en 2024 un total de 726 signalements d’incidents de sécurité informatique dans les entreprises KRITIS – une augmentation de 18 % par rapport à l’année précédente.

Fait : Selon Dragos, 70 % d’attaques supplémentaires contre les systèmes de contrôle industriel (ICS) ont été recensées dans le monde en 2024 par rapport à l’année précédente.

Questions fréquentes

Quelles sont les infrastructures critiques (KRITIS) ?

KRITIS comprend des installations et des équipements dont la défaillance aurait des conséquences graves sur le bien-être public. Cela inclut les secteurs de la santé, de l’énergie, de l’eau, des technologies de l’information et des télécommunications, des transports, de l’alimentation, des finances et de l’administration publique. En Allemagne, la loi BSI encadre les obligations de déclaration.

Pourquoi les incidents KRITIS ont-ils autant augmenté en 2024 ?

L’augmentation de 43 % s’explique par plusieurs facteurs : la numérisation croissante des infrastructures KRITIS élargit la surface d’attaque, les groupes de rançongiciels ciblent délibérément les établissements sous forte pression financière, et la sensibilisation aux obligations de déclaration s’est accrue – davantage d’incidents sont désormais détectés et signalés.

Tous les incidents KRITIS sont-ils des cyberattaques ?

Non. Le gouvernement fédéral insiste sur le fait que tous les incidents signalés ne sont pas nécessairement imputables à une cyberattaque. Des pannes techniques, des erreurs de configuration ou des fautes humaines peuvent également déclencher des incidents soumis à déclaration. Dans certains cas, la cause exacte n’a pas pu être établie avec certitude.

Que change NIS2 pour les exploitants KRITIS ?

NIS2 élargit le périmètre des entreprises concernées à environ 30 000 et durcit les obligations : déclaration initiale sous 24 heures, gestion des risques obligatoire, vérifications de la sécurité des chaînes d’approvisionnement et responsabilité personnelle des dirigeants en cas de manquement. Les amendes peuvent atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel.

À qui les exploitants KRITIS signalent-ils les incidents de sécurité ?

Le point de contact central est le Bureau fédéral pour la sécurité de l’information (BSI). Les exploitants sont tenus de déclarer sans délai toute perturbation majeure. Le BSI analyse les signalements, coordonne la réponse si nécessaire et publie des analyses agrégées de la situation.

Lectures complémentaires sur le réseau

NIS2 en Allemagne – Besoin d’action pour les entreprises : NIS2 : Agir maintenant (Security Today)

Sécurité cloud pour les infrastructures critiques : cloudmagazin.com

Stratégies KRITIS au niveau C : digital-chiefs.de

Articles connexes

• Cyber Warfare 2026 : Quand les États se renforcent numériquement
• Palantir et l’avenir de la cyberdéfense : l’IA comme arme stratégique
• Étude de cas : Un hôpital arrête une cyberattaque grâce à la segmentation OT

Plus du réseau MBF Media

cloudmagazin | MyBusinessFuture | Digital Chiefs

Source de l’image : Adobe Stock

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow